¿Dónde puedo acudir para realizar la calificación y archivo de los sistemas de información?
1. Clasificación y protección de los niveles de protección de seguridad del sistema de información
(1) Principios de funcionamiento de la calificación del sistema de información
Se debe realizar el trabajo de calificación del sistema de información de conformidad con las normas "autónomas" de calificación, peritaje, aprobación por las autoridades competentes y revisión por los órganos de seguridad pública. Los principales contenidos del trabajo de clasificación incluyen: determinar los objetos de clasificación, determinar el nivel de protección de seguridad del sistema de información, organizar la revisión de expertos, la revisión y aprobación por parte de las autoridades competentes y la revisión por parte de los órganos de seguridad pública. En particular, el aviso sobre el transporte. Se puede especificar el grado de protección del nivel de seguridad de los sistemas de información importantes a nivel nacional 》 (Gongtongzi [2007] No. 861) requiere implementación. Cada unidad operativa del sistema de información y departamento competente es responsable de la protección del nivel de seguridad de la información. El nivel de protección de seguridad del sistema de información se determina en función de la importancia del sistema de información al que pertenece y el grado de daño si se daña. Al mismo tiempo, de acuerdo con los niveles designados y de acuerdo con los reglamentos de gestión y las normas técnicas de los niveles correspondientes, se construyen instalaciones de protección de seguridad de la información, se establecen sistemas de seguridad, se implementan responsabilidades de seguridad y se protegen los sistemas de información.
En el trabajo de protección jerárquica, las unidades operativas del sistema de información y los departamentos competentes realizan su trabajo de acuerdo con el principio de "quien está a cargo es responsable y quien opera es responsable" y aceptan la seguridad de la información. instrucciones del departamento de supervisión sobre la realización de trabajos de supervisión jerárquica. Las unidades operativas y departamentos competentes son los primeros responsables de la seguridad de los sistemas de información y son directamente responsables de la seguridad de sus sistemas de información los departamentos de seguridad pública, confidencialidad y criptografía supervisan, inspeccionan y orientan a las unidades operativas y departamentos competentes; en la realización de labores de protección jerárquica Responsable de supervisar la seguridad de los sistemas de información importantes. Dado que la operación segura de importantes sistemas de información no solo afecta la producción y el orden de trabajo de la industria y la unidad, sino que también afecta la seguridad nacional, la estabilidad social y los intereses públicos, el estado debe supervisar la seguridad de importantes sistemas de información.
(2) Nivel de protección de seguridad del sistema de información
El nivel de protección de seguridad de los sistemas de información debe basarse en la importancia del sistema de información en la seguridad nacional, la construcción económica y la vida social. Determinar el grado de daño a la seguridad nacional, el orden social, los intereses públicos y los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones. El nivel de protección de seguridad de los sistemas de información se divide en cinco niveles, aumentando paso a paso del nivel uno al nivel cinco.
(3) Factores de clasificación del nivel de protección de seguridad del sistema de información
El nivel de protección de seguridad del sistema de información está determinado por dos factores de clasificación: el objeto que se viola cuando el objeto de protección de nivel es dañado y el grado de infracción causada al objeto.
1. Objetos infringidos
Los objetos que se infringen cuando se destruyen los objetos de protección jerárquica incluyen los siguientes tres aspectos: en primer lugar, los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otros. organizaciones; el segundo, el orden social y los intereses públicos; el tercero, la seguridad nacional.
2. El grado de infracción del objeto
El grado de infracción del objeto está determinado de manera integral por diferentes manifestaciones externas en aspectos objetivos. Dado que la infracción del objeto se realiza mediante la destrucción del objeto de protección jerárquica, la infracción del objeto se manifiesta externamente como la destrucción del objeto de protección jerárquica, que se describe mediante el método del daño, las consecuencias del daño y el grado del daño. Existen tres grados de infracción causada al objeto después de haber sido dañado el objeto de protección graduada: primero, causando daño general, segundo, causando daño grave y tercero, causando daño particularmente grave;
(4) Protección y supervisión de cinco niveles
Los operadores y usuarios de sistemas de información protegerán los sistemas de información de acuerdo con la política nacional de protección del nivel de seguridad de la información y las normas técnicas pertinentes. departamento de supervisión de seguridad Supervisar y gestionar su trabajo de protección del nivel de seguridad de la información. La relación entre los elementos de calificación y los niveles de protección de seguridad del sistema de información se muestra en la Tabla 1-1.
Tabla 1-1? ¿La relación entre los elementos de calificación y los niveles de protección de seguridad?
