GAT 1389-2017 信息安全技术网络安全等级保护定级指南.pdf-资料库

xblan-12195629-4744302542851505405.pdf-第1页.png

第1页 / 共17页

xblan-12195629-4744302542851505405.pdf-第2页.png

第2页 / 共17页

xblan-12195629-4744302542851505405.pdf-第3页.png

第3页 / 共17页

xblan-12195629-4744302542851505405.pdf-第4页.png

第4页 / 共17页

xblan-12195629-4744302542851505405.pdf-第5页.png

第5页 / 共17页

xblan-12195629-4744302542851505405.pdf-第6页.png

第6页 / 共17页

xblan-12195629-4744302542851505405.pdf-第7页.png

第7页 / 共17页

xblan-12195629-4744302542851505405.pdf-第8页.png

第8页 / 共17页

ICS 35.40 L80 GA 中华人民共和国公共安全行业标准 GA/T 1389—2017 信息安全技术网络安全等级保护定级指南 Information security technology Guidelines for grading of classified protection of cyber security 2017-05-08 发布 2017-05-08 实施中华人民共和国公安部发布 1

GA/T 1389—2017 目次前言 ............................................................................... III 引言 ................................................................................ IV 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 定级原理及流程 .................................................................... 2 4.1 安全保护等级 .................................................................. 2 4.2 定级要素 ...................................................................... 2 4.2.1 定级要素概述 .............................................................. 2 4.2.2 受侵害的客体 .............................................................. 2 4.2.3 对客体的侵害程度 .......................................................... 3 4.3 定级要素与安全保护等级的关系 .................................................. 3 4.4 定级流程 ...................................................................... 4 5 确定定级对象 ...................................................................... 4 5.1 基础信息网络 .................................................................. 5 5.2 信息系统 ...................................................................... 5 5.2.1 工业控制系统 .............................................................. 5 5.2.2 云计算平台 ................................................................ 5 5.2.3 物联网 .................................................................... 5 5.2.4 采用移动互联技术的信息系统 ................................................ 5 5.2.5 其他信息系统 .............................................................. 5 5.3 大数据 ........................................................................ 5 6 初步确定安全保护等级 .............................................................. 5 6.1 定级方法概述 .................................................................. 5 6.2 确定受侵害的客体 .............................................................. 6 6.3 确定对客体的侵害程度 .......................................................... 6 6.3.1.1 侵害的客观方面 ........................................................ 6 6.3.1.2 综合判定侵害程度 ...................................................... 7 6.4 确定安全保护等级 .............................................................. 7 7 专家评审 .......................................................................... 8 8 主管部门审核 ...................................................................... 8 9 公安机关备案审查 .................................................................. 8 10 等级变更 ......................................................................... 8 附录 A（资料性附录）定级方法流程 .................................................... 9 I

附录 B（资料性附录）各级等级保护对象定级工作要求 ................................... 10 参考文献 ............................................................................ 11 II

GA/T 1389—2017 前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部信息安全等级保护评估中心、电力行业信息安全等级保护测评中心第一测评实验室、阿里云计算有限公司、杭州华三通信技术有限公司。本标准主要起草人：李明、曲洁、任卫红、张振峰、袁静、朱建平、马力、刘韧、陈雪秀、刘鑫。 III

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）和《信息安全等级保护管理办法》（公通字〔2007〕43号）制定本标准。与本标准相关的国家系列标准包括： —— GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南； —— GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； —— GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求。本标准依据等级保护相关管理文件，综合考虑保护对象在国家安全、经济建设、社会生活中的重要程度，以及保护对象遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，提出确定保护对象安全保护等级的方法。 IV

GA/T 1389—2017 信息安全技术网络安全等级保护定级指南 1 范围本标准规定了网络安全等级保护的定级方法和定级流程。本标准适用于为等级保护对象的定级工作提供指导。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 25069-2010 信息安全技术术语 3 术语和定义 GB17859-1999和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 等级保护对象 target of classified protection 网络安全等级保护工作的作用对象，主要包括基础信息网络、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等。 3.2 基础信息网络 basic information network 为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施。 3.3 信息系统 information system 由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则进行信息处理或过程控制的资源集合。资源可以是物理设备，也可以是虚拟设备。 3.4 国家关键信息基础设施 national critical information infrastructure 公共通信和信息服务、能源、金融、交通、水利、公共服务和电子政务等重要行业和领域的基础信息网络、重要信息系统和数据资源，以及其他一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益的等级保护对象。 1

3.5 客体 object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系。 3.6 客观方面 objective aspect 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。 4 定级原理及流程 4.1 安全保护等级根据等级保护相关管理文件，等级保护对象的安全保护等级分为以下五级： a) 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益； b) 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； c) 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； d) 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害； e) 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。 4.2 定级要素 4.2.1 定级要素概述等级保护对象的级别由两个定级要素决定： a) 受侵害的客体； b) 对客体的侵害程度。 4.2.2 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面： a) 公民、法人和其他组织的合法权益； b) 社会秩序、公共利益； c) 国家安全。侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力；其他影响国家安全的事项。侵害社会秩序的事项包括以下方面：影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序； 2

资料库

GAT 1389-2017 信息安全技术网络安全等级保护定级指南.pdf

相关推荐

安全技术

热门标签

最新资料