1. 정보 시스템 보안 보호 수준의 분류 및 보호
(1) 정보 시스템 등급 작업 원칙
정보 시스템 등급 작업을 수행해야 합니다. "자율적인 "등급 부여, 전문가 검토, 관할 당국의 승인 및 공안 기관의 검토"에 따라. 등급 작업의 주요 내용에는 등급 대상 결정, 정보 시스템의 보안 보호 수준 결정, 전문가 검토 구성, 관할 기관의 검토 및 승인, 공안 기관의 검토가 포함됩니다. 국가 중요 정보 시스템의 보안 수준 보호 등급 작업을 지정할 수 있습니다.》(Gongtongzi [2007] No. 861) 구현이 필요합니다. 각 정보시스템 운영 부서 및 담당부서는 정보보안 수준 보호를 담당하고 있으며, 정보시스템의 보안 보호 수준은 해당 정보시스템이 속한 정보시스템의 중요도와 훼손 시 피해 정도를 기준으로 결정됩니다. 동시에 지정된 수준과 해당 수준의 관리 규정 및 기술 표준에 따라 정보 보안 보호 시설을 구축하고 보안 시스템을 구축하며 보안 책임을 이행하고 정보 시스템을 보호합니다.
계층적 보호 작업에서 정보 시스템 운영 단위와 담당 부서는 "책임자는 누구이고, 운영자는 책임"이라는 원칙에 따라 업무를 수행하며 정보 보안을 수용합니다. 계층적 보호 작업 수행에 대한 감독 부서의 지시. 운영 단위와 주관 부서는 정보 시스템 보안에 대한 첫 번째 책임을 지며 정보 시스템 보안에 대한 직접 책임을 집니다. 공안, 비밀 유지, 암호 부서는 운영 단위와 주관 부서를 감독, 검사 및 지도합니다. 계층적 보호 작업을 수행하면서 중요한 정보 시스템의 보안을 감독하는 역할을 담당합니다. 중요정보시스템의 안전한 운영은 산업과 단위의 생산과 업무질서에 영향을 미칠 뿐만 아니라 국가안보, 사회안정, 공익에도 영향을 미치므로 국가는 중요정보시스템의 보안을 감독하여야 한다.
(2) 정보시스템 보안 보호 수준
정보시스템의 보안 보호 수준은 국가 안보, 경제 건설 및 사회 생활에 대한 정보시스템의 중요성을 기반으로 해야 합니다. 국가 안보, 사회 질서, 공공 이익 및 공민, 법인 및 기타 조직의 합법적인 권리와 이익에 대한 피해 정도를 결정합니다. 정보시스템의 보안 보호 수준은 5단계로 구분되며, 1단계에서 5단계까지 단계적으로 높아집니다.
(3) 정보시스템 보안 보호 수준의 등급 요소
정보 시스템의 보안 보호 수준은 두 가지 등급 요소에 의해 결정됩니다. 즉, 수준 보호 개체가 위반되는 개체입니다. 파손된 물건과 침해의 정도.
1. 침해대상
계층적 보호대상이 훼손될 때 침해받는 대상에는 첫째, 공민, 법인 및 기타 국민의 정당한 권익이 포함된다. 둘째, 사회 질서와 공익, 셋째는 국가 안보입니다.
2. 대상물에 대한 침해 정도
대상물에 대한 침해 정도는 객관적인 측면에서 다양한 외부 발현에 의해 종합적으로 결정됩니다. 객체에 대한 침해는 계층적 보호대상의 파괴를 통해 실현되므로, 객체에 대한 침해는 계층적 보호대상의 파괴로 외부적으로 발현되는데, 이는 피해방법, 피해결과, 피해정도로 표현된다. 등급 보호 대상이 손상된 후 대상에 발생하는 침해에는 세 가지 등급이 있습니다. 첫째, 일반적인 손해를 초래하는 경우, 둘째, 심각한 손해를 초래하는 경우, 셋째, 특히 심각한 손해를 초래하는 경우입니다.
(4) 5단계 보호 및 감독
정보 시스템 운영자 및 사용자는 국가 정보 보안 수준 보호 정책 및 관련 기술 표준에 따라 정보 시스템을 보호해야 합니다. 보안 감독 부서 정보 보안 수준 보호 업무를 감독하고 관리합니다. 등급 요소와 정보 시스템 보안 보호 수준 간의 관계는 표 1-1에 나와 있습니다.
