还剩22页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容解答标准执行中可能遇到的问题
1.1定级指南标准制修订过程
1.
1.1制定背景本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理
1.
1.2国外相关资料分析本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如FIPS199StandardsforSecurityCategorizationofFederalInformationandInformationSystems(美国国家标准和技术研究所)DoDINSTRUCTION
8510.1-MDoDInformationTechnologySecurityCertificationandAccreditationProcessApplicationManual(美国国防部)DoDINSTRUCTION
8500.2InformationAssuranceIAImplementation(美国国防部)InformationAssuranceTechnologyFramework
3.1(美国国家安全局)这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同FIPS199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统根据FIPS199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的潜在影响将信息分类,影响程度可为高、中或低例如某政府采购系统中,包含合同信息和管理信息,各自的信息分类为SC合同信息={保密性,中,(完整性,中),(可用性,低)SC管理信息={保密性,低,(完整性,低),(可用性,低)该政府采购系统分类的各项,将是系统中所有信息分类的三性取值中的最高值SC政府采购系统={保密性,中,(完整性,中),(可用性,低)尽管该标准仅将信息系统按照对信息安全三性的安全需求进行了分类,没有明确说明信息系统的安全等级,但从与该标准配套的安全控制措施(SP800-53等)内容来看,最终信息系统的等级是由分类中的较高者决定
8510.1-M为美国国防部发布的DITSCAP计划提供实施手册,DITSCAP计划的主要目的是保护国防信息基础设施,适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商和机构在考虑系统的功能、国家和国防的安全要求以及系统的使命的危险程度、系统所处理的数据和用户类型等因素的基础上,DITSCAP的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别这四个认证级别是1级—基本的安全评审,2级—最小分析,3级—详细分析,4级—复杂分析
8510.1-M提出用于描述系统的7个特征量,互联模式、处理模式、归因性(责任追溯)业务依赖性、信息三性等,根据对这7个特征量赋权值,得出某个信息系统的总的权值,再根据权值所处的区间,确定信息系统的认证级别
8500.2没有直接针对信息系统分级,但给出了两种分等级的信息保障需求,一种是按信息保密性分级,DoD定义了三个保密性等级保密、敏感和公开,另一种是按业务保障分类(MissionAssuranceCategory)MACⅠ、MACII和MACIII,由此可以排列出9种组合保密性分级反映了系统内所处理的信息的重要程度,业务保障类反映了与DoD实现业务目标相关的重要性,业务保障类主要用于满足完整性和可用性方面的需求,其中MACⅠ系统比MACII和MACIII系统要求有更为严格的保护措施《信息保障技术框架》(IATF)由美国国家安全局主持编制,其所面向的对象既包括Internet这样的全球信息基础设施,也包括国家信息基础设施,以及作为机构专有资源以实现其业务的本地信息基础设施IATF为安全机制的强度和实现保证提出了三个强健度等级SML,并对资产按其信息价值分为5个等级,威胁环境按其强弱分为7个等级,以矩阵表的方式给出了35种情况下可以选择的强健度等级信息系统的所有者可以根据其信息价值与可能面临的威胁环境,选择系统安全保护的强健度等级和信息技术产品的评估保证级别(EAL)
1.
1.3定级指南编制原则通过分析可以发现上述定级方法分别在不同方面不能满足我国等级保护的需要,具体分析如下FIPS199可能是与我们的需求最为接近的一种信息系统定级方法,它以信息安全保密性、完整性和可用性需求中的最高者作为信息系统的安全等级,用于美国联邦政府信息系统的保护可能合适,但我国的等级保护面向国内所有行业,包括那些生产系统和自动化处理系统,这些系统对信息保密性要求不高,而对业务安全保障要求非常高,三性取高的定级方法,没有反映出这些系统的安全需求特点,可能造成对多数系统要求过高而无法实现
8510.1-M确定的是用于管理的认证级,各等级之间没有安全保护强度的差别,而等级保护的定级应当反映保护强度和保护能力的逐级提高
8500.2没有明确提出定级方法,当两种信息保障类别排列出不同组合时,没有给出信息系统等级如何确定,但它提出两类信息保障的不同需求组合,反映信息系统不同安全需求的做法值得借鉴IATF提出的是信息系统的强健性等级,不是信息系统安全等级,没有反映信息系统的安全需求但它提出了根据信息价值和信息系统面临的威胁环境强度决定信息系统的保护强度的概念,值得借鉴究其原因,上述国外标准和文献资料一般针对特定系统,在特定系统中适用,但不能满足我国在全国范围内、在所有行业内开展等级保护工作的要求因此必须在对国外资料进行研究和吸收的基础上,探索适合我国国情、简便易行的定级方法因此,等级保护的定级方法应反映出信息系统对国家安全、经济建设、社会生活重要程度的差异从这一点出发考虑,信息系统安全保护等级定级的出发点应当是信息系统所承载的业务,或称业务应用的重要性此外,我国的等级保护制度针对“涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统”(摘自《实施意见》)由此可以看出,《定级指南》既要有较大的通用性,也应具备一定的灵活性因此在编制过程中坚持以下原则满足管理要求原则《定级指南》所确定的信息系统安全保护等级不是信息系统安全保障程度等级,因此也不是信息系统的技术能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级;全局性原则信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系统安全保护等级的定级也必须从国家层面考虑,体现全局性;业务为核心原则信息系统是为业务应用服务的,信息系统的安全保护等级应当反映信息系统承载业务的重要性,应以业务为出发点和核心,将信息重要性纳入业务重要性统筹考虑;合理性原则充分反映出信息系统的主要安全特征,优化结构、降低投资、突出重点,有效保护
1.
