教育信息系统安全等级保护定级指南
(试行)
1 总则
本指南依据国家信息安全等级保护相关政策和标准,在《信息系统安全等级保护定级指南》(GB/T 22240-2008)的基础上,结合各级教育行政部门及高等学校信息化工作实际需要,重点给出了教育信息系统的定级流程和级别建议,适用于教育部、省(自治区、直辖市、计划单列市)、市教育行政部门及高等学校主要信息系统的安全等级保护定级工作。区县及以下教育行政部门、中等职业学校、中小学校和其他教育机构的信息系统安全等级保护定级工作可根据实际需要,参照本指南执行。
2 依据
公安部等四部委《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)
公安部等四部委《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《信息系统安全等级保护定级指南》(GB/T 22240-2008)
《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80号)
《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函〔2011〕83号)
3 术语和定义
3.1信息系统
本指南中的信息系统是指教育教学管理与服务过程中涉及到教师、学生和教育组织等业务管理、资源服务等不涉及国家秘密的信息系统。信息和信息系统是教育信息安全等级保护工作直接面对的对象。
3.2基础网络
本指南中的基础网络是指承载并保障信息系统运行的基础设施环境和局域网络系统。如教育城域网、教育科研网(CERNET)、校园网等。
3.3安全责任单位
本指南中的安全责任单位是指承担信息系统安全保护责任的单位或部门。信息系统的安全责任单位是唯一的。教育信息系统按照“谁的业务谁负责”的原则确定安全责任单位,由安全责任单位负责定级:
●对于基础网络,由运行维护单位或部门负责定级,如网络中
心/信息中心/电教馆等;
●对于信息系统,由业务承担单位或部门负责定级,如办公室/
基教处/信息中心等;
●对于不能确定唯一安全责任单位的信息系统,应按照“谁主管
谁负责”的原则,由主管部门负责定级。
●教育部统一规划部署的信息系统一般在教育部和省级教育行
政部门部署运行,由教育部负责统一定级;地方教育行政部
门统一规划部署的信息系统一般在本级和下级教育行政部门
部署运行,由本级教育行政部门负责统一定级。
4 教育信息系统的分类
根据各级教育行政部门及高等学校的信息化实际情况,综合考虑信息系统的业务责任单位、信息系统的业务类型和业务重要性等因素,将各级教育行政部门和高等学校的主要信息系统进行分类。为便于描述,按照如下规则给出编码。
每个具体信息系统的分类编号长度5位:
首位字母代表大类,A、B或C,教育行政部门的信息系统称为A类系统,高等学校的信息系统称为B类系统。教育部统一规划部署的信息系统单独列为C类系统;
第2和3位是分类顺序码,取值范围01-99,每类信息系统的分类名称用两位数字编号表示,如:政务管理类为01,学校管理类为02;
第4和5位是信息系统顺序码,取值范围01-99;信息系统的名称用两位数字编号表示,如:办公与事务处理编号为01,公文与信息交换编号为02;
举例:教育行政部门的人事管理信息系统的编码为:A0103,高等学校的教学改革管理信息系统的编码为:B0201。
4.1教育行政部门信息系统分类
根据教育行政部门相关信息系统业务范围,分类如表1所示:表1:教育行政部门主要信息系统(A类)分类
4.2高等学校信息系统分类
根据高等学校相关信息系统业务范围,分类如表2所示:表2:高等学校主要信息系统(B类)分类
4.3教育部统一规划部署的信息系统分类
教育部统一规划部署的信息系统如“三通两平台”提出的“国家教育管理公共服务平台”和“国家教育资源公共服务平台”,大体分类如表3所示:
表3:教育部统一规划部署的主要信息系统(C类)分类
5 教育信息系统的安全保护等级
5.1教育信息系统受破坏后受侵害的对象
信息系统安全包括业务信息安全和系统服务安全,信息系统受到破坏时所侵害的对象为:国家安全,社会秩序、公众利益和教师、学生和教育组织的合法权益。
侵害国家安全的事项包括以下方面:
─影响国家政权稳固和国防实力;
─影响国家统一、民族团结和社会安定;
─影响国家对外活动中的政治、经济利益;
─影响国家重要的安全保卫工作;
─影响国家经济竞争力和科技实力;
─其他影响国家安全的事项。
●侵害社会秩序的事项包括以下方面:
─影响国家机关社会管理和公共服务的工作秩序;
─影响各种类型的经济活动秩序;
─影响各行业的科研、生产秩序;
─影响公众在法律约束和道德规范下的正常生活秩序等;
─其他影响社会秩序的事项。
●影响公共利益的事项包括以下方面:
─影响社会成员使用公共设施;
─影响社会成员获取公开信息资源;
─影响社会成员接受公共服务等方面;
─其他影响公共利益的事项。
●影响教师、学生和教育组织合法权益的事项包括以下方面:
─影响教师个人隐私、名誉和利益;
─影响学生个人隐私、名誉和利益;
─影响教育组织隐私、名誉和利益;
─其他影响教师、学生和教育组织正常教学、学习和工作
开展等所享有的社会权利和利益的事项。
确定信息系统受到破坏后所侵害的对象时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害教师、学生和教育组织的合法权益。
5.2教育信息系统受破坏后受侵害的程度
教育信息系统的业务信息安全或系统服务安全受到破坏时,受侵害的程度与信息系统所属单位的行政级别以及承载业务的重要性、影响程度、教育规模等有关。分别描述如下:
●教育行政部门
教育行政部门的信息系统中,部分学校管理类、学生管理类、教师管理类信息系统,业务信息覆盖本地区,关系到广大师生的合法权益,社会影响力大,这些系统的业务信息安全或系统服务安全受到破坏,可能直接造成严重的教育事故,对社会秩序和公共利益造成严重损害。
部分政务管理类和综合服务类信息系统,业务信息覆盖本系统或本单位,涉及到本系统或本单位的核心业务,这些系统的业务信息安全或系统服务安全受到破坏,影响正常教育教学秩序,对本系统或本单位的合法权益造成严重损害,甚至对社会秩序和公共利益造成一般损害。
●高等学校
高等学校的信息系统中,部分校务管理类、教学科研类信息系统业务信息安全或系统服务安全受到破坏,可能严重影响学校正常秩序,影响高等学校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷。