표 1-1 등급 요소와 보안 보호 수준의 관계
수준
객체
침해대상
침해정도
감독강도
레벨 1
일반 시스템
적법한 권리와 이익
p>
피해
자율 보호
심각한 피해에 대한 2단계 지침 정당한 권익에 반하는 행위
사회질서 및 공익 훼손
3단계
중요 시스템
심각한 피해에 대한 감독 및 점검 사회질서 및 공익에 해를 끼친다
p>국가안보에 해를 끼친다
4급 사회질서와 공익이 특히 심각하게 훼손되며 감독과 검사를 의무화
국가안보 심각한 피해
레벨 5
가장 중요한 시스템
국가 안보
특히 심각한 손상
특별 감독 및 검사
2.
정보시스템 등급화는 등급보호 업무의 첫 번째이자 핵심적 연결고리로서, 정보시스템 파일링, 구축 및 정정, 등급평가, 감독검사 등을 수행하는 중요한 기반이다. 먼저 개념을 명확히 해보자. 정보 시스템에는 기본 정보 네트워크와 지원 및 전송 역할을 하는 다양한 응용 시스템이 포함된다. 정보시스템 보안 수준을 정확하게 등급화하지 않으면 시스템 파일링, 구축 수정, 등급 평가 등의 후속 작업이 기반을 잃게 되고 정보시스템의 보안이 보장되지 않게 된다. 등급 작업은 다음 단계에 따라 수행할 수 있습니다.
(1) 철저한 조사 수행
'작업 등급 지정 고시'에서 정한 등급 범위에 따라 각 단위 및 부서는 소속 기관에 대한 철저한 조사를 조직할 수 있습니다. 철저한 조사를 수행하기 위해 정보 시스템 기반을 정리하고 비즈니스 유형, 응용 프로그램 또는 서비스 범위, 시스템 구조 및 정보 시스템(정보 네트워크 포함)의 기타 기본 정보를 숙지하여 요구 사항을 명확히 하고 책임을 이행하기 위한 기반을 마련합니다. 다음 단계.
(2) 등급 대상 결정
국가 중요 정보 시스템 보안 수준 보호 등급 작업(이하 "등급 작업"이라 함)에서 과학적, 합리적으로 결정하는 방법 등급 개체가 가장 중요한 문제입니다. 정보시스템 운영 부서 또는 담당 부서는 다음 원칙에 따라 등급 대상을 결정합니다.
첫째, 지원 및 전달 역할을 하는 정보망(사설망, 인트라넷, 외부망, 네트워크 관리 시스템 포함)을 등급 대상으로 활용해야 한다. 그러나 전체 네트워크를 등급 대상으로 취급하는 것이 아니라 보안 관리 및 등급 부여에 대한 보안 책임의 관점에서 기본 정보 네트워크를 여러 개의 최소 보안 영역 또는 최소 단위로 나누어야 합니다.
둘째, 생산, 스케줄링, 관리, 운영, 지휘, 사무 및 기타 목적에 사용되는 다양한 비즈니스 시스템은 시스템이 데이터 교환을 수행하는지 여부에 관계없이 다양한 비즈니스 범주에 따라 등급 개체로 개별적으로 결정되어야 하며, 기기의 독점 여부는 평가 대상을 결정하는 조건입니다. 특정 유형의 정보 시스템은 채점을 위한 채점 개체로 사용할 수 없습니다.
셋째, 각 단위의 웹사이트는 독립적인 채점 대상으로 간주되어야 합니다. 웹사이트의 백엔드 데이터베이스 관리 시스템의 보안 수준이 높으면 독립적인 평가 개체로도 사용해야 합니다. 웹사이트에서 운영되는 정보 시스템(예: 사회 서비스 등록 및 시험 시스템)도 독립적인 평가 대상으로 간주되어야 합니다.