Nivel
Objeto
Objeto de la infracción
Grado de la infracción
Intensidad de la supervisión
Nivel 1
Sistema general
Derechos e intereses legítimos
p>
Daños
Protección autónoma
Orientación de segundo nivel sobre daños graves a Derechos e Intereses Legítimos
Daños al orden social y a los intereses públicos
Tercer nivel
Sistema importante
Supervisión e inspección de daños graves al orden social y a los intereses públicos
p>Daños a la seguridad nacional
Nivel 4: el orden social y los intereses públicos están particularmente gravemente dañados y hay supervisión e inspección obligatorias
Seguridad nacional Daños graves
Nivel 5
Sistema de máxima importancia
Seguridad nacional
Daños especialmente graves
Supervisión e inspección especiales
2. Principales pasos del trabajo de nivelación.
La calificación del sistema de información es el primer y principal vínculo en el trabajo de protección de calificaciones, y es una base importante para llevar a cabo el archivo, construcción y rectificación del sistema de información, evaluación de calificaciones, supervisión e inspección, etc. Primero aclaremos un concepto. Los sistemas de información incluyen redes de información básicas y diversos sistemas de aplicación que sirven de soporte y transmisión. Si el nivel de seguridad del sistema de información no se califica con precisión, el trabajo de seguimiento, como el archivo del sistema, la rectificación de la construcción y la evaluación de calificaciones, perderán sus bases y no se garantizará la seguridad del sistema de información. El trabajo de clasificación se puede realizar según los siguientes pasos.
(1) Llevar a cabo una investigación exhaustiva
De acuerdo con el alcance de calificación determinado en el "Aviso sobre calificación de trabajos", cada unidad y departamento puede organizar una investigación exhaustiva de sus afiliados. sistemas de información para llevar a cabo una investigación exhaustiva despejar la base del sistema de información, dominar el tipo de negocio, el alcance de la aplicación o servicio, la estructura del sistema y otra información básica del sistema de información (incluida la red de información) y sentar las bases para aclarar los requisitos e implementar responsabilidades. en el siguiente paso.
(2) Determinar los objetos de calificación
En el trabajo de calificación de protección del nivel de seguridad del sistema de información importante nacional (en lo sucesivo, el "trabajo de calificación"), cómo determinar científica y razonablemente ¿Los objetos de calificación? Los objetos de nivel son el tema más crítico. La unidad operativa del sistema de información o el departamento competente determina los objetos de clasificación según los siguientes principios.
En primer lugar, la red de información que desempeña una función de soporte y transmisión (incluida la red privada, la intranet, la red externa y el sistema de gestión de red) debe utilizarse como objeto de calificación. Pero en lugar de tratar a toda la red como un objeto de calificación, la red de información básica debe dividirse en varios dominios de seguridad mínimos o unidades mínimas desde la perspectiva de la gestión de seguridad y las responsabilidades de seguridad de la calificación.
En segundo lugar, varios sistemas comerciales utilizados para producción, programación, gestión, operaciones, comando, oficina y otros fines deben determinarse individualmente como objetos de clasificación de acuerdo con diferentes categorías comerciales, independientemente de si el sistema realiza intercambio de datos. Que el dispositivo sea exclusivo es una condición para determinar el objeto de calificación. Un determinado tipo de sistema de información no se puede utilizar como objeto de calificación para calificar.
En tercer lugar, los sitios web de cada unidad deben considerarse objetos de calificación independientes. Si el nivel de seguridad del sistema de gestión de bases de datos backend del sitio web es alto, también debe utilizarse como un objeto de calificación independiente. El sistema de información que se ejecuta en el sitio web (como el sistema de registro y examen de los servicios sociales) también debe considerarse un objeto de calificación independiente.
El cuarto es confirmar si la unidad responsable de la calificación tiene la responsabilidad de supervisión comercial del sistema de calificación. En otras palabras, el departamento comercial debe tomar la iniciativa en la calificación del sistema de información comercial, y el departamento de operación y mantenimiento (como el centro de información, el administrador) puede ayudar a calificar y llevar a cabo trabajos posteriores de protección de seguridad de acuerdo con los requisitos de el departamento comercial.
El quinto es disponer de los elementos básicos de los sistemas de información. El sistema de información como objeto de clasificación debe ser una entidad tangible compuesta de equipos e instalaciones relacionados y de soporte de acuerdo con ciertos objetivos y reglas de aplicación. Evite apuntar a un solo componente del sistema (como un servidor, terminal, dispositivo de red, etc.) como objeto de calificación.
Por ejemplo, la red olímpica incluye principalmente la "Extranet de la oficina del Comité Organizador Olímpico" (que incluye 16 negocios como oficina automatizada, administración de sedes, correo electrónico, logística y domicilio de los empleados), la "Oficina interna del Comité Organizador Olímpico" "Red de área local" (que incluye tres negocios, incluida la gestión financiera y la gestión de personal), "Red de venta de entradas olímpicas" (sitio web de venta de entradas y sistema de gestión de entradas), "Sitio web oficial de los Juegos Olímpicos" (sitio web del portal y sistema de procesamiento de datos de antecedentes), "Acceso a Internet olímpico " ", "Red de Competición" y otros seis sistemas de información olímpica. La red de oficinas externas del Comité Organizador Olímpico, la LAN de la oficina interna del Comité Organizador Olímpico, el sitio web de venta de entradas, el sistema de gestión de entradas, el sitio web oficial olímpico y la red de competición se identifican como objetos de clasificación.
(3) Determinar preliminarmente el nivel del sistema de información
El nivel del sistema de información se puede determinar de acuerdo con los siguientes requisitos:
1. . Cada unidad operativa del sistema de información y departamento competente son las entidades responsables de la calificación del sistema de información.