部分招生就业类、综合服务类信息系统的业务信息安全或系统服务安全受到破坏,可能使高等学校工作秩序和工作职能受到严重
影响,对社会将产生一定范围的不良影响,对社会秩序和公共利益造成严重损害,对学生及部分社会公众造成严重损害。
5.3教育信息系统的安全保护等级
根据国家信息安全等级保护相关文件,对照国家信息系统安全保护等级的定义,教育信息系统安全保护等级的描述如下:第一级:单位内部一般性信息系统。受到破坏后,会对教师、学生个人合法权益和教育组织内部工作管理造成一定损害,但不损害国家安全、社会秩序和公共利益。
第二级:单位内部重要信息系统。受到破坏后,会对教师、学生群体的合法权益和教育组织内部工作管理造成严重损害,或者对社会秩序和公共利益造成一定损害,但不损害国家安全。
第三级:单位内部或全国/地区范围统一运行的重要信息系统。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成一定损害。
第四级:全国范围统一运行的重要信息系统。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,暂无。
6 教育信息系统的建议等级
综合考虑各级教育行政部门和各类高等学校有关信息系统的安全保护需求及其业务信息安全等级和系统服务安全遭到破坏后所产生的影响,各类教育信息系统定级建议分别见表4、表5和表6。各
单位可根据信息系统的分类与所承载的业务功能参照表4、表5和表6进行安全等级保护定级;对于承载复杂业务的信息系统,安全保护等级可高于建议级别;对于承载多个业务的信息系统,应以承载这些业务的信息系统的最高建议等级进行定级;未在建议表中列出的信息系统,可根据其承载的业务功能,参照定级。
表4:教育行政部门主要信息系统(A类)建议等级
表5:高等学校主要信息系统(B类)建议等级
说明:根据办学规模和社会影响力,将高等学校分为三类:I类高校:重点关注类高等学校,如985高校和211高校等;
II类高校:其他普通本科类院校;
III类高校:高职、高专院校。
表6:教育部统一规划部署的主要信息系统(C类)建议等级
教育部统一规划部署的信息系统(C类)定级信息将在教育信息安全等级保护专题网站(https://www.doczj.com/doc/fb8131740.html,)更新。
7 等级变更
在信息系统的运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更级别。
附件2 信息系统安全保护等级定级指南 (试用稿) 公安部 二〇〇五年十二月 —9 —
目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息(Business Information) (11) 2.2 业务信息安全性(Security of Business Information) (11) 2.3 业务服务保证性(Assurance of Business Service) (11) 2.4 信息系统(Information System) (11) 2.5 业务子系统(Business Subsystem) (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21) —10 —
信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息(Business Information) 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性(Security of Business Information) 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性(Assurance of Business Service) 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统(Information System) 基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统(Business Subsystem) 由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。 如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。 —11 —
《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。 二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定
v1.0可编辑可修改 教育行业信息系统安全等级保护 定级工作指南 (试行) 1总则 本指南依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。 本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。 信息系统的定级工作应在信息系统设计阶段完成,与信息系统建设同步实施。 2定级依据 《中华人民共和国计算机信息系统安全保护条例》(国务院第147 号令) 《信息系统安全等级保护定级指南》(GB/T 22240-2008 )《信息系统安全等级保护实施指南》(GB/T 25058-2010 ) 《关于开展全国重要信息系统安全等级保护定级工作的通 知》(公信安〔 2007〕 861 号) 《信息安全等级保护管理办法》(公通字〔2007〕 43 号) 11
3信息系统的类型划分 信息系统的类型划分是进行信息系统安全等级划分的前提 和基础。按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类,形成信息系统分类表(附件1)。 3.1 按信息系统主管单位划分 按照信息系统主管单位的不同,信息系统分为“教育行政部 门及其直属事业单位信息系统” (简称“部门信息系统”)和“学校信息系统”两类。 部门信息系统可分为教育部机关及其直属事业单位信息系 统(部级系统)、省级教育行政部门及其直属事业单位信息系统 (省级系统)、地市级教育行政部门及其直属事业单位信息系统(市级系统)和区县级教育行政部门及其直属事业单位信息系统(县级系统);学校信息系统可分为重点建设类高等学校信息 系统(I 类)、高等学校信息系统(Ⅱ类)、中小学校(含中职 中专院校)信息系统(Ⅲ类)。 3.2按信息系统业务对象划分 根据信息系统业务对象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校 信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。 3.3按信息系统部署模式划分 根据信息系统的部署模式,信息系统可以分为内部系统和统一运行系统。内部系统是指仅供本单位内部使用,实现本单位业 务管理与服务的信息系统。统一运行系统是指供多家(级)单位共同使用,实现某项业务的跨单位统一管理与服务的信息系统。 统一运行系统可进一步分为集中式系统和分布式系统。集中 22