넷째는 등급을 담당하는 부서가 등급 시스템에 대한 업무 감독 책임을 갖고 있는지 확인하는 것입니다. 즉, 비즈니스 부서가 비즈니스 정보 시스템의 등급을 주도해야 하며 운영 및 유지 관리 부서(예: 정보 센터, 수탁자)는 등급을 지원하고 요구 사항에 따라 후속 보안 보호 작업을 수행할 수 있습니다. 사업부.
다섯째는 정보시스템의 기본요소를 갖추는 것이다. 분류 대상인 정보시스템은 특정 적용 목표와 규칙에 따라 관련 및 지원 장비와 시설로 구성된 유형의 개체여야 합니다. 단일 시스템 구성 요소(예: 서버, 터미널, 네트워크 장치 등)를 평가 대상으로 지정하지 마세요.
예를 들어 올림픽 네트워크에는 주로 '올림픽 조직위원회 사무실 엑스트라넷'(자동화 사무실, 경기장 관리, 이메일, 물류, 직원 홈 등 16개 업무 처리), '올림픽 조직위원회 내부 사무실'이 포함된다. '근거리통신망'(재정관리, 인사관리 등 3개 업무 수행), '올림픽 티켓팅 네트워크'(티켓팅 홈페이지 및 티켓 관리 시스템), '올림픽 공식 홈페이지'(포털 홈페이지 및 배경정보 처리 시스템), '올림픽 인터넷 접속' " ", "경쟁 네트워크" 외 6개 올림픽 정보 시스템. 올림픽 조직위원회 외부 사무실 네트워크, 올림픽 조직위원회 내부 사무실 LAN, 티켓팅 웹사이트, 티켓팅 관리 시스템, 올림픽 공식 웹사이트 및 대회 네트워크가 분류 대상으로 결정됩니다.
(3) 정보 시스템 수준을 사전 결정합니다.
정보 시스템 수준은 다음 요구 사항에 따라 결정될 수 있습니다.
1. . 각 정보시스템 운영 단위와 관할 부서는 정보시스템 등급을 담당하는 주체입니다.
2. 등급 요소. 정보시스템의 보안 보호 수준은 해당 수준의 보호 개체가 손상되었을 때 침해를 받는 개체와 개체에 발생한 침해 정도의 두 가지 등급 요소에 의해 결정됩니다.
정보 시스템의 보안 보호 수준은 정보 시스템 자체의 객관적이고 자연스러운 속성이며, 어떤 보안 보호 조치가 취해졌거나 취해질 것인지에 따라 결정되는 것이 아니라 해당 정보의 중요성에 따라 결정됩니다. 정보시스템 및 정보시스템의 훼손 정보시스템의 보안보호 수준은 국가안보, 사회안정 및 국민의 정당한 공공복리를 침해하는 정도에 따라 결정됩니다. 등급을 매길 때에는 정보시스템 파괴 후 국가안보와 사회안정에 미치는 영향을 주로 고려해야 하며, 중요 정보시스템을 침입, 공격, 파괴, 탈취하는 국내외의 다양한 적대세력과 적대세력 등의 요인도 고려해야 한다. . 절대적인 안전을 추구하기 위해 개별 단위가 과대평가되는 것을 방지하고, 감독을 피하기 위해 과소평가하는 것을 방지해야 합니다.
3. 다양한 시스템을 평가하는 방법. 첫째, 정보시스템은 해당 유닛이 자체 구축(상위 유닛과는 무관)하고, 유닛이 자체적으로 레벨을 결정한다. 둘째, 지방 또는 전국적으로 획일적으로 네트워크화된 정보시스템의 경우, 보안보호 수준은 주무관청이 통일적으로 결정할 수 있다. 그 중에는 모든 산업이 통일적으로 계획, 구축 및 실행하고 통일된 보안 보호 전략을 갖춘 국가 네트워크 시스템이 업계 주무 기관에 의해 통일되고 등급이 매겨져야 하며 각 산업이 통일적으로 계획, 구축 및 전국적으로 네트워크화된 정보 시스템이 있어야 합니다. 산업은 산업 당국에 의해 균일하게 등급을 매겨야 하며, 시스템 수준은 부처, 성, 현급 도시별로 각각 결정되어야 하지만, 유사한 시스템이 발생하는 현상을 피하기 위해 각 산업의 관할 부서는 시스템에 대한 등급 의견을 제공해야 합니다. 하위 레벨은 상위 레벨보다 높게 평가됩니다. 이러한 유형의 시스템에 대해서는 하위 수준이 결정된 후 상급 기관에 제출하여 승인을 받아야 합니다.