2. Factores de calificación. El nivel de protección de seguridad de un sistema de información está determinado por dos factores de clasificación: el objeto que se infringe cuando se daña el nivel de protección del objeto y el grado de infracción causada al objeto.
El nivel de protección de seguridad de un sistema de información es un atributo objetivo y natural del propio sistema de información. No se basa en qué medidas de protección de seguridad se han tomado o se tomarán, sino que se basa en la importancia de ellas. el sistema de información y el daño al sistema de información El nivel de protección de seguridad del sistema de información se determina en función del grado de daño a la seguridad nacional, la estabilidad social y el bienestar público legítimo de las personas. Al calificar, se debe considerar principalmente el impacto de la destrucción del sistema de información en la seguridad nacional y la estabilidad social, así como factores como diversas fuerzas hostiles nacionales y extranjeras y elementos hostiles que invaden, atacan, destruyen y roban secretos contra sistemas de información importantes. Es necesario evitar que las unidades individuales califiquen sus páginas demasiado alto en aras de una seguridad absoluta, y evitar que las calificaciones sean demasiado bajas para evitar la supervisión.
3. Métodos de calificación de diversos sistemas. En primer lugar, el sistema de información lo construye ella misma la unidad (no tiene nada que ver con la unidad superior) y la unidad determina el nivel de forma independiente. En segundo lugar, para los sistemas de información que están conectados en red de manera uniforme en todas las provincias o en todo el país, las autoridades competentes pueden determinar de manera uniforme el nivel de protección de seguridad. Entre ellos: un sistema en red nacional que sea planificado, construido e implementado de manera uniforme por todas las industrias y con una estrategia de protección de seguridad unificada debe ser unificado y calificado por las autoridades competentes de la industria; el sistema de información está en red a nivel nacional con planificación unificada, construcción jerárquica y nacional; red por cada industria. El nivel del sistema debe ser determinado por el ministerio, la provincia y la ciudad a nivel de prefectura respectivamente, pero los departamentos competentes de cada industria deben proporcionar opiniones de calificación para el sistema para evitar el fenómeno de que se califiquen niveles más bajos de sistemas similares. superiores a los niveles superiores. Para el nivel de este tipo de sistema, una vez determinado el nivel inferior, debe informarse al departamento competente de nivel superior para su aprobación.
Se debe prestar especial atención al hecho de que el nivel de protección de seguridad de sistemas de información similares no se puede reducir a medida que disminuyen los niveles administrativos de los ministerios, provincias y ciudades, por ejemplo, sistemas importantes en industrias importantes. los niveles prefectural y municipal no pueden designarse como uno solo.
4. Clasificación de nuevos sistemas
Para sistemas nuevos, las unidades operativas del sistema de información deben determinar el nivel de protección de seguridad del sistema de información durante la planificación y el diseño, y planificar simultáneamente de acuerdo con la información. nivel del sistema. , diseño sincrónico e implementación simultánea de medidas técnicas de protección de seguridad y medidas de gestión. Consulte la Sección 1.3 para conocer métodos y requisitos específicos para determinar el nivel de protección de seguridad de los sistemas de información.
(4) Revisión del nivel del sistema de información
Después de que la unidad de operación y uso del sistema de información o el departamento competente haya determinado inicialmente el nivel de protección de seguridad del sistema de información, para garantizar que la calificación es razonable y preciso, puede contratar expertos. Realizar revisiones y emitir opiniones de expertos.
(5) Aprobación del nivel del sistema de información
Para los sistemas de información construidos por la unidad (que no tienen nada que ver con la unidad superior), una vez determinado el nivel, sube a cada industria decidir si lo presenta a la autoridad superior para su aprobación. La unidad de operación y uso del sistema de información se refiere a las opiniones de revisión de calificaciones de expertos para finalmente determinar la calificación del sistema de información y formar un "Informe de calificación". Si las opiniones de la revisión de expertos son inconsistentes con las opiniones de la unidad operativa, la unidad operativa deberá decidir el nivel del sistema de forma independiente. Si la unidad operativa del sistema de información tiene una autoridad superior, el nivel de protección de seguridad deberá ser revisado y aprobado por la autoridad superior. El departamento competente generalmente se refiere al departamento competente de nivel superior o al departamento regulador de la industria. Si se trata de un sistema de información utilizado para la operación de redes interregionales, debe ser aprobado por su autoridad superior para garantizar la coherencia de las calificaciones de sistemas similares o sistemas sucursales en varias regiones.
(6) Revisión por parte de los órganos de seguridad pública
Después de recibir los materiales de registro de las unidades que operan y utilizan el sistema de información, los órganos de seguridad pública deberán revisar la exactitud de la calificación del sistema de información. La revisión por parte de los órganos de seguridad pública es la última línea de defensa en la calificación del trabajo y debe tomarse en serio y controlarse estrictamente.