1.4主要编制过程《信息系统安全保护等级划分准则》初稿于2005年5月完成,其中提出了定级的四个要素信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度,通过信息系统所属类型和业务数据类型可以确定业务数据安全性等级,通过信息系统服务范围和业务自动化处理程度及调节因子,可以确定业务服务连续性等级经向业内专家,安全服务企业专家以及部分用户进行了较为广泛的征求意见,根据各方意见,编制小组对文档名称(建议改为定级指南)、形式和内容均进行了多处修改,形成《信息系统安全保护等级分准则定级指南》(以下简称《定级指南》)征求意见稿第1稿2005年10月国信办安全组召开定级评审专家组对《定级指南》征求意见稿第1稿进行了专家评审,根据评审意见,编制小组对文稿进行了修改主要修改为在信息系统划分中将从业务流程角度划分与从业务类型角度划分两方面合并,补充说明设置调节因子的理由,将第五级的定级方法处理成在四级的基础上根据有关部门的需要另行制定由此形成定级指南征求意见稿第2稿2005年11月编制组分两次向定级评审专家组专家征求对定级指南征求意见稿第2稿的意见,根据专家意见,修改子系统划分方面内容,将信息系统/子系统统称为信息系统,明确定级对象是信息系统,信息系统内可以包含业务子系统,突出根据业务重要性划分信息系统进一步强调三性作为信息系统重要安全属性在确定定级要素赋值方面的作用,突出信息和服务两个定级指标,将调节因子的赋值方法从定值改为区间赋值,由此形成定级指南征求意见稿第3稿,即等级保护试点工作中采用的试用版本通过2006年1月-10月在全国开展的信息系统基础调查工作和等级保护试点工作,各试点单位将《定级指南》使用过程中发现的问题以书面形式提交公安部编写组根据试点单位提出的意见,取消调节因子,将四个定级要素改为业务信息类型、业务信息受到破坏影响的客体,系统服务类型和系统服务受到破坏影响的客体由前两个要素确定业务信息安全性等级,后两个要素确定系统服务安全性等级为帮助使用者确定定级对象,增加了定级对象三个特征的描述,形成定级指南征求意见稿第4稿2007年4月对定级指南征求意见稿第4稿评审专家提出四个要素应分出主次,应当明确体现影响程度等意见经修改,为区别信息系统本身与信息系统安全受到破坏所影响的客体,在本次修改中提出了等级保护对象、受侵害的客体、客体侵害的客观方面等援引自法律文件中的术语,以更加准确地表达等级差别的内在含义,并将受侵害的客体作为主导要素,侵害的程度作为相关要素,相应地修改了定级步骤由此形成定级指南征求意见稿第5稿2007年5月全国信息安全标准化技术委员会第五工作组组织工作组成员对定级指南征求意见稿第5稿进行了评审,专家主要对法律上“客体”概念与技术标准中的“客体”概念不一致,容易造成混淆,建议更改,但由于没有更合适的概念替代,暂时没有修改,这个概念一直保留到报批稿
1.2定级原理和定级要素
1.