부처, 도, 시의 행정 수준이 낮아지더라도 유사한 정보 시스템의 보안 보호 수준이 낮아질 수 없다는 점에 특히 주의해야 합니다. 현과 지방자치단체 수준은 레벨 2로 지정될 수 없습니다.
4. 새로운 시스템의 등급 지정
새로운 시스템의 경우 정보 시스템 운영 단위는 계획 및 설계 과정에서 정보 시스템의 보안 보호 수준을 결정하고 정보에 따라 동시에 계획을 세워야 합니다. 시스템 수준, 안전 보호 기술 조치 및 관리 조치의 동시 설계 및 구현. 정보 시스템의 보안 보호 수준을 결정하기 위한 구체적인 방법 및 요구 사항은 섹션 1.3을 참조하세요.
(4) 정보 시스템 수준 검토
정보 시스템 운영 단위 또는 담당 부서가 정보 시스템 보안 보호 수준을 초기에 결정한 후 등급이 합리적인지 확인합니다. 정확하고 전문가를 채용할 수 있습니다. 심사를 실시하고 전문가 심사의견을 발행합니다.
(5) 정보시스템 수준 승인
부대에서 구축한 정보시스템(상위부서와 무관)에 대해서는 수준이 결정된 후 상향된다. 각 산업별로 상급기관에 제출하여 승인을 받을지 여부를 결정합니다. 정보시스템 운영 및 이용 단위는 전문가의 등급 검토 의견을 말하며 정보시스템 등급을 최종적으로 결정하고 "등급 보고서"를 작성합니다. 전문가 검토 의견이 운영 단위의 의견과 일치하지 않는 경우 운영 단위는 시스템 수준을 독립적으로 결정해야 합니다. 정보 시스템 운영 단위에 상위 권한이 있는 경우 보안 보호 수준은 상위 권한에 의해 검토 및 승인되어야 합니다. 관할 부서는 일반적으로 업계의 상위 관할 부서 또는 규제 부서를 의미합니다. 지역 간 네트워크 운영에 사용되는 정보시스템인 경우, 다양한 지역의 유사한 시스템이나 지점 시스템의 등급 일관성을 보장하기 위해 상급 기관의 승인을 받아야 합니다.
(6) 공안국의 검토
정보 시스템 운영자 및 사용자 단위로부터 등록 자료를 받은 후 공안 기관은 정보 시스템 등급의 정확성을 검토해야 합니다. . 공안 기관의 검토는 등급 작업의 최후 방어선이므로 심각하고 엄격하게 통제해야 합니다.
정보시스템 분류가 기본적으로 정확할 경우, 공안기관은 공안부의 통합 감독하에 생산된 "정보시스템 보안 수준 보호 등록증"(이하 "등록증"이라 함)을 발급해야 합니다. 분류가 정확하지 않은 경우 공안 기관은 등록 기관에 정정 통지서를 발송하고 등록 기관이 전문가를 조직하여 등급 재검토를 실시하고 상급 기관에 제출하여 승인을 받도록 권장해야 합니다. 신고 단위가 여전히 원래 등급을 준수하는 경우 공안 기관은 신고를 수락할 수 있지만 이로 인해 발생하는 책임과 결과는 상급 공안 기관인 상급 기관의 동의를 받아 서면으로 통보되어야 합니다. 동시에 신고단위 부서에 통보해야 한다.
3. 정보 시스템의 보안 보호 수준을 결정하는 방법
(1) 정보 시스템의 5가지 보안 보호 수준을 이해하는 방법
보안 보호 정보시스템 수준은 정보시스템의 객관적인 속성은 어떤 보안 보호 조치가 취해졌거나 취해질 것인지에 따라 결정되는 것이 아니라, 정보시스템의 중요성과 국가 안보, 사회 안정 및 국가 안보에 대한 위해 정도에 따라 결정됩니다. 정보시스템이 파괴될 경우 국민의 정당한 권익을 침해할 수 있음을 토대로 정보시스템의 보안보호 수준을 결정한다. 개별 단위가 일방적으로 절대안전을 추구하고 너무 높게 평가하는 것을 방지하고, 감독을 피하기 위해 너무 낮게 평가하는 것도 방지해야 한다. 정보 네트워크의 보안 수준은 그 위에서 실행되는 정보 시스템의 수준을 참조하여 결정할 수 있으며, 네트워크의 서비스 범위와 자체 보안에 따라 적절한 보호 수준을 결정해야 하며 가장 높은 수준이나 가장 낮은 수준을 취하지 않습니다. 그 위에서 실행되는 정보 시스템의 수준은 높지도 낮지도 않습니다.
