本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。引
言
(国务院147号令)、《国家信息化[2003]27号)、《关于信息安全等
依据《中华人民共和国计算机信息系统安全保护条例》领导小组关于加强信息安全保障工作的意见》(中办发级保护工作的实施意见》(公通字字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:
——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。本标准依据等级保护相关管理文件,
[2004]66号)和《信息安全等级保护管理办法》(公通
从信息系统所承载的业务在国家安全、经济建设、社会
生活中的重要作用和业务对信息系统的依赖程度这两方面,的方法。
信息系统安全等级保护定级指南1 范围
本标准规定了信息系统安全等级保护的定级方法,作提供指导。2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。
提出确定信息系统安全保护等级
适用于为信息系统安全等级保护的定级工
凡是注日期的引用文件,其随
后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,达成协议的各方研究是否使用这些文件的最新版本。本适用于本标准。GB/T 5271.8
信息技术
词汇第8部分:安全
鼓励根据本标准
其最新版
凡是不注明日期的引用文件,
GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义
GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。3.1
等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。3.2 客体object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系,利益以及公民、法人或其他组织的合法权益。3.3
客观方面objective
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。3.4
系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。4 定级原理4.1
信息系统安全保护等级
如国家安全、社会秩序、公共
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,第三级,信息系统受到破坏后,成损害。
第四级,信息系统受到破坏后,全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。4.2
信息系统安全保护等级的定级要素
等级保护对象受到破坏时所侵害的客体和对
会对社会秩序和公共利益造成特别严重损害,
或者对国家安
会对公民、法人和其他组织的合法权益产生严重损害,会对社会秩序和公共利益造成严重损害,
或者
对社会秩序和公共利益造成损害,但不损害国家安全。
或者对国家安全造
会对公民、法人和其他组织的合法权益造成损害,
但不损害
信息系统的安全保护等级由两个定级要素决定:客体造成侵害的程度。4.2.1
受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:a) b) c)
公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
对客体的侵害程度
由于对客体的侵害是通过对等级保
通过危害方
4.2.2
对客体的侵害程度由客观方面的不同外在表现综合决定。护对象的破坏实现的,
式、危害后果和危害程度加以描述。
因此,对客体的侵害外在表现为对等级保护对象的破坏,
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a) b) c) 4.3
造成一般损害;造成严重损害;造成特别严重损害。定级要素与等级的关系
1所示。
定级要素与信息系统安全保护等级的关系如表
表1 定级要素与安全保护等级的关系受侵害的客体一般损害
对客体的侵害程度严重损害
特别严重损害
第一级第三级第五级
第二级
第二级
公民、法人和其他组织的合法权益社会秩序、公共利益国家安全
第三级
第二级第四级
第四级
5 定级方法5.1
定级的一般流程
与之相关的受侵害客体和对客体的侵害程
信息系统安全包括业务信息安全和系统服务安全,
度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:a) b) c) d) e) f) g) h)
确定作为定级对象的信息系统;
确定业务信息安全受到破坏时所侵害的客体;
根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;依据表2,得到业务信息安全保护等级;确定系统服务安全受到破坏时所侵害的客体;
根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;依据表3,得到系统服务安全保护等级;
将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保
护等级。上述步骤如图
1确定等级一般流程所示。
图1 确定等级一般流程5.2
确定定级对象
为了体现重要部分重点保护,
有效控制信息安全
一个单位内运行的信息系统可能比较庞大,
建设成本,优化信息安全资源配置的等级保护原则,的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征:a)
具有唯一确定的安全责任单位
可将较大的信息系统划分为若干个较小
作为定级对象的信息系统应能够唯一地确定其安全责任单位。负责信息系统安全建设、
运行维护等过程的全部安全责任,
如果一个单位的某个下级单位则这个下级单位可以成为信息系
统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。b)
具有信息系统的基本要素
设施按照一定的应用目标和规则组
作为定级对象的信息系统应该是由相关的和配套的设备、合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级
对象。c)
承载单一或相对独立的业务应用
且与其他业务应用没有
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,数据交换,且独享所有信息处理设备。用的主要业务流程独立,
定级对象承载“相对独立”的业务应用是指其业务应
定级对象可能会与其他业
同时与其他业务应用有少量的数据交换,
务应用共享一些设备,尤其是网络传输设备。5.3
确定受侵害的客体
社会秩序、公众利益以及公民、
法人和其
定级对象受到破坏时所侵害的客体包括国家安全、他组织的合法权益。
侵害国家安全的事项包括以下方面:- - - - - -
影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:- - - - -