2.1定级原理等级保护是我国实施信息安全管理的基本制度,信息系统安全保护等级是为行政管理服务的等级,不是纯粹的技术等级因此《定级指南》确定的等级必须与相关管理文件的规定保持一致根据《信息安全等级保护管理办法》,信息系统的5个安全保护等级为第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害第五级,信息系统受到破坏后,会对国家安全造成特别严重损害从上述描述可以看出,信息系统的安全保护等级的高低并不决定于信息系统的规模、价值、服务对象等本身因素,而是决定于信息系统被破坏后产生的损害,包括受到侵害的各方利益和损害程度如果我们将使信息系统受到破坏的原因称为威胁源,在威胁源、信息系统和受侵害的各方利益之间存在下图所示的关系威胁源是安全问题产生的原因,它直接破坏的是信息系统的安全性,但信息系统的安全保护等级并不是根据信息系统本身被破坏的程度而确定的,而是根据对各方利益的侵害程度确定,这是信息系统安全保护等级确定的核心所在为了给国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益一个简短的表述方式,借鉴中国刑法理论中描述方式刑法学中犯罪主体、犯罪对象和犯罪客体三者关系与上面描述的威胁源,信息系统和受侵害的各方利益之间关系非常接近,如下图所示图X-1刑法中的主客体关系其中的犯罪对象是犯罪主体,例如小偷,偷窃行为作用的直接客体,例如被小偷偷窃的钱物,但定罪量刑的依据不是对犯罪对象的损害(在偷窃过程中,犯罪对象没有损害),而是对犯罪客体的侵害,是犯罪主体侵害的实际客体根据刑法学,犯罪客体是指我国刑法所保护的,而为犯罪行为所侵害的社会主义社会关系,刑法所保护的社会关系包括社会主义的国体、政体和国家安全,社会公共安全,社会主义市场经济秩序,公民人身权利和民主权利,社会主义制度下各种财产权利,社会秩序,国防利益和军事利益,国家机关行政和司法秩序及公务活动等这样的社会关系与等级保护关注的国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益是相同的因此在《定级指南》标准中引用了刑法学中的“客体”概念代指信息系统受到破坏后所侵害的不同社会关系“客体”概念定义受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益将威胁源直接作用的信息系统定义为等级保护对象由于对客体的侵害是通过对信息系统的破坏实现的,因此保护信息系统才能最终保护客体——社会主义社会关系与GB17859中定义的客体相比,《定级指南》对客体定义据有不同的关注点,信息安全等级保护定级的关注点是对社会关系的侵害,信息系统安全保护的关注点是对信息和服务的保护,两者内在相关,概念表述不同,反映了行政管理与技术关注点的不同根据《管理办法》对5个等级信息系统的定义,《定义指南》使用客体概念,提出信息系统的安全保护等级由两个定级要素决定等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,表示如下受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级
1.
2.2受侵害的客体等级保护对象受到破坏时所侵害的客体包括三个方面a国家安全;b社会秩序和公共利益;c公民、法人和其他组织的合法权益这三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序公共利益是指不特定的社会成员所共同享有的,维持其生产、生活、教育、卫生等方面的利益《定级指南》中的社会秩序和公共利益体现了在一定范围的或对不特定群体的利益合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益,《定级指南》中特指公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益
1.
2.3对客体造成侵害的程度等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种a造成一般损害;b造成严重损害;c造成特别严重损害造成一般损害是指对客体造成一定损害和影响,经采取恢复或弥补措施,可消除部分影响造成严重损害是指对客体造成严重损害,经采取恢复或弥补措施,仍产生较大影响造成特别严重损害是指对客体造成特别严重损害,后果特别严重,影响重大且无法弥补对客体的侵害不是威胁直接作用的结果,而是通过对等级保护对象——信息系统的破坏而导致的,因此确定对客体侵害的程度时,必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果,也就是侵害的客观方面在分析侵害的客观方面时,为区别针对信息系统的破坏程度和对客体的侵害程度,《定级指南》使用了“危害”一词,用于描述对信息系统的破坏,例如危害方式、危害后果、危害程度等综合评定不同危害方式、不同危害后果所造成的不同危害程度,才可以确定对客体的侵害程度
1.
2.4影响安全保护等级的信息系统元素分析为分析侵害的客观方面,编制组对含有安全等级的相关国外的文献资料进行了研究,目的是从信息系统本身找出影响安全保护等级的核心元素不同定级方法决定出的等级包括信息系统安全等级、认证等级、两种等级的交叉分类以及系统强健度等级等在不同的方法中,都会涉及到这样三个方面根据信息系统的哪些元素定级,这些元素的哪些属性决定了系统的安全,这些属性的哪些不同性质决定了重要性的等级差别,以下逐一分析
1.FIPS199FIPS199根据信息在保密性、完整性和可用性三个属性被破坏后的安全影响决定信息的安全分类和信息系统的等级在这里决定系统安全等级的唯一元素是信息,保密性、完整性和可用性是信息的三个安全属性,信息三性丧失后对机构运行、机构财产和个人的安全影响是决定重要性的因素,根据安全影响大小分成低、中、高三个等级,描述方式为表4-1FIPS199定义的安全影响等级潜在影响描述低保密性、完整性和可用性的丧失,可能对机构运行、机构财产和个人产生有限的负面影响中保密性、完整性和可用性的丧失,可能对机构运行、机构财产和个人产生严重的负面影响高保密性、完整性和可用性的丧失,可能对机构运行、机构财产和个人产生十分严重或灾难性的负面影响
2.
8510.1-M
8510.1-M定级的系统元素比较复杂,从7个方面综合确定信息系统的认证等级,包括系统外部因素,系统的业务,系统中的实体资产,信息等,这些元素的安全属性和重要性没有明确分开,表现为系统互连模式、系统处理、传输、储存数据的方法、业务使命对系统的依赖度、信息敏感性分类、系统完整性要求、系统实时性要求、系统实体的可审查性需求等
3.
8500.