정보시스템 운영 단위가 정보시스템의 보안 보호 수준을 정확하게 결정하는 데 도움이 되도록 다음의 5가지 수준에 대한 설명을 참조하여 시스템 수준을 결정할 수 있습니다.
1차 정보 시스템: 일반적으로 소규모 민간 기업, 개인 기업, 초중등 학교, 향 관련 정보 시스템, 현 단위의 일반 정보 시스템에 적용 가능합니다.
2급 정보 시스템: 일반적으로 현급 시급 이상의 국가 기관, 기업 및 기관 내 일부 단위의 중요한 정보 시스템에 적용 가능합니다. 예를 들어, 업무 비밀, 영업 비밀, 민감한 정보 등이 포함되지 않은 사무실 시스템 및 관리 시스템입니다.
3차 정보 시스템: 일반적으로 업무 비밀, 영업 비밀과 관련된 사무실 시스템 및 관리 시스템과 같은 현급 시 수준 이상의 국가 기관, 기업 및 공공 기관의 중요한 내부 정보 시스템에 적용됩니다. 및 중앙 부처 및 위원회 포털의 지방 또는 국가 네트워크 및 해당 시스템의 지부 시스템에서 작동하는 생산, 파견, 관리, 명령, 운영, 제어 등에 대한 중요한 정보 시스템, 도(자치구 및 자치단체) 도 전역에 걸쳐 연결된 웹사이트 및 중요 웹사이트 네트워크 시스템 등
레벨 4 정보 시스템: 일반적으로 국가 중요 분야 및 중요 부서의 특히 중요한 시스템 및 핵심 시스템에 적용됩니다. 예를 들어 전기, 통신, 라디오 및 텔레비전, 철도, 민간 항공, 은행, 세무 등 주요 부서의 생산, 파견 및 지휘는 국가 안보, 국가 경제 및 민생과 관련된 핵심 시스템입니다.
레벨 5 정보 시스템: 일반적으로 국가 중요 분야 및 부서의 매우 중요한 시스템에 적용됩니다.
(2) 일반적인 등급 처리
정보시스템 보안에는 업무정보 보안과 시스템 서비스 보안이 포함됩니다. 따라서 해당 침해 대상과 침해 정도가 다를 수 있습니다. , 정보 시스템 등급은 비즈니스 정보 보안과 시스템 서비스 보안이라는 두 가지 측면에서 결정되어야 합니다. 기업정보보안 관점에서 반영된 정보시스템의 보안보호 수준을 기업정보보안수준이라 한다. 시스템 서비스 보안 관점에서 반영된 정보시스템의 보안보호 수준을 시스템 서비스 보안수준이라 한다.
정보 시스템의 보안 보호 수준을 결정하는 일반적인 프로세스는 다음과 같습니다. 정보 시스템을 평가 대상으로 결정합니다. 비즈니스 정보 보안이 침해될 경우 침해 대상을 결정합니다. 객체, 다방면에서 비즈니스 정보 보안 훼손으로 인한 객체의 피해 정도를 종합적으로 평가하고, 비즈니스 정보의 중요성과 피해 후 시스템 서비스 시 피해를 입는 객체를 기반으로 비즈니스 정보 보안 수준을 결정합니다. 다양한 손상된 객체에 따라 보안이 손상됩니다. 시스템 서비스 보안 파괴로 인해 발생한 객체의 손상 정도를 여러 측면에서 종합적으로 평가하고 시스템 서비스의 중요성과 이후의 피해에 따라 시스템 서비스 보안 수준을 결정합니다. 비즈니스 정보 보안 수준과 시스템 서비스 보안 수준 중 높은 수준으로 평가된 개체의 보안 보호 수준은 운영자가 결정합니다. 위의 단계는 그림 1-1에 나와 있습니다.