影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;
影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:- - - -
影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
法人和其他
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,益。
各行业可根据本行业业务特点,
分析各类信息和各类信息系统与国家安全、
社会秩序、公共
最后判断是否侵害公民、
法人和其他组织的合法权
利益以及公民、法人和其他组织的合法权益的关系,统受到破坏时所侵害的客体。5.4 5.4.1
确定对客体的侵害程度侵害的客观方面
从而确定本行业各类信息和各类信息系
在客观方面,对客体的侵害外在表现为对定级对象的破坏,破坏和对信息系统服务的破坏,
可用性等,系统服务安全是指确保信息系统可以及时、
其危害方式表现为对信息安全的
完整性和
有效地提供服务,以完成预定的业务
其中信息安全是指确保信息系统内信息的保密性、
目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:- - - - - - -
影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
综合判定侵害程度
因此,应首先根据不同的受侵害客体、
不
5.4.2
侵害程度是客观方面的不同外在表现的综合体现,同危害后果分别确定其危害程度。
对不同危害后果确定其危害程度所采取的方法和所考虑的
角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,
业务信息安全被破坏导致的财物损失可以
从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:-
如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作
为判断侵害程度的基准;-
如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益
作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:一般损害:工作职能受到局部影响,
业务能力有所降低但不影响主要功能的执行,
出现较轻
的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。严重损害:工作职能受到严重影响,
业务能力显著下降且严重影响主要功能执行,
出现较严
重的法律问题,较高的财产损失,较大范围的社会不良影响,损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,法执行,出现极其严重的法律问题,和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,
对其他组织和个人造成较严重
业务能力严重下降且或功能无
极高的财产损失,大范围的社会不良影响,对其他组织
由对不同危害结果的危害程度进行综
信息安全和各行业可根据
合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,系统服务安全受到破坏后关注的危害结果、本行业信息特点和系统服务特点,
危害程度的计算方式均可能不同,
制定危害程度的综合评定方法,并给出侵害不同客体造成
一般损害、严重损害、特别严重损害的具体定义。5.5
确定定级对象的安全保护等级
依据表2业务信息安
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,全保护等级矩阵表,即可得到业务信息安全保护等级。表2 业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体一般损害
严重损害
特别严重损害
对相应客体的侵害程度
公民、法人和其他组织的合法权益社会秩序、公共利益国家安全
第三级
第二级第四级
第一级第三级
第二级第二级
第四级
第五级
依据表2系统服务安
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,全保护等级矩阵表,即可得到系统服务安全保护等级。表3 系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体一般损害
严重损害
特别严重损害
第一级第三级第五级
第二级
第二级
对相应客体的侵害程度
公民、法人和其他组织的合法权益社会秩序、公共利益国家安全
第三级
第二级第四级
第四级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。6 等级变更
在信息系统的运行过程中,
安全保护等级应随着信息系统所处理的信息和业务状态的变化进
行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,5章给出的定级方法重新定级。
可能影响到系统的安全保护等级时,
应根据本标准第
物业安保培训方案
为规范保安工作,使保安工作系统化/规范化,最终使保安具备满足工作需要的知识和技能,特制定本教学教材大纲。
一、课程设置及内容全部课程分为专业理论知识和技能训练两大科目。
其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事
技能。
二.培训的及要求培训目的
1)保安人员培训应以保安理论知识、消防知识、法律常识教学为主,在教学过程中,应要求学员全面熟知保安理论知识及消防专业知识,在工作中的操作与运用,并基本掌握现场
保护及处理知识2)职业道德课程的教学应根据不同的岗位元而予以不同的内容,使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范)法律
常识教学是理论课的主要内容之一,要求所有保安都应熟知国家有关法律、法规,成为懂法、知法、守法的公民,运用法律这一有力武器与违法犯罪分子作斗争。工作入口门
卫守护,定点守卫及区域巡逻为主要内容,在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。
2、培训要求
1)保安理论培训
通过培训使保安熟知保安工作性质、地位、任务、及工作职责权限,同时全面掌握保安专业知识以及在具体工作中应注意的事项及一般情况处置的原则和方法。
2)消防知识及消防器材的使用
通过培训使保安熟知掌握消防工作的方针任务和意义,熟知各种防火的措施和消防器材设施的操作及使用方法,做到防患于未燃,保护公司财产和员工生命财产的安全。
3) 法律常识及职业道德教育
通过法律常识及职业道德教育,使保安树立法律意识和良好的职业道德观念,能够运用法律知识正确处理工作中发生的各种问题;增强保安人员爱岗敬业、无私奉献更好的为公司
服务的精神。
4) 工作技能培训
因篇幅问题不能全部显示,请点此查看更多更全内容