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
教育行业信息系统安全等级保护 定级工作指南 (试行) 1总则 本指南依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议等级,明确工作流程。 本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。 信息系统的定级工作应在信息系统设计阶段完成,与信息系统建设同步实施。 2定级依据 《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息系统安全等级保护实施指南》(GB/T 25058-2010) 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号) 《信息安全等级保护管理办法》(公通字〔2007〕43号) 11
3信息系统的类型划分 信息系统的类型划分是进行信息系统安全等级划分的前提 和基础。按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类,形成信息系统分类表(附件1)。 3.1按信息系统主管单位划分 按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。 部门信息系统可分为教育部机关及其直属事业单位信息系统(部级系统)、省级教育行政部门及其直属事业单位信息系统(省级系统)、地市级教育行政部门及其直属事业单位信息系统(市级系统)和区县级教育行政部门及其直属事业单位信息系统(县级系统);学校信息系统可分为重点建设类高等学校信息系统(I类)、高等学校信息系统(Ⅱ类)、中小学校(含中职中专院校)信息系统(Ⅲ类)。 3.2按信息系统业务对象划分 根据信息系统业务对象不同,部门信息系统可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;学校信息系统可分为校务管理类、教学科研类、招生就业类、综合服务类。 3.3按信息系统部署模式划分 根据信息系统的部署模式,信息系统可以分为内部系统和统一运行系统。内部系统是指仅供本单位内部使用,实现本单位业务管理与服务的信息系统。统一运行系统是指供多家(级)单位共同使用,实现某项业务的跨单位统一管理与服务的信息系统。 统一运行系统可进一步分为集中式系统和分布式系统。集中 22
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
教育信息系统等级保护定级指南(试行)doc
教育信息系统安全等级保护定级指南 (试行) 1 总则 本指南依据国家信息安全等级保护相关政策和标准,在《信息系统安全等级保护定级指南》(GB/T 22240-2008)的基础上,结合各级教育行政部门及高等学校信息化工作实际需要,重点给出了教育信息系统的定级流程和级别建议,适用于教育部、省(自治区、直辖市、计划单列市)、市教育行政部门及高等学校主要信息系统的安全等级保护定级工作。区县及以下教育行政部门、中等职业学校、中小学校和其他教育机构的信息系统安全等级保护定级工作可根据实际需要,参照本指南执行。 2 依据 公安部等四部委《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号) 公安部等四部委《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函〔2009〕80号) 《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函〔2011〕83号)
3 术语和定义 3.1信息系统 本指南中的信息系统是指教育教学管理与服务过程中涉及到教师、学生和教育组织等业务管理、资源服务等不涉及国家秘密的信息系统。信息和信息系统是教育信息安全等级保护工作直接面对的对象。 3.2基础网络 本指南中的基础网络是指承载并保障信息系统运行的基础设施环境和局域网络系统。如教育城域网、教育科研网(CERNET)、校园网等。 3.3安全责任单位 本指南中的安全责任单位是指承担信息系统安全保护责任的单位或部门。信息系统的安全责任单位是唯一的。教育信息系统按照“谁的业务谁负责”的原则确定安全责任单位,由安全责任单位负责定级: ●对于基础网络,由运行维护单位或部门负责定级,如网络中 心/信息中心/电教馆等; ●对于信息系统,由业务承担单位或部门负责定级,如办公室 /基教处/信息中心等; ●对于不能确定唯一安全责任单位的信息系统,应按照“谁主 管谁负责”的原则,由主管部门负责定级。 ●教育部统一规划部署的信息系统一般在教育部和省级教育
信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内,有两个出口, 第一个出口处部署了流控设备和控制网关,再通过 Extreme6808三层交换机接入教育网,在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备,该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、 法人和其他组织的合法权益。
侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害,会对公民、 法人和其他组织的合法权益造成影响和损害,可以表 现为:影响正常工作的开展,导致业务能力下降,泄 露公民隐私,有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知,业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求, 出现上述两个侵害客体时,优先考虑社会秩序和公共利 益,另外一个不做考虑。
蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:) 《信息系统安全等级保护基本要求》 中华人民共和国国家标准GB/T 22239-2008 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于 加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南; ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。 本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了 信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、 GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。 本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础 上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基 本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督 管理。 在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。 信息系统安全等级保护基本要求 1范围 本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导 分等级的信息系统的安全建设和监督管理。 2规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单 (不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文 件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4信息系统安全等级保护概述 4.1信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共 利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T AAAA- AAAA。 4.2不同等级的安全保护能力
附件3: 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息
安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息安全等级保护 管理制度 1
?更多资料请访问.(.....) ?更多资料请访问.(.....) 2
关于开展保险业信息系统安全等级保护定级工作的通知 保监厅发〔〕45号 各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照<关于开展全国重要信息系统安全等级保护定级工作的通知>(公信安〔〕861号)要求,中国保监会将在保险行业 3
内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式 各单位应按照”准确定级、严格审批、及时备案、认真整改、科学测评”的要求和”自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。 保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。 各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。 各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。 二、定级工作安排及定级范围 (一)定级工作安排 为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。 保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 4
信息安全技术信息系统安全等级保护实施指南 前言 本标准的附录A是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位:公安部信息安全等级保护评估中心。 本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南; ——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。 在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。 在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。 在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。 GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求。 除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和 GB/T20273-2006等其它等级保护相关技术标准。 信息系统安全等级保护实施指南. 1 范围 本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。 2 规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包