Si la clasificación del sistema de información es básicamente precisa, el órgano de seguridad pública emitirá el "Certificado de registro de protección del nivel de seguridad del sistema de información" (en adelante, "Certificado de registro") elaborado bajo la supervisión unificada del Ministerio de Seguridad Pública. Si la clasificación es inexacta, el órgano de seguridad pública emitirá un aviso de rectificación a la unidad de presentación y recomendará que la unidad de presentación organice expertos para realizar una revisión de reclasificación y la presente a la autoridad superior para su aprobación. Si la unidad de presentación aún se apega al nivel original, el organismo de seguridad pública podrá aceptar su archivo, pero será notificado por escrito de las responsabilidades y consecuencias que de ello se deriven, con la aprobación del organismo superior de seguridad pública, el nivel superior competente. Al mismo tiempo se notificará al departamento de la unidad de archivo.
3. Cómo determinar el nivel de protección de seguridad de los sistemas de información
(1) Cómo entender los cinco niveles de protección de seguridad de los sistemas de información
La protección de seguridad El nivel de los sistemas de información es Los atributos objetivos de un sistema de información no se basan en las medidas de protección de seguridad que se han tomado o se tomarán, sino en la importancia del sistema de información y el grado de daño a la seguridad nacional, la estabilidad social y los derechos e intereses legítimos de las personas si el sistema de información es destruido. En base a esto, determine el nivel de protección de seguridad del sistema de información. Es necesario evitar que las unidades individuales persigan unilateralmente la seguridad absoluta y las califiquen demasiado alto, y evitar que las califiquen demasiado bajo para evitar la supervisión. El nivel de seguridad de una red de información se puede determinar haciendo referencia al nivel del sistema de información que se ejecuta en ella, el alcance del servicio de la red y sus propias necesidades de seguridad para determinar el nivel de protección adecuado. No se necesita ni el más alto ni el más bajo. El nivel del sistema de información que se ejecuta en él no es ni alto ni bajo.
Para ayudar a las unidades operativas del sistema de información a determinar con precisión el nivel de protección de seguridad de los sistemas de información, puede consultar la siguiente descripción de los cinco niveles para determinar el nivel del sistema.
Sistema de información de primer nivel: generalmente adecuado para pequeñas empresas privadas e individuales, escuelas primarias y secundarias, sistemas de información afiliados a municipios y sistemas de información general en unidades a nivel de condado.
Sistema de información de segundo nivel: generalmente aplicable a sistemas de información importantes en algunas unidades a nivel de condado; sistemas de información generales dentro de agencias estatales, empresas e instituciones por encima del nivel de ciudad a nivel de prefectura. Por ejemplo, sistemas de oficina y sistemas de gestión que no impliquen secretos de trabajo, secretos comerciales, información sensible, etc.
Sistema de información de tercer nivel: generalmente aplicable a importantes sistemas de información internos de agencias estatales, empresas e instituciones públicas por encima del nivel de ciudad a nivel de prefectura, como sistemas de oficina y sistemas de gestión que involucran secretos laborales y secretos comerciales. e información confidencial; sistemas de información importantes para producción, despacho, gestión, comando, operación, control, etc. que operan a través de redes provinciales o nacionales y sistemas sucursales de dichos sistemas en provincias, prefecturas y portales de ministerios y comisiones centrales; provincias (regiones autónomas y municipios) Sitios web y sistemas de redes importantes conectados entre provincias, etc.
Sistema de información de nivel 4: generalmente aplicable a sistemas particularmente importantes y sistemas centrales en campos nacionales importantes y departamentos importantes. Por ejemplo, la producción, el despacho y el mando de departamentos importantes como la electricidad, las telecomunicaciones, la radio y la televisión, los ferrocarriles, la aviación civil, la banca y los impuestos son sistemas centrales relacionados con la seguridad nacional, la economía nacional y el sustento de las personas.
Sistema de información de nivel 5: generalmente aplicable a sistemas extremadamente importantes en importantes campos y departamentos nacionales.
(2) Proceso general de calificación
La seguridad del sistema de información incluye la seguridad de la información empresarial y la seguridad del servicio del sistema. Por lo tanto, los objetos infringidos relacionados y el grado de infracción de los objetos pueden ser diferentes. , la clasificación del sistema de información también debe determinarse desde dos aspectos: la seguridad de la información empresarial y la seguridad del servicio del sistema. El nivel de protección de seguridad de los sistemas de información reflejado desde la perspectiva de la seguridad de la información empresarial se denomina nivel de seguridad de la información empresarial. El nivel de protección de seguridad de los sistemas de información reflejado desde la perspectiva de la seguridad del servicio del sistema se denomina nivel de seguridad del servicio del sistema.
El proceso general para determinar el nivel de protección de seguridad de los sistemas de información es el siguiente: determinar el sistema de información como objeto de calificación; determinar el objeto que será infringido cuando la seguridad de la información empresarial se vea comprometida según las diferentes infracciones; objetos, determinar desde múltiples aspectos Evaluar exhaustivamente el grado de daño a los objetos causado por daños a la seguridad de la información empresarial y determinar el nivel de seguridad de la información empresarial en función de la importancia de la información empresarial y el daño posterior al daño determinar los objetos que se dañan cuando el sistema; la seguridad del servicio está dañada según diferentes objetos dañados, evalúe exhaustivamente el grado de daño al objeto causado por la destrucción de la seguridad del servicio del sistema desde múltiples aspectos y determine el nivel de seguridad del servicio del sistema según la importancia del servicio del sistema y el daño; después de sufrir daños, el mayor entre el nivel de seguridad de la información empresarial y el nivel de seguridad del servicio del sistema. El operador determina el nivel de protección de seguridad del objeto clasificado. Los pasos anteriores se muestran en la Figura 1-1.
