中国标准英文版 数据库收录: 159759 更新: 2024-06-04

[PDF] GA/T 1389-2017 - 自动发货. 英文版

标准搜索结果: 'GA/T 1389-2017'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GA/T 1389-2017 英文版 190 GA/T 1389-2017 3分钟内自动发货[PDF],有增值税发票。 信息安全技术 网络安全等级保护定级指南 有效

基本信息
标准编号 GA/T 1389-2017 (GA/T1389-2017)
中文名称 信息安全技术 网络安全等级保护定级指南
英文名称 Information security technology—Guidelines for grading of classified protection of cyber security
行业 公安行业标准 (推荐)
中标分类 L80
国际标准分类 35.40
字数估计 14,175
发布日期 2017-05-08
实施日期 2017-05-08
起草单位 公安部信息安全等级保护评估中心、电力行业信息安全等级保护测评中心第一测评实验室、阿里云计算有限公司、杭州华三通信技术有限公司
归口单位 公安部信息系统安全标准化技术委员会
提出机构 公安部网络安全保卫局
发布机构 中华人民共和国公安部

GA/T 1389-2017: 信息安全技术 网络安全等级保护定级指南
GA/T 1389-2017 英文名称: Information security technology—Guidelines for grading of classified protection of cyber security
中华人民共和国公共安全行业标准
信息安全技术
网络安全等级保护定级指南
中华人民共和国公安部 发 布
1 范围
本标准规定了网络安全等级保护的定级方法和定级流程。
本标准适用于为等级保护对象的定级工作提供指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB 17859-1999和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
4 定级原理及流程
4.1 安全保护等级
根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下5级:
a) 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害
国家安全、社会秩序和公共利益;
b) 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者
对社会秩序和公共利益造成损害,但不损害国家安全;
c) 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,
或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家
安全造成严重损害;
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
4.2 定级要素
4.2.1 定级要素概述
等级保护对象的级别由两个定级要素决定:
a) 受侵害的客体;
b) 对客体的侵害程度。
4.2.2 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下3个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
侵害公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所
享有的一定的社会权利和利益等受到损害。
侵害社会秩序的事项包括以下方面:
a) 影响国家机关社会管理和公共服务的工作秩序;
b) 影响各种类型的经济活动秩序;
c) 影响各行业的科研、生产秩序;
d) 影响公众在法律约束和道德规范下的正常生活秩序等;
e) 其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:
a) 影响社会成员使用公共设施;
b) 影响社会成员获取公开信息资源;
c) 影响社会成员接受公共服务等方面;
d) 其他影响公共利益的事项。
侵害国家安全的事项包括以下方面:
a) 影响国家政权稳固和国防实力;
b) 影响国家统一、民族团结和社会安定;
c) 影响国家对外活动中的政治、经济利益;
d) 影响国家重要的安全保卫工作;
e) 影响国家经济竞争力和科技实力;
f) 其他影响国家安全的事项。
4.2.3 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对
象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危
害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为造成一般损害、造成严重损害、造成特别严
重损害3种。3种侵害程度的描述如下:
a) 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的
法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
b) 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重
的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;
c) 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法
执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人
造成非常严重损害。
4.3 定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如表1所示。
4.4 定级流程
等级保护对象定级工作的一般流程如图1所示。各级等级保护对象定级工作具体要求参见附
录A。
5 确定定级对象
5.1 基础信息网络
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任
主体等因素将其划分为不同的定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。
5.2 信息系统
5.2.1 工业控制系统
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的
定级对象确定原则见5.2.5。现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次
要素不单独定级。
对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
5.2.2 云计算平台
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象
也应作为单独的定级对象定级。
对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
5.2.3 物联网
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。
5.2.4 采用移动互联技术的信息系统
采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线
网络以及相关应用系统等。
5.2.5 其他信息系统
作为定级对象的其他信息系统应具有如下基本特征:
a) 具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位;
b) 承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用,完成不同
业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象;
c) 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按
照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不
单独定级。
5.3 大数据
应将具有统一安全责任单位的大数据作为一个整体对象定级,或将其与责任主体相同的相关支撑
平台统一定级。
6 初步确定安全保护等级
6.1 定级方法概述
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害
程度可能不同,因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全
角度反映的定级对象安全保护等级称业务信息安全保护等级;从系统服务安全角度反映的定级对象安
全保护等级称系统服务安全保护等级。
定级方法如下:
a) 确定受到破坏时所侵害的客体:
1) 确定业务信息受到破坏时所侵害的客体;
2) 确定系统服务受到侵害时所侵害的客体。
b) 确定对客体的侵害程度:
1) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
2) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度。
c) 确定安全保护等级:
1) 确定业务信息安全保护等级;
2) 确定系统服务安全保护等级;
3) 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全
保护等级。
定级方法的流程示意图参见附录B。
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素,根据其在国家安全、经济建设、社
会生活中的重要程度,以及数据资源遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他
组织的合法权益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上。
对于基础信息网络、云计算平台等定级对象,应根据其承载或将要承载的等级保护对象的重要程度
确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
国家关键信息基础设施的安全保护等级应不低于第三级。
6.2 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织
的合法权益。
确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最
后判断是否侵害公民、法人和其他组织的合法权益。
6.3 确定对客体的侵害程度
6.3.1 侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对业务信息安全的破
坏和对信息系统服务的破坏,其中业务信息安全是指确保信息系统内信息的保密性、完整性和可用性
等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信
息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需
要分别处理这两种危害方式。
业务信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
a) 影响行使工作职能;
b) 导致业务能力下降;
c) 引起法律纠纷;
d) 导致财产损失;
e) 造成社会不良影响;
f) 对其他组织和个人造成损失;
g) 其他影响。
6.3.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害
后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,
例如系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或
业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息
恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应按照以下不同的判别基准:
a) 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断
侵害程度的基准;
b) 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为
判断侵害程度的基准。
业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综
合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统
服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点
和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严
重损害的具体定义。
6.4 确定安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保......
相关标准:     GA/T 1390.2-2017     GA/T 1390.3-2017     GA/T 1390.5-2017
英文版PDF:GA/T 1389-2017     GA/T 1389-2017  GA/T1389  GAT1389   GM/T 0103-2021  GM/T0103  GMT0103   GM/T 0101-2020  GM/T0101  GMT0101
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版