附件2: 《信息系统安全等级保护定级报告》 一、易财经描述 (一)该系统于 2018年投入运营,开发服务商为广州致仪计算机软件科技有限公司。目前该信息系统由广州致仪计算机软件科技有限公司技术部负责运行维护。广州致仪计算机软件科技有限公司技术部是该系统业务的主管部门,广州致仪计算机软件科技有限公司总经办为该信息系统定级的责任单位。 (二)该信息系统部署在阿里云云服务器ECS。由主机服务器、网络设备、防火墙设备、存储系统及其相关的配套的设备、设施构成的,是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 易财经服务器mysql数据库由2台阿里云云服务器ECS E5互为备份,同时接入校园网络中心机房。实现校内、校外全天侯工作的功能。该系统的外部网部络和内部网络部分都是等级保护定级的范围和对象。 (三)该信息系统目前承载的主要业务包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。系统针对业务的
差异分别提供联机处理和批量处理两种方式。 二、易财经系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包括:系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。 2、业务信息受到破坏时所侵害客体的确定(根据实际描述) 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定(根据实际描述) 上述结果的程度表现为严重损害,即工作职能受到严重
GB17859-1999《计算机信息系统安全保护等级划分准则》 发布时间:2009-07-23 作者:国家质量技术监督局 1、范围 本标准规定了计算机信息系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级; 本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强. 2、引用标准 下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性. GB/T5271 数据处理词汇 3、定义 出本章定义外,其他未列出的定义见GB/T5271. 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统. 3.2计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道/ 3.9 访问监控器reference monitor 监控器主体和客体之间授权访问关系的部件。 4 、等级划分准则 4.1第一级用户自主保护级 本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户信息,避免其他用户对数据的非法读写与破坏。 4.1.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名拥护对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。 4.1.2 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。 4.1.3 数据完整性 计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。 4.2 第二级系统审计保护级 与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 4.2.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制
前言 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位:公安部信息安全等级保护评估中心。 本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T BBBBB-BBBB信息系统安全等级保护基本要求; ——GB/T CCCCC-CCCC信息系统安全等级保护实施指南; ——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。 本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。 信息系统安全等级保护定级指南 1 范围 本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 3 术语和定义 GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。 3.1 等级保护对象 target of classified security 信息安全等级保护工作直接作用的具体的信息和信息系统。 3.2 客体object
xx系统 网络安全等级保护定级报告 一、xx系统描述 (一)xx系统于20xx年x月x日上线,由xx公司(以下简称“本公司”)自主研发和维护。xx公司为xx系统定级的责任单位。 (二)xx系统通过APP客户端为国内K12院校及培训机构师生提供基于移动互联网方式的智慧教育及管理服务,提供教学资源、测试习题、教学管理、在线课程等内容和工具为学校解决智慧教学的核心需求。目前该系统由本公司运维部负责运维工作,本公司是该信息系统业务的主要负责机构,该信息系统业务主要包含:用户信息管理、平台内容管理、课堂教学管理、在线课程学习、数据采集分析、增值服务购买支付等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 (三)业务处理系统以学校内部集中结构模式,负责各学校教学环节的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集分析、业务处理逻辑的实现等。xx系统选用了阿里云提供的IAAS服务,核心业务区与外界网络互联的边界设备采用了阿里云的云防火墙(高级版),核心业务区部署
了x台阿里云ECS服务器,每台ECS服务器安装了云安全中心(企业版),xx系统使用阿里云的RDS数据库作为业务数据中心,同时配备了数据库审计(高级版),运维区部署了运维终端和日志审计服务,核心业务区的运维操作只能由该运维终端进行,日志审计服务可记录不少于6个月的原始操作日志供回溯分析。 二、xx系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 xx公司是为国内学校提供智慧化教学解决方案的教育高科技企业,旗下的xx系统主要通过提供教学资源、测试习题、教学管理、在线课程等内容和工具满足学校教学核心需求,业务信息包含:用户信息(用户名、手机号码等)、学校班级信息、教学活动数据信息、在线课程信息、服务购买支付信息等。xx多