Figura 1-1? Proceso general de determinación del nivel
1. Determinar el objeto que se infringe
Cuando el objeto clasificado está dañado, el objeto que se infringe incluye la seguridad nacional, el orden social, los intereses públicos y los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones.
Los asuntos que infringen la seguridad nacional incluyen los siguientes aspectos: afectar la estabilidad del poder nacional y la fuerza de la defensa nacional; afectar la unidad nacional, la unidad nacional y la estabilidad social; afectando importantes trabajos de seguridad nacional; afectando la competitividad económica y la fortaleza científica y tecnológica del país; y otros asuntos que afectan la seguridad nacional;
Las materias que atentan contra el orden social incluyen los siguientes aspectos: afectar el orden de funcionamiento de la gestión social y de los servicios públicos de los organismos estatales; afectar el orden de diversos tipos de actividades económicas; en diversas industrias; afectar el orden de la investigación y la producción científica en diversas industrias; el orden de vida normal del público bajo restricciones legales y normas morales; otros asuntos que afectan el orden social;
Los asuntos que afectan los intereses públicos incluyen los siguientes aspectos: afectar el uso de las instalaciones públicas por parte de los miembros de la sociedad; afectar el acceso de los miembros de la sociedad a los recursos de información pública; afectar la aceptación de los servicios públicos por parte de los miembros de la sociedad; .
Los derechos e intereses legítimos que afectan a los ciudadanos, personas jurídicas y otras organizaciones se refieren a determinados derechos e intereses sociales de los que disfrutan los ciudadanos, personas jurídicas y otras organizaciones que están reconocidos y protegidos por la ley.
Al determinar los objetos que serán infringidos después de que se dañe el sistema de información objeto de clasificación, primero debemos determinar si infringe la seguridad nacional y luego determinar si infringe el orden social o los intereses públicos. , y finalmente determinar si lesiona intereses legítimos de ciudadanos, personas jurídicas y de otras organizaciones.
Cada industria puede analizar la relación entre varios tipos de información y diversos sistemas de información y la seguridad nacional, el orden social, los intereses públicos y los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones basadas en el negocio. características de la industria. Esto determinará los objetos que se verán dañados cuando se dañen varios tipos de información y sistemas de información en la industria.
2. Determinar el grado de infracción sobre el objeto
El aspecto objetivo de la infracción. En términos de aspectos objetivos, la infracción del objeto se manifiesta externamente como la destrucción del objeto clasificado, y el daño se manifiesta en la destrucción de la seguridad de la información y la destrucción de los servicios del sistema de información. La seguridad de la información se refiere a garantizar la confidencialidad de la información. dentro del sistema de información, integridad y disponibilidad, etc. La seguridad del servicio del sistema se refiere a garantizar que los sistemas de información puedan proporcionar servicios de manera oportuna y efectiva para completar objetivos comerciales predeterminados. Dado que los objetos dañados por daños a la seguridad de la información empresarial y la seguridad de los servicios del sistema y el grado de daño a los objetos pueden ser diferentes, estos dos tipos de daños deben tratarse por separado durante el proceso de calificación.
Después de que se dañe la seguridad de la información y la seguridad del servicio del sistema, pueden ocurrir las siguientes consecuencias dañinas: afectar el desempeño de las funciones laborales; provocar una disminución de las capacidades comerciales; causar disputas legales que causen pérdidas sociales adversas; efectos adversos en otras organizaciones y pérdidas personales;
3. Determinación integral del grado de infracción
El grado de infracción es un reflejo integral de diferentes manifestaciones externas en aspectos objetivos, por lo que primero debe determinarse en función de los diferentes infringidos. objetos y diferentes consecuencias nocivas su grado de daño. Los métodos y perspectivas adoptados para determinar el grado de daño de las diferentes consecuencias de los peligros pueden ser diferentes. Por ejemplo, el grado en que las capacidades comerciales se reducen debido a que la seguridad del servicio del sistema se ve comprometida se puede determinar a partir de diferentes aspectos, como el área cubierta por el riesgo. servicio del sistema de información, el número de usuarios o el volumen de negocio. Se determina que las pérdidas de propiedad causadas por la destrucción de la seguridad de la información empresarial se pueden determinar a partir de las pérdidas financieras directas, los costos indirectos de recuperación de información, etc.
Al juzgar el grado de infracción de diferentes objetos infringidos, se deben tener en cuenta los siguientes criterios diferentes:
Si el objeto infringido son los derechos e intereses legítimos de ciudadanos, personas jurídicas o otras organizaciones, entonces los intereses generales del individuo o de la unidad se utilizarán como base para juzgar el grado de infracción;
Si el objeto de la infracción es el orden social, el interés público o la seguridad nacional, el interés general Se deben utilizar los intereses de toda la industria o del país. Los intereses sirven como base para juzgar el grado de infracción.