그림 1-1? 일반적인 수준 판단 과정
1. 침해 대상을 판별합니다.
등급 대상이 손상되면 해당 대상은 다음과 같습니다. 침해란 국가안보, 사회질서, 공익, 공민, 법인 및 기타 조직의 정당한 권익을 포함합니다.
국가 안보를 침해하는 사항에는 다음과 같은 측면이 포함됩니다. 국가 권력의 안정과 국방력에 영향을 미치고, 국가의 대외 활동에 있어 국가 단결, 국민 단결 및 사회 안정에 영향을 미칩니다. 중요한 국가 안보에 영향을 미치고, 국가의 경제 경쟁력과 과학 기술 역량에 영향을 미치며, 국가 안보에 영향을 미치는 기타 문제에 영향을 미칩니다.
사회 질서를 침해하는 사항에는 다음과 같은 측면이 포함됩니다. 국가 기관의 사회 관리 및 공공 서비스의 업무 질서에 영향을 미치며, 다양한 유형의 경제 활동 질서에 영향을 미칩니다. 다양한 산업 분야에서 법적 제약과 사회 질서에 영향을 미치는 기타 문제에 따른 대중의 정상적인 생활 질서에 영향을 미칩니다.
공익에 영향을 미치는 문제에는 다음과 같은 측면이 포함됩니다. 사회 구성원의 공공 시설 사용에 영향을 미치고, 사회 구성원의 공공 서비스 수용에 영향을 미치며, 기타 공익에 영향을 미치는 문제, .
공민, 법인 및 기타 조직에 영향을 미치는 합법적인 권익이란 공민, 법인 및 기타 조직이 향유하는 일정한 사회적 권리와 이익을 말하며, 법이 인정하고 법으로 보호합니다.
분류의 대상이 되는 정보시스템이 훼손된 후 침해될 대상을 판단할 때, 먼저 국가안보에 대한 침해 여부를 판단한 후, 사회질서나 공익에 대한 침해 여부를 판단해야 합니다. , 최종적으로 공민, 법인 및 다른 조직의 정당한 이익을 침해하는지 여부를 판단합니다.
각 산업은 사업을 기반으로 각종 정보와 각종 정보시스템과의 관계와 국가안보, 사회질서, 공익과 국민, 법인 및 기타 조직의 정당한 권익을 분석할 수 있다. 이를 통해 업계의 다양한 정보 및 정보시스템이 훼손될 경우 피해를 입을 대상이 결정됩니다.
2. 대상물에 대한 침해 정도를 판단합니다.
침해의 객관적인 측면. 객관적인 측면에서 보면, 객체에 대한 침해는 평가대상에 대한 피해로 외부적으로 나타나고, 그 피해는 정보보안에 대한 피해, 정보시스템 서비스에 대한 피해로 나타난다. 정보보안이란 해당 기관 내에서 정보의 비밀성을 보장하는 것을 말한다. 정보 시스템, 무결성 및 가용성 등. 시스템 서비스 보안은 정보 시스템이 미리 결정된 비즈니스 목표를 완료하기 위해 시기적절하고 효과적인 방식으로 서비스를 제공할 수 있도록 보장하는 것을 의미합니다. 업무정보보안 및 시스템서비스 보안의 훼손으로 인해 피해를 입은 대상과 피해 정도가 다를 수 있으므로 등급처리 과정에서 이 두 유형의 피해를 별도로 처리할 필요가 있습니다.
정보 보안 및 시스템 서비스 보안이 손상되면 다음과 같은 유해한 결과가 발생할 수 있습니다. 다른 조직에 부정적인 영향을 미치고 기타 손실을 초래합니다.
