《信息系统安全等级保护基本要求》的意义

信息安全等级保护培训教材

公安部

2007年7月

《信息系统安全等级保护基本要求》

目录

1 概述............................................................3

1.1 1.2 1.3 1.4

背景介绍...........................................................3 主要作用及特点.....................................................3 与其他标准的关系...................................................4 框架结构...........................................................4

2 描述模型........................................................5

2.1 2.2 2.3 2.4

总体描述...........................................................5 保护对象..........

烟草行业信息系统安全 等级保护基本要求

二○一一年五月

- 1 -

目 次

引 言 ...................................................................................................................................................... - 3 - 1. 2. 3. 3.1. 4. 4.1. 4.2. 4.3. 4.4. 5. 5.1. 5.1.1. 5.1.2. 5.1.3. 5.1.4. 5.1.5. 5.2. 5.2.1. 5.2.2. 5.2.3. 5.2.4. 5.2.5. 6. 6.1. 6.1.1.

范围 .............................................................................................................................................. - 4 - 规范性引用文件 ..................................

电力行业信息系统安全等级保护基本要求

1 第三级基本要求 ........................................................................................................................... 1

1.1 技术要求............................................................................................................................ 1

1.1.1 物理安全 ................................................................................................................. 1

1.1.1.1 物理位置的选择（G3） ............................................................................. 1 1.1.1.2 物理访

教育行业信息系统安全等级保护

定级工作指南

（试行）

1 总则

本指南依据国家信息安全等级保护相关政策和标准，结合教育行业信息化工作的特点和具体实际，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。

本指南适用于各级教育行政部门及其直属事业单位、各级各类学校的非涉密信息系统安全等级保护定级工作。

信息系统的定级工作应在信息系统设计阶段完成，与信息系统建设同步实施。

2 定级依据

《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）

《信息系统安全等级保护定级指南》（GB/T 22240-2008）《信息系统安全等级保护实施指南》（GB/T 25058-2010）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

《信息安全等级保护管理办法》（公通字〔2007〕43号）

3 信息系统的类型划分

信息系统的类型划分是进行信息系统安全等级划分的前提和基础。按照信息系统的主管单位、业务对象、部署模式对教育行业信息系统进行分类，形成信息系统分类表（附件1）。

3.1按信息系统主管单位划分

按照信息系统主管单位的不同，信息系统分为“教育行政部门及其直属事业单位信息系统”（简称“部门信息系统”）和“学

备案表编号：

信息系统安全等级保护

备案表

备 案 单 位： （盖章） 备 案 日 期：

受理备案单位： （盖章） 受 理 日 期：

中华人民共和国公安部监制

填 表 说 明

一、 制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本

表；

二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单

位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；

三、 保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档； 四、 本表中有选择的地方请在选项左侧“

中注明详细内容；

五、 封面中备案表编号（由受理备案的

目 次

前言 ................................................................................ III 引言 ................................................................................. IV 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 等级保护实施概述 ................................................................... 1 4.1 基本原则

《信息系统安全等级保护定级报告》

一、马尔康县人民检察院门户网站信息系统描述

（一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。

服务器托管在九龙县电信公司机房

（三）该信息系统业务主要包含：等业务。

二、马尔康县人民检察院门户网站信息系统安全保护等级确定

（一）业务信息安全保护等级的确定 1、业务信息描述

该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利

— 9 —

益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害

形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务

信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受

计算机信息系统安全等级保护应用系统技术要求

《信息安全技术虹膜识别产品测评方法》

编制说明

1工作简要过程

1．1任务来源

本标准对依据《GB/T 20979-2007 信息安全技术虹膜识别技术要求》开发的虹膜识别产品提出了测试和评价标准。

本标准由全国信息安全标准化技术委员会（安标委）提出，由安标委秘书处第五工作组负责组织实施，由北京凯平艾森（Arithen）信息技术有限公司负责具体编制工作。

1．2采用国际和国外标准情况

本标准编制过程中，主要参考了以下国外和国际标准：

美国国防部标准：《可信计算机系统安全评估准则》（TCSEC）；

国际信息安全标准：ISO/IEC 15408-X：1999

Information technology—security techniques—Evaluation criteria for IT security /

Common Criteria for Information Technology Security Evaluation（简称CC）（IT安全

评估准则/ 信息技术安全性评估公共准则）

国际生物识别测试标准：ISO/IEC JTC 1/SC 37 ISO/IEC 19795- 2006/2007 Biometric

医院信息系统安全等级保护定级报告

一、 医院信息系统描述

（一） 医院于2008年起逐步建立基于医院信息管理、电子 病历的信息系统，该信息系统由医院负责系统管理运维，医院为该信息系统定级的责任单位。

（二） 该信息系统使用了7台HP服务器，安装有Window 2003 Server操作系统，Mysql数据库，用于医院信息管理系统的运行。使用了5台HP服务器，安装有Window 2003 Server操作系统，用于新农合即时结报平台的运行。医院在内外网

之间搭建有天融信防火墙，门诊二楼安有用于无线终端连接内

网的两个无线AP，各科室配有连接医院内网的终端计算机。 （三） 该信息系统主要包含：医院信息管理系统（HIS），电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。

二、 医院信息系统安全保护等级的确定 （一） 业务信息安全保护等级的确定 1、 业务信息描述

本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。旨在保障医院业务正常运行，提高工作效率，增强院务透明度，扩大医院社会影响力。

2、 业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是患者、法人和医院