Los tres niveles de daño con diferentes consecuencias de daño se describen a continuación:
Daño general: las funciones laborales se ven parcialmente afectadas, las capacidades comerciales se reducen pero la ejecución de las funciones principales no se ve afectada. , y se producen daños menores, menores pérdidas de propiedad, impacto social negativo limitado y menores daños a otras organizaciones e individuos.
Daños graves: las funciones laborales se ven gravemente afectadas, las capacidades empresariales se reducen significativamente y la ejecución de las funciones principales se ve gravemente afectada, se producen problemas legales más graves, mayores pérdidas patrimoniales, efectos sociales adversos más amplios y otras causas graves. daños a organizaciones e individuos.
Daños extremadamente graves: las funciones laborales se ven especialmente afectadas o se pierde la capacidad de realizarlas, las capacidades comerciales se reducen seriamente o las funciones no se pueden realizar, se producen problemas legales extremadamente graves, pérdidas de propiedad extremadamente elevadas y grandes daños. Los males sociales impactan a gran escala, causando daños muy graves a otras organizaciones e individuos.
El grado de daño al objeto después de destruir la seguridad de la información y la seguridad del servicio del sistema se determina mediante una evaluación integral del grado de daño causado por diferentes resultados de daño. Dado que los tipos de información y las características de los servicios del sistema procesados por los sistemas de información en diversas industrias son diferentes, los riesgos que resultan preocupantes después de que la seguridad de la información y la seguridad de los servicios del sistema se ven comprometidos, y los métodos de cálculo del grado de peligros pueden ser diferentes en cada industria. los peligros basados en las características de la información y las características del servicio del sistema de la industria, desarrollar un método de evaluación integral para el grado de daño y proporcionar definiciones específicas de daño general, daño grave y daño particularmente grave causado por la infracción de diferentes. objetos.
4. Determinar el nivel de protección de seguridad del sistema de información
Según los objetos que se infringen cuando se destruye la seguridad de la información empresarial y el grado de infracción a los objetos correspondientes, según Tabla 1-2 Protección de seguridad de la información empresarial La tabla de matriz de niveles se puede utilizar para obtener el nivel de protección de seguridad de la información empresarial.
Tabla 1-2? Tabla de matriz de niveles de protección de la seguridad de la información empresarial
Objetos dañados cuando se viola la seguridad de la información empresarial
Grado de infracción del objeto correspondiente
Daño general
Daño grave
Daños especialmente graves
Derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones
Nivel 1
Nivel 2
Nivel 2
Orden social, publicidad*** Beneficios
Segundo Nivel
Tercer Nivel
Sec.
Seguridad Nacional
Nivel 3
Sec.
Nivel 5
Basado en los objetos que se infringen cuando la seguridad del servicio del sistema se ve comprometida y la infracción de los objetos correspondientes Según Según la tabla de la matriz de niveles de protección de seguridad del servicio del sistema en la Tabla 1-3, se puede obtener el nivel de protección de seguridad del servicio del sistema.
Tabla 1-3? Tabla de matriz de niveles de protección de seguridad del servicio del sistema
Objetos dañados cuando la seguridad del servicio del sistema se ve comprometida
Grado de infracción del objeto correspondiente
Daño general
Daño grave
Daños especialmente graves
Derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones
Nivel 1
Nivel 2
Nivel 2
Beneficios de orden social y seguridad pública
Segundo Nivel
Tercer Nivel
Sec. p>
Seguridad Nacional
Nivel 3
Sec. p>
Nivel 5
El nivel de protección de seguridad del sistema de información como tema de clasificación está determinado por el nivel de protección de seguridad de la información empresarial y nivel de protección de seguridad del servicio del sistema, el que sea mayor. Una vez determinado el nivel del objeto de calificación, puede consultar la plantilla "Informe de calificación del nivel de protección de seguridad del sistema de información" en el Apéndice 1 para redactar un informe de calificación.
Por ejemplo, la "Intranet de la Oficina del Comité Organizador Olímpico" transporta el personal, las finanzas y otros asuntos dentro del Comité Organizador Olímpico. Sólo se utiliza en unos pocos departamentos del Comité Organizador Olímpico y no transmite información confidencial. información e información sensible.
Luego de su daño, afectará las operaciones internas y causará daño al orden social y los intereses públicos, y se designa como Nivel 2 la "Extranet de la Oficina del Comité Organizador Olímpico" se conecta a Internet a través de la única salida, transportando la información electrónica interna; del Comité Organizador Olímpico, la logística, las plataformas de SMS, la gestión de sedes y otros negocios se utilizan dentro del ámbito de la sede del Comité Organizador Olímpico. Si se dañan, causarán daños al orden social y a los intereses públicos, y se clasifican como. Nivel 2. El "Sitio web de venta de entradas" es responsable de proporcionar la solicitud de entradas, el llenado de información y otros servicios, la recopilación de información del comprador de entradas y la información de reserva de entradas, y no está conectado directamente con el "Sistema de gestión de entradas". Si se daña, afectará el orden social. y los daños causados se clasifican en el Nivel 2. El "Sistema de gestión de entradas" almacena y procesa datos personales para solicitar y comprar entradas olímpicas a través de diversos métodos. Es el núcleo del "Sitio web de preparación de entradas". Si se daña, causará graves daños al orden social y a los intereses públicos. , y está designado como Nivel tres. El "Sitio web oficial de los Juegos Olímpicos" es responsable de la publicidad externa y de los informes sobre los principales eventos olímpicos en Internet. Es el portal para la publicidad externa de los Juegos Olímpicos de Beijing a través de Internet. Los requisitos de seguridad de su servidor son muy altos. causará daño al orden social y a los intereses públicos. El daño grave se clasifica en el nivel tres. La "Red de Competición" es responsable de asuntos importantes como la organización de eventos, el calendario y las estadísticas de puntuación. Tiene requisitos muy altos en cuanto a seguridad de los datos y garantías de servicio. Si se daña, causará graves daños al orden social y a los intereses públicos. y está designado como Nivel 3.