3. 침해 정도의 종합적 판단
침해 정도는 다양한 외부적 표현을 객관적인 측면에서 종합적으로 반영한 것이므로 먼저 침해 정도를 기준으로 판단해야 합니다. 물체와 다양한 유해한 결과. 다양한 위험 결과에 대한 피해 정도를 결정하는 방법과 관점은 다를 수 있습니다. 예를 들어, 시스템 서비스 보안 손상으로 인해 비즈니스 능력이 저하되는 정도는 적용되는 영역과 같은 다양한 측면에서 결정될 수 있습니다. 정보시스템 서비스, 이용자 수, 사업규모 등에 따라 업무상 정보보안 파괴로 인한 재산적 손실은 직접적인 금전적 손실, 간접적인 정보복구비용 등으로 판단할 수 있습니다.
피해 대상에 대한 침해 정도를 판단할 때는 다음과 같은 다양한 기준을 참조해야 합니다.
피해 대상이 공민, 법인 또는 개인의 합법적인 권리와 이익에 해당하는 경우 다른 조직에서는 개인 또는 단위의 전반적인 이익을 침해 정도를 판단하는 기준으로 삼아야 합니다.
침해의 대상이 사회 질서, 공공 이익 또는 국가 안보인 경우, 전반적인 이익 산업 전체나 국가 전체의 이해관계가 침해 정도를 판단하는 기준이 됩니다.
피해 결과가 서로 다른 세 가지 피해 수준은 다음과 같습니다.
일반 피해: 업무 기능이 부분적으로 영향을 받고 비즈니스 능력이 저하되지만 주요 기능 수행에는 영향이 없습니다. , 법적 문제가 발생하고 재산 손실이 줄어들며 부정적인 사회적 영향이 제한되고 다른 조직 및 개인에 대한 피해가 줄어듭니다.
심각한 피해: 업무 기능에 심각한 영향을 미치고, 업무 능력이 크게 저하되고, 주요 기능의 수행에 심각한 영향을 미치며, 법적 문제가 더욱 심각해지고, 재산 손실이 커지고, 사회적 악영향이 확대되는 등 심각한 피해를 초래합니다. 조직과 개인의 피해.
매우 심각한 피해: 업무 기능에 특히 심각한 영향을 미치거나 업무 수행 능력을 상실한 경우, 업무 능력이 심각하게 저하되거나 기능을 수행할 수 없는 경우, 극히 심각한 법적 문제가 발생한 경우, 극히 높은 재산 손실이 발생한 경우, 사회적 질병의 영향을 확대하여 다른 조직과 개인에게 매우 심각한 피해를 입힙니다.
정보 보안 및 시스템 서비스 보안이 파괴된 후 객체에 대한 피해 정도는 다양한 피해 결과에 따른 피해 정도를 종합적으로 평가하여 결정됩니다. 다양한 산업 분야의 정보시스템이 처리하는 정보의 종류와 시스템 서비스 특성이 다르기 때문에 정보보안 및 시스템 서비스 보안이 침해된 후 우려되는 위험 결과는 산업마다 다를 수 있다. 산업의 정보특성과 시스템 서비스 특성을 기반으로 위험을 파악하고, 피해 정도에 대한 종합적인 평가 방법을 개발하며, 다양한 침해로 인한 일반 피해, 심각한 피해, 특히 심각한 피해에 대한 구체적인 정의를 제공합니다. 사물.
4. 정보시스템의 보안 보호 수준을 결정
비즈니스 정보 보안이 파괴되는 경우 침해되는 객체와 해당 객체에 대한 침해 정도에 따라 결정됩니다. 표 1-2 비즈니스 정보 보안 보호 레벨 매트릭스 테이블을 사용하여 비즈니스 정보 보안 보호 수준을 얻을 수 있습니다.
표 1-2? 기업정보 보안 보호 수준 매트릭스 표
기업정보 보안 침해 시 피해를 입은 객체
정도 해당 물건에 대한 침해
전반적 손해
심각한 손해
특히 심각한 피해
공민, 법인 및 기타 조직의 정당한 권익
1단계
두 번째 수준
두 번째 수준
사회 질서, 공공 안전 혜택
p>
두 번째 수준
세 번째 수준
4단계
p>
국가 안보
레벨 3
레벨 4
p>
레벨 5
시스템 서비스 보안이 침해되었을 때 침해받는 객체와 해당 객체에 대한 침해를 기준으로 한다. 표 1-3의 시스템 서비스 보안 보호 수준 매트릭스를 통해 시스템 서비스 보안 보호 수준을 얻을 수 있다.