28500.2主要关注的系统元素是信息和业务(或称使命),对于信息关注其保密性,对于业务则关注其完整性和可用性两个安全属性信息保密性分为三个等级秘密、敏感和公开;业务保障分类为三个等级高完整性和高可用性(MACⅠ)高完整性和中可用性(MACⅡ)和基本的完整性和可用性(MACⅢ),两个等级相互独立,可以构成9种组合,
8500.2没有提出信息系统整体等级的概念
4.IATFIATF从信息价值和预期对抗的威胁两个元素决定系统的强健度等级,其中信息价值关注的不是三性受到破坏而是对信息保护策略的违背,信息价值的高低取决于造成负面影响的程度,共分五级,分别为可以忽略、不良影响或较小破坏、一定破坏、严重破坏和十分严重破坏;威胁等级由攻击者能力和攻击者愿冒风险的大小两个方面组合形成,分为7个等级在上述定级方法中所体现的主要定级元素有信息、系统、业务和威胁,在这里可以首先排除威胁因为威胁本身是一个不定因素,任何系统都有可能面临所有种类和所有等级的威胁,对信息系统的保护也没有必要做到能够对抗所有威胁因此可以考虑为每个等级的系统确定一个较为合理的威胁等级(可由威胁主体能力、动机决定)根据该威胁等级确定该等级系统的技术或管理控制目标,且允许不同的系统根据其所面临威胁的差异性,对保护措施进行适当调整实际情况应当是,当某个等级的系统选择了相应等级的保护措施,一般可以对抗相应级别的威胁,但并不能对抗所有的威胁,因此不能说用该等级保护措施保护系统其安全性就高枕无忧对于系统所有者来讲,安全目标一定是有限的,是考虑了成本与效益的平衡,考虑了更高威胁所造成损失的可接受因此,威胁可以不作为确定信息系统安全等级所考虑的系统元素,而放在确定保护各级别系统的控制目标和控制措施时考虑此外,系统是指通过软件、硬件等组成的有机整体所提供的功能和服务,业务是由信息系统所承载的,对内部或外部用户提供的信息化服务,它们的核心内容都是功能和服务,因此将影响安全等级的一个系统元素确定为服务,信息系统提供的服务,另一个元素为信息根据上述分析,信息系统重要程度可以从信息系统所处理的信息和信息系统所提供的服务两方面来体现,对信息系统的破坏也应从对业务信息安全的破坏和对系统服务安全的破坏两方面来考虑因此,在《定级指南》中也是分别从这两个方面确定信息系统安全被破坏后所影响的客体及对客体的影响程度
1.3定级过程和方法
1.
3.1定级对象概述定级工作是信息系统等级保护工作的起点,定级结果直接决定了后续安全保障工作的开展在定级之前,首先必须明确定级的对象,即,对哪个信息系统进行定级《定级指南》中指出,作为定级对象的信息系统应当具备以下三个条件a具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,而其上级部门仅负有监督、指导责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位b具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象单台的设备或有单台设备构成的安全域本身无法实现完整的信息系统保护,不能抵御来自内部或外部的攻击,这样的设备或区域必然依靠其所在环境所提供的网络安全和边界防护因此作为定级对象的信息系统应当是包括信息系统的核心资产——保护目标,以及对保护目标提供保护的所有相关设备和人员——保护机制,只有涵盖了这两部分,才能使信息系统实现其应用目标c承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程、部分业务功能独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分承载“相对独立”业务应用的信息系统在一个单位的整个信息系统中像一个子系统,其业务功能是相对独立的并明显区别于其他系统的,与其他系统有明确的业务边界和信息交换方式上述三个条件给出定级对象确定的原则,在这个原则的基础上,针对不同规模、不同复杂程度、不同隶属关系的信息系统,运营使用单位和服务机构人员可以寻找适合自身的划分方法,以下给出的定级对象的确定方法和定级流程在某些信息系统中得到认可,作为例子,供运营使用单位和有关各方参考信息系统定级既可以在新系统建设之初进行,也可在已建成系统中进行对于新建系统,尽管信息系统尚未建成,但信息系统的运营使用者应首先分析该信息系统处理哪几种主要业务,预计处理的业务信息和服务安全被破坏所侵害的客体、以及根据可能的对信息系统的损害方式判断可能的客体侵害程度等基本信息,由此确定信息系统的安全保护等级对于已建系统可参照以下流程完成定级工作图X-2定级流程图以下将根据此流程图详细介绍其中的各个步骤
1.