IV.Contenido y requisitos del trabajo de archivo del sistema de información
(1) Archivo y aceptación del sistema de información
El trabajo de archivo de protección del nivel de seguridad de la información incluye el archivo del sistema de información, Gestión de la información de aceptación, revisión y archivo, etc. Las unidades que operan y utilizan sistemas de información y los órganos de seguridad pública que aceptan presentaciones deben manejar las presentaciones del sistema de información de acuerdo con los requisitos de las "Reglas de implementación para la presentación de archivos de protección del nivel de seguridad de la información" (Gongxinan [2007] No. 1360).
1. Presentación
Para sistemas de información de nivel 2 o superior, dentro de los 30 días siguientes a la determinación del nivel de protección de seguridad, la unidad que lo opera y utiliza o su departamento competente (en adelante). denominada "unidad de archivo") ) Diríjase al órgano de seguridad pública del nivel municipal o superior donde se encuentre para realizar los trámites de archivo. Al realizar los trámites de presentación, primero debe ir al sitio web designado por el órgano de seguridad pública para descargar y completar el formulario de presentación, preparar los documentos de presentación y luego dirigirse al lugar designado para presentar la presentación.
Al momento de la presentación se deberá presentar el “Formulario de Presentación de Protección del Nivel de Seguridad del Sistema de Información” (en adelante “Formulario de Presentación”, ver Apéndice 2) (por duplicado) y sus documentos electrónicos. Los sistemas de información de nivel 2 o superior deben presentar las Tablas 1, 2 y 3 del "Formulario de registro" al realizar la presentación. Los sistemas de información de nivel 3 o superior también deben presentar la Tabla 4 del "Formulario de registro" y otra información relevante dentro de los 30 días; después de la finalización del material de rectificación y evaluación del sistema.
Para los sistemas de información de unidades en Beijing que están afiliadas al gobierno central y operan en una red unificada en todas las provincias o en todo el país y están calificadas uniformemente por los departamentos competentes, los departamentos competentes deberán pasar por la presentación los procedimientos ante el Ministerio de Seguridad Pública; otros sistemas de información se registrarán en la Oficina Municipal de Seguridad Pública de Beijing. Los sistemas sucursales que operan y aplican sistemas de información que están conectados en red uniformemente en todas las provincias o en todo el país en varios lugares deben estar registrados ante los órganos locales de seguridad pública a nivel municipal o superior. Los sistemas filiales del sistema unificado de información de calificaciones de varios ministerios y comisiones en varios lugares (incluidas conexiones terminales, subsistemas sin bases de datos instaladas y administradas por sistemas superiores), incluso si están calificados por autoridades superiores, deben acudir a la red de seguridad pública local. supervisor para la presentación.
2. Aceptar presentaciones
Los departamentos de supervisión de seguridad de redes de información de los órganos de seguridad pública a nivel de ciudad a nivel de prefectura o superior aceptan presentaciones de unidades de presentación dentro de su jurisdicción. Los sistemas de información que estén afiliados a unidades de archivo a nivel provincial y operen en una red entre regiones (ciudades) serán aceptados para su archivo por el departamento de supervisión de seguridad de la red de información de seguridad pública de la agencia de seguridad pública a nivel provincial.
Los sistemas de información de las unidades en Beijing que están afiliadas al gobierno central y operan en una red unificada en todas las provincias o en todo el país y están calificadas uniformemente por las autoridades competentes serán aceptados y archivados por la Red de Información. Oficina de Supervisión de Seguridad del Ministerio de Seguridad Pública Otra información El sistema es aceptado y archivado por el Departamento de Supervisión de Seguridad de la Red de Información de la Oficina de Seguridad Pública Municipal de Beijing.
Los sistemas de información de las unidades afiliadas al gobierno central fuera de Beijing se rigen por el departamento de supervisión de la seguridad de la red de información de la agencia de seguridad pública provincial local (o el departamento de seguridad de la red de información de la agencia de seguridad pública a nivel de prefectura designada). ). Departamento de supervisión) acepta presentaciones.
Sistemas sucursales que operan y aplican sistemas de información que están conectados en red de manera uniforme en todas las provincias o en todo el país y están calificados de manera uniforme por las autoridades competentes (incluidos los sistemas de información que están calificados por autoridades superiores y tienen aplicaciones locales), Los El departamento de supervisión de seguridad de la red de información del órgano de seguridad pública del nivel municipal local o superior aceptará la presentación.
3. Gestión de la información registrada
El Ministerio de Seguridad Pública organizó y desarrolló un importante sistema de gestión y supervisión de la seguridad del sistema de información, lo distribuyó a varios lugares y estableció una protección de tres niveles. Sistema para organismos de seguridad pública a nivel ministerial, provincial y municipal. Plataforma de gestión integrada. El sistema es implementado por agencias de seguridad pública a nivel ministerial y provincial y utilizado por agencias de seguridad pública a nivel ministerial, provincial y municipal para brindar apoyo para la clasificación, archivo y supervisión e inspección de los sistemas de información nacionales, y para brindar información importante. operaciones de supervisión de seguridad del sistema. Las agencias de seguridad pública en varias localidades deben organizar la construcción del sistema local de acuerdo con los requisitos del "Aviso sobre la implementación y ejecución de la construcción del sistema de gestión y supervisión de seguridad de protección graduada", ingresar la seguridad graduada y los datos relacionados en el sistema de manera oportuna. y utilizar el sistema para realizar trabajos de protección escalonada.
(2) Requisitos para que los órganos de seguridad pública acepten presentaciones
1. El departamento de supervisión de seguridad de la red de información del órgano de seguridad pública que acepta presentaciones debe establecer una ventana de presentación especial, equipada con los elementos necesarios. equipo y La fuerza policial es específicamente responsable de aceptar y presentar el trabajo. La ubicación, la hora, la persona de contacto y la información de contacto para aceptar y presentar el trabajo deben anunciarse al público.
2. Después de recibir los materiales de archivo, el órgano de seguridad pública revisará el siguiente contenido: si los materiales de archivo están completos y cumplen con los requisitos, si los materiales en papel y los documentos electrónicos son consistentes; El nivel fijado por el sistema de información es preciso.
3. Después de que el órgano de seguridad pública reciba los materiales de presentación presentados por la unidad de presentación, si está dentro del alcance de aceptación por parte del órgano de seguridad pública del mismo nivel y los materiales de presentación están completos, deberá emitir un "Recibo de recepción de materiales de archivo de protección del nivel de seguridad del sistema de información" a la unidad de presentación 》 si los materiales de archivo están incompletos, los complementos y correcciones se notificarán en el acto o dentro de los cinco días siguientes si los materiales de archivo están incompletos; no esté dentro del alcance de la aceptación por parte de los órganos de seguridad pública del mismo nivel, se notificará por escrito a la unidad de archivo para que acuda a los órganos de seguridad pública con competencia para conocer del asunto.
4. Si cumple con los requisitos de protección de nivel después de la revisión, la agencia de seguridad pública deberá sellar el sello de la agencia de seguridad pública al mismo nivel (o un sello especial para protección de nivel) dentro de los diez días hábiles. a partir de la fecha de recepción de los materiales de seguridad, el "Formulario de Registro", una copia para retroalimentación a la unidad de archivo y otra para archivo para aquellos que no cumplan con el nivel de requisitos de protección, la seguridad de la red de información de la agencia de seguridad pública; El departamento de supervisión notificará a la unidad de seguridad para que realice rectificaciones dentro de los diez días hábiles y emitirá el "Aviso de resultado de la revisión del registro de protección del nivel de seguridad del sistema de información".
5. Si los contenidos de las Tablas 1, 2 y 3 del "Formulario de Registro" pasan la revisión, el órgano de seguridad pública emitirá el "Certificado de Registro de Protección del Nivel de Seguridad del Sistema de Información" (en adelante referido). denominado "Certificado de Registro"). El "Certificado de Registro" es supervisado y elaborado por el Ministerio de Seguridad Pública.
6. El departamento de supervisión de seguridad de la red de información del órgano de seguridad pública que acepta la presentación deberá establecer un sistema de gestión, administrar estrictamente los materiales de presentación según el nivel, cumplir estrictamente con el sistema de confidencialidad y no deberá proporcionar consultas externas sin aprobación.
(3) Manejo de calificaciones inexactas y no presentación.
1. Los órganos de seguridad pública recomendarán la presentación de unidades que no estén calificadas correctamente, notificándoles la rectificación. organiza expertos para realizar una revisión de recalificación y presentarla a la autoridad superior para su aprobación.
2. Si la unidad de presentación persiste en el nivel original, el organismo de seguridad pública podrá aceptar su presentación, pero será informado por escrito de las responsabilidades y consecuencias que de ello se deriven, y con el consentimiento del interesado. organismo superior de seguridad pública, se notificará al mismo tiempo a la unidad de registro.
3. Para quienes se nieguen a presentar el archivo, los órganos de seguridad pública ordenarán la rectificación dentro de un plazo de acuerdo con el "Reglamento de protección de seguridad del sistema de información informática de la República Popular China" y otras leyes y regulaciones. Quienes no se registren dentro del plazo establecido serán amonestados y denunciados a su autoridad superior. La notificación a los organismos centrales y estatales debe reportarse al Ministerio de Seguridad Pública para su aprobación.