3.2系统识别和描述定级人员最初面临的往往不是已划分好的信息系统,而是单位的整个信息系统,或即使只是单位信息系统的一部分,由于等级保护需求不同,也有可能需要对该部分系统进行划分,区别出不同等级的信息系统通过系统识别和描述活动,可以了解单位信息系统的全貌,了解需要定级的信息系统与单位其他信息系统的关系根据用户需求或工作需要,系统识别与描述活动既可以针对单位整个信息系统进行,也可在用户指定的范围内进行
1.识别单位基本信息可以采用调查表的方式调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况,以及其上级主管机构(如果有)的信息
2.识别管理框架可以采用调查表的方式调查了解目标系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责特别是当该单位的信息系统存在分布于不同的物理区域的情况时,应了解不同区域系统运行的安全管理责任,一般来说,安全管理职责是进行信息系统划分的首要参考因素,因为具有一定等级的信息系统也应当是一个安全域,应当遵循相同的安全策略,没有统一管理作保证则无法实现统一的安全策略
3.识别业务种类、流程和服务可以采用调查表的方式调查了解机构内主要依靠信息系统处理的有多少种业务,哪些业务是主要业务,哪些业务是支撑型业务,各项业务具体要完成的工作内容和业务流程等了解单位的职能与这些业务的关联,单位对信息系统完成业务使命的期待或关注点如果对某个信息系统的主要关注点是其中的信息,该系统可能属于信息处理型系统,如果对信息系统的主要关注点是业务流程的连续,该系统可能属于业务处理型系统,例如多数生产系统属于业务处理型系统,当然也有信息系统两个方面都关注,可以称之为均衡型系统调查还应关注每个信息系统的业务流,以及不同信息系统之间的业务关系,因为不同信息系统之间的业务关系和数据关系将对信息系统划分起重要作用,应了解单位内不同业务系统提供的服务在影响履行单位职能方面,影响的区域范围、用户人数、业务量以及对本单位以外机构或个人的影响等方面的差异
4.识别信息可以采用调查表的方式调查了解各信息系统所处理的信息特点,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后对单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录(流水)数据、系统控制数据或文件等了解数据信息还应关注信息系统的数据流,以及不同信息系统之间的数据交换或共享关系
5.识别网络结构可以采用调查表的方式调查了解目标信息系统所在单位的网络状况,包括网络覆盖范围(全国、全省或本地区),网络的构成(广域网、城域网或局域网等),内部网段/VLAN划分,网段/VLAN划分与系统的关系,与上级单位、下级单位、外部用户、合作单位等的网络连接方式,与互联网的连接方式目的是了解目标信息系统自身网络在单位整个网络中的位置,目标信息系统所处的单位内部网络环境和外部环境特点,以及目标信息系统的网络安全保护与单位内部网络环境的安全保护的关系
6.识别主要的软硬件设备可以采用调查表的方式调查了解与目标信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用信息系统定级本应仅与信息系统有关,与具体设备没有多大关系,但由于在划分信息系统时,不可避免地会涉及到设备共用问题,调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度
7.识别用户类型和分布可以采用调查表的方式调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,各类用户可访问的数据信息类型和操作权限
8.单位信息系统描述通过上述调查,可以较为全面地了解单位信息系统的基本信息、管理信息、业务信息、网络信息、设备信息和用户信息等,信息系统描述是信息系统划分和定级的基础,描述信息的准确和详细决定了系统划分是否合理以及定级结果是否准确
1.
3.3信息系统划分
1.
3.
3.1调查结果分析
1.分析安全管理责任,确定管理边界在一个单位中,信息系统的业务管理和运行维护可能由不同部门负责,例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理,各业务部门负责其中的业务流程的制定和业务操作,信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责任,承担安全管理责任的不应是科技部门,而应当是该单位一个运行在局域网的信息系统,其管理边界比较明确,但对一个跨不同地域运行的信息系统,其管理边界可能有不同情况如果不同地域运行的信息系统分属不同单位(如上级单位和下级单位)负责运行和管理,上下级单位的管理边界为本地的信息系统,则该信息系统可以划分为两个信息系统;如果不同地域运行的信息系统均由其上级单位直接负责运行和管理,运维人员由上级单位指派,安全责任由上级单位负责,则上级单位的管理边界应包括本地和远程的运行环境
2.分析网络结构和已有内外部边界一般单位的信息系统建设和网络布局,一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行例如政府机构内部一般由三个网络区域组成,政务内网、政务外网和互联网接入网,三个网络相对独立,可以先以已有的网络边界将单位的整个系统划分为三个大的信息系统,然后再分析各信息系统内部的业务特点、业务重要性及不同系统之间的关系,如果内部还存在相对独立的网络结构,业务边界也比较清晰,也可以再进一步将该信息系统细分为更小规模的信息系统
3.分析业务流程和业务间关系根据调查结果,分析每个业务流和数据流,不同业务之间的业务关系和数据关系根据信息系统确定原则,信息系统内所承载的业务是相对独立或单一的并不意味着该信息系统是孤立的和隔离的,信息系统在边界可以与其他信息系统又数据交换,即一个系统的数据输出可能是另外一个系统的数据输入,尽管如此,重要的业务流程和系统功能都应在信息系统内部完成,以此反映其相对独立的特性因此,需要分析数据流在不同业务、不同系统之间的关系,以便正确划分系统
1.
3.
3.2系统划分方法一般来讲试点单位信息系统可以划分为几个作为定级对象的信息系统,如何划分系统是定级之前的主要问题信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以安全责任单位依据安全责任单位的不同,划分信息系统如果信息系统由不同的单位负责运行维护和管理,或者说信息系统的安全责任分属不同机构,则可以根据安全责任单位的不同划分成不同的信息系统一个运行在局域网的信息系统,其安全责任单位一般只有一个,但对一个跨不同地域运行的信息系统来说,就可能存在不同的安全责任单位,此时可以考虑根据不同地域的信息系统的安全责任单位的不同,划分出不同的信息系统业务特点根据业务的类型、功能、阶段的不同,对信息系统进行划分不同类型的业务之间会存在重要程度、环境、用户数量等方面的不同,这些不同会带来安全需求和受破坏后的影响程度的差异,例如,一个是以信息处理为主的系统,其重要性体现在信息的保密性,而另一个是以业务处理为主的系统,其重要性体现在其所提供服务的连续性,因此,可以按照业务类型的不同划分为不同的信息系统又比如,在整个业务流程中,核心处理系统的功能重要性可能远大于终端处理系统,有需要时,可以将其划分为不同的信息系统分析物理位置的差异根据物理位置的不同,对信息系统进行划分物理位置的不同,信息系统面临的安全威胁就不同,不同物理位置之间通信信道的不可信,使不同物理位置的信息系统也不能视为可以互相访问的一个安全域,即使等级相同可能也需要划分为不同的信息系统分别加以保护,因此,物理位置也可以作为信息系统划分的考虑因素之一在进行信息系统的划分过程中,进行分析,可以选择上述三个方面中的一个方面因素作为划分的依据,也可以综合几个方面因素作为划分的依据同时,还要结合信息系统的现状,避免由于信息系统的划分而引起大量的网络改造和重复建设工作,影响原有系统的正常运行有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易拆分,可以作为一个信息系统按照同样级别保护但是,如果其中某一个业务面临风险或威胁较大,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系统中分离出来,单独作为一个信息系统而实施保护经过合理划分,一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系统同时,通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析,明确了各个信息系统之间的边界和逻辑关系以及他们各自的安全需求,有利于信息系统安全保护的实施
1.
3.
3.3信息系统描述这里的信息系统描述就是对信息系统划分结果进行描述,主要描述单位内每个信息系统的管理机构、涵盖的几种业务或业务流程的阶段和所处的地理位置,而不必要描述具体的设备类型和边界可以通过列表的方式将单位内的信息系统名称列成清单如果仅列名称还不能确切描述该系统,可用备注加以解释
1.
3.
3.4信息系统边界信息系统划分后就需要确定信息系统的边界(物理边界往往比较容易界定),由于等级化信息系统有可能是单位信息系统的一部分,如果该信息系统与其他系统在网络上是独立的,没有设备共用情况,边界则容易确定,但当不同信息系统之间存在共用设备时,应加以分析由于信息系统的边界保护一般在物理边界或网络边界上实现,系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络/边界设备或终端设备两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但应满足3级系统的要求终端设备一般包括系统管理终端(如服务器和网络设备的管理终端,业务管理终端,安全设备管理终端等),内部用户终端(如办公系统用户的终端,银行系统的业务终端、移动用户终端等)和外部用户终端(如网银用户终端,清算系统中的商业银行终端,证券交易系统的交易客户等)对于外部用户终端,由于用户和设备一般都不在信息系统的管理边界内,这些终端设备不在信息系统的边界范围内信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中内部用户终端就比较复杂,内部用户终端往往与多个系统相连,当信息系统进行等级化保护后,应尽可能为不同的信息系统分配不共用的终端设备,以免在终端处形成不同等级信息系统的边界但如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端
1.
3.4安全保护等级确定《定级指南》
5.1节中描述的定级一般流程的第一步已在上节中详细说明,本节将重点说明在进行了信息系统识别、描述和划分后,对确定的定级对象进行安全保护等级确定工作的方法
1.
3.
4.1确定受侵害的客体1.国家安全随着信息化的不断推进,我国国家安全和经济生活已经极大地依赖于信息技术和信息基础设施,尤其是国防、电力、银行、政府机构、电信系统以及运输系统等重要基础设施一旦受到破坏,会对国家安全构成严重威胁因此在考虑信息系统的信息和服务安全被破坏后,可能对国家安全的影响时,也应从多方面加以考虑举例来说,涉及影响国家安全事项的信息系统可能包括重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统
一、民族团结和社会安定的重大事件;处理国家对外活动信息的信息系统;处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等2.社会秩序完善社会管理体系,维护良好的社会秩序是建设社会主义和谐社会的重要任务之一,借助信息化手段提高国家机关的社会管理和公共服务水平,提高经济活动效率,更方便地从事科研、生产、生活活动正是维护良好社会秩序的表现可能影响到社会秩序的信息系统非常多,包括各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统3.公共利益公共利益所包括的范围是非常宽泛的,既可能是经济利益,也可能是包括教育、卫生、环境等各个方面的利益借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害4.公民、法人和其他组织的合法权益《定级指南》中的公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益它不同于公共利益,选择客体为公共利益是指受侵害的对象是“不特定的社会成员”,而选择公民、法人和其他组织的合法权益时,受侵害的对象是明确的,就是拥有信息系统的个体或某个单位
1.
3.
4.2确定对客体的侵害程度为了确定对客体的侵害程度,《定级指南》在分析侵害的客观方面时,首先确定对信息系统的危害方式分为两种对信息系统所处理的业务信息安全的危害以及对系统服务安全的危害无论是业务信息安全还是系统服务安全受到破坏后,均可能产生以下危害后果-影响行使工作职能,工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能-导致业务能力下降,下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降,每个行业务都有本行业关注的业务指标-引起法律纠纷是比较严重的影响,在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式-导致财产损失,包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失-直接造成人员伤亡-对其他组织的间接影响-造成社会不良影响,包括在社会风气、执政信心等方面的影响上述几类影响不一定是独立的,有时也会是相关的,例如人员伤亡可能引发法律纠纷,进而可能造成资金的赔偿,业务能力下降既可能影响管理职能的履行,同时也可能造成单位收入的下降但上述危害后果中,多数系统一般主要关注其中的一种后果,例如银行系统一般关注业务能力下降的影响,党政系统主要关注管理职能的履行等,而将其他后果作为参考《定级指南》给出了信息系统所处理的业务信息安全和系统服务安全被破坏后所产生的三种危害程度的描述,其中包括了不同的危害后果一般损害工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害严重损害工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害特别严重损害工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害信息系统被破坏所产生的直接危害后果和危害程度一般是可以准确描述的,例如哪些管理职能不能履行、业务能力下降的百分比、人员的伤亡程度、财产损失的大致数目等,但从这些具体的危害程度得出对受侵害客体的侵害程度,一个单位从本单位角度是无法准确判断的,一般需要各行业给出相应的政策,或制定对危害程度的综合评定方法,从而给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义,使信息系统的运营使用单位能够据此得出相应的判断针对不同的受侵害客体,《定级指南》给出了不同判别基准的参照-如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;-如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准
1.
3.
4.3确定信息系统的安全保护等级应全面考虑该信息系统中服务和信息,选取最能够体现该系统重要性的信息和服务进行分析分别分析不同业务信息和系统服务安全受破坏时所侵害的客体,以及综合评定对客体的侵害程度后,分别计算不同业务信息和系统服务所需要的安全保护等级,并将其最高者作为该信息系统的安全保护等级
1.
3.5定级报告形成在确定信息系统的安全保护等级之后,需要将定级结果形成《信息系统安全等级保护定级报告》(以下简称《定级报告》),将定级分析过程和定级结果文档化《定级报告》是定级工作完成的标志如果试点单位内部有多个试点信息系统,可以完成一份《定级报告》,其中分别描述几个系统的定级过程和定级结果,也可以分开形成几份《定级报告》《定级报告》一般包括以下几部分定级依据包括与本次信息系统定级相关的法规、标准、规范和文件等,例如《管理办法》、《定级指南》、本行业的安全管理规定等确定信息系统安全保护等级所需依据的文件信息系统划分详细描述信息系统的管理机构和管理职责、网络结构和对外边界、承载业务种类、处理的主要信息等如果定级范围内划分出多个作为定级对象的信息系统,应描述划分结果、划分方法和理由信息系统描述描述定级信息系统的边界,包括外部边界和与其他系统相连的内部边界,定级系统的边界设备,系统内的主要设备,系统承载的业务应用安全等级确定针对每一个定级信息系统详细描述定级过程,描述其中重要的业务信息和系统服务安全受破坏时所侵害的客体的分析过程,以及综合评定对客体的侵害程度的过程,给出赋值结果和理由分别确定业务信息的安全保护等级和系统服务的安全保护等级,选择其中最高的结果作为该定级信息系统的安全保护等级定级结果在按照定级方法对信息系统确定安全保护等级后,最终可以通过列表的形式,给出单位内各信息系统的安全保护等级如表信息系统名称安全保护等级业务信息安全保护等级业务服务安全保护等级××信息系统×××××信息系统×××《定级报告》的模版文件参见本文档附录A.1《定级报告》模板
1.
3.6定级评审完成定级后,试点单位向试点工作组提交《定级报告》如果安全保护等级确定为一级、二级,试点工作组组织本地试点专家组对定级结果进行评审如果安全保护等级为三级或三级以上,由试点工作组向国家安全等级保护工作协调小组提出申请,由协调小组负责组织“信息安全保护等级专家评审委员会”专家对定级结果予以评审
1.
3.7等级变更信息系统是不断发展变化的,信息系统的等级也可能在发展中产生变化,因此需要信息系统的运营使用单位在信息系统出现重大变更时,密切关注可能影响等级的信息和服务,判断其安全被破坏后所侵害的客体是否发生了变化,或者对客体的侵害程度是否发生了变化,如果变化较大,则应考虑变更等级等级变更过程与定级过程相同
1.4定级实例
1.
4.1系统划分实例本节以一个较为复杂的单位为例进行分析,所选单位内有多种业务,某些业务系统为纵向覆盖全国的大系统,分析如何针对这样的系统划分信息系统例如某证券公司的信息系统,该信息系统所承载的业务有多个,该单位在全国遍布多处分支机构在总部的信息系统中,总体上形成了办公和业务两大网络区域,且二者之间相互隔离其中,业务网承载着集中交易、网上交易、数据中心等业务;办公网络主要承载着OA等服务核心交易业务进行了数据大集中,数据处理中心在总部,处理中心和分支机构所处理的交易业务相对于整个交易业务来讲,都只是一个阶段业务对于这样的跨地域大系统,进行系统划分时必须综合考虑系统划分方法中的多个方面首先,从信息系统的管理机构来考虑,虽然总部和分支机构都处理交易业务,但各自管理机构所承担的安全责任不同,即,总部具体负责总部核心交易系统的运行、维护等安全责任;而分支机构直接负责其所在的系统的运行、维护和安全责任所以从管理机构的不同来考虑,应将两个机构的信息系统进行划分,形成总部信息系统和分支机构信息系统然后分析总部业务网,总部业务网络承载着多项业务,其中集中交易业务和网上交易业务重要程度最高,因此这两个系统应首先单独进行划分,分别形成集中交易系统和网上交易系统其他业务重要程度相近的、并且各自是相对独立的,也单独形成信息系统对于总部办公网络来讲,主要为内部员工提供公文管理、信息管理、日常办公、辅助办公及邮件收发等服务功能,因此可单独形成办公信息系统从以上分析可以得出,该单位总部的信息系统可以划分为集中交易系统、网上交易系统、其他系统以及办公信息系统等
1.
4.2系统定级实例实例1系统简述某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民ZFWZ系统等级确定过程
1、ZFWZ系统是省政府对社会办公的窗口,其中发布的信息内容代表政府形象和体现政府的社会管理和社会服务职能,因此该信息安全被破坏可能对社会秩序造成一定影响;
2、由于省政府网站的访问量并不很大,信息被篡改可能造成的不良社会影响不会很大,因此对社会秩序的侵害程度为一般损害;
3、查表知ZFWZ系统的业务信息安全保护等级为第二级,如下表所示业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级
4、ZFWZ系统为省内企业和市民提供政府信息查询和下载服务,其系统服务如果不可用侵害的不是省政府本身的利益,而是公众获取公开信息的公众利益;
5、但由于没有必须通过网络才能够执行的办事流程,ZFWZ系统对服务实时性和服务质量要求不高,政务服务工作主要通过网络之外完成,网络仅提供相关信息和表单下载,网站不能提供服务对市民办事影响不大;
6、查表知ZFWZ系统的业务服务安全保护等级为第二级,如下表所示系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级
7、ZFWZ系统的安全保护等级为第二级实例2系统简述某省电力集团公司的省级电力实时监控系统,主要运行调度自动化控制系统和能量管理系统(SCADA/EMS)DDZDH,负责省级超高压输电变电站的调度控制和数据采集系统实时性要求极高,达到秒级系统等级确定过程
1、电力系统是国家重要基础设施,省级DDZDH系统负责全省范围内的电力调度,调度控制指令或调度程序被修改,可能造成的停电事故会影响几乎所有行业的正常生产和工作,其所侵害的客体为社会秩序和公共利益;
2、调度控制指令或调度程序被修改可能造成全省范围大面积停电、人员伤亡和巨额财产损失,同时对其它行业的生产和工作造成非常严重的影响,因此对社会秩序和公共利益的侵害程度为特别严重损害;
3、查表知DDZDH系统的业务信息安全保护等级为第四级,如下表所示业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级
4、DDZDH系统负责省级超高压输电变电站的调度控制和数据采集,该系统无法提供服务可能造成全省范围供电异常,可能造成大面积停电、人员伤亡和巨额财产损失同时对其它行业的生产和工作造成非常严重的影响,因此对社会秩序和公共利益的侵害程度为特别严重损害;;
5、查表知DDZDH系统的系统服务安全保护等级取值为4,如下表所示系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级
6、DDZDH系统的安全保护等级为第四级威胁源信息系统各方利益破坏侵害直接客体客体主体犯罪主体犯罪对象犯罪客体直接作用实质侵害实际客体客体1.系统识别和描述识别基本信息识别管理框架识别业务种类和业务流程识别信息资产识别网络结构识别软硬件设备识别用户类型和分布描述试点单位信息系统2.信息系统划分分析安全管理责任,确定管理边界分析网络结构和已有内外部边界分析业务流程和业务间关系初步划定信息系统,确定定级对象各信息系统描述4.产生定级报告完成定级报告初稿定级报告评审定级报告批准3.安全等级确定为定级四要素赋值确定业务信息安全保护等级和系统服务安全保护等级确定信息系统安全保护等级。