표 1-3? 시스템 서비스 보안 보호 수준 매트릭스 표
시스템 서비스 보안 침해 시 손상된 객체
해당 물건에 대한 침해
전반적 손해
심각한 손해
특히 심각한 피해
공민, 법인 및 기타 조직의 정당한 권익
1단계
두 번째 수준
두 번째 수준
사회 질서, 공공 안전 혜택
p>
두 번째 수준
세 번째 수준
4단계
p>
국가 안보
3단계
4단계
p>
5등급
분류 대상인 정보시스템의 보안보호 수준은 업무정보보호 수준에 따라 결정됨 시스템 서비스 보안 보호 수준 중 더 높은 수준입니다. 등급 대상의 수준이 결정된 후 부록 1의 "정보 시스템 보안 보호 수준 등급 보고서" 템플릿을 참조하여 등급 보고서 초안을 작성할 수 있습니다.
예를 들어 '올림픽 조직위원회 사무실 인트라넷'은 올림픽 조직위원회 내부의 인사, 재정, 기타 업무를 담당하는 것으로 올림픽 조직위원회 일부 부서 내에서만 사용되며 기밀은 전송되지 않는다. 정보와 민감한 정보.
훼손된 후 내부 운영에 영향을 미치고 사회질서 및 공익에 해를 끼칠 수 있으며, 2등급으로 지정되어 내부 전자정보를 전달하는 유일한 출구를 통해 인터넷에 연결됩니다. 올림픽조직위원회 본부의 범위 내에서 우편물, 물류, SMS플랫폼, 경기장 관리 등의 업무를 수행하는 경우, 사회질서 및 공익을 해칠 수 있는 행위로 분류됩니다. 레벨 2. "예매사이트"는 티켓신청, 정보작성, 기타 서비스 제공, 티켓구매자정보 및 티켓예매정보 수집 등을 담당하며, "티켓관리시스템"과 직접적으로 연결되지 않으며 훼손될 경우 사회질서에 영향을 미칠 수 있습니다. 공익으로 인한 피해는 2급으로 분류됩니다. '티켓 관리 시스템'은 올림픽 티켓 신청 및 구매에 관한 개인정보를 다양한 방법으로 저장 및 처리하고 있으며, 훼손될 경우 사회질서 및 공익에 심각한 피해를 끼칠 수 있습니다. , 레벨 3으로 지정되었습니다. "올림픽 공식 홈페이지"는 인터넷상의 주요 올림픽 행사에 대한 대외 홍보 및 보도를 담당하는 곳으로, 인터넷을 통해 대외적으로 홍보하는 포털로, 서버 보안 요구 사항이 매우 높습니다. 사회질서 및 공익을 해칠 우려가 있는 경우에는 3급으로 분류됩니다. "대회 네트워크"는 이벤트 준비, 시기, 점수 통계 등 주요 사항을 담당하며, 데이터 보안 및 서비스 보장에 대한 요구 사항이 매우 높으며, 훼손될 경우 사회 질서 및 공익에 심각한 피해를 끼칠 수 있습니다. 그리고 3등급으로 지정되어 있습니다.
IV. 정보 시스템 파일링 작업의 내용 및 요구 사항
(1) 정보 시스템 파일링 및 승인
정보 보안 수준 보호 파일링 작업에는 정보 시스템 파일링이 포함됩니다. 접수, 심사, 접수정보 관리 등 정보 시스템을 운영 및 사용하는 단위와 신고를 접수하는 공안 기관은 "정보 보안 수준 보호 신고 실행 규칙"(Gongxinan [2007] No. 1360)의 요구 사항에 따라 정보 시스템 신고를 처리해야 합니다.
1. 신고
2등급 이상의 정보시스템의 경우 보안보호등급이 결정된 후 30일 이내에 이를 운영·이용하는 단위 또는 그 소관부서(이하 '신고 부서'라고 함)) 신고 절차를 완료하려면 시급 이상의 현지 공안 기관에 가세요. 신고수속을 할 때에는 먼저 공안기관이 지정한 홈페이지에 접속하여 신고서를 다운로드 받아 작성한 후 신고서류를 준비한 후 지정된 장소에 가서 신고해야 합니다.
제출 시에는 '정보시스템 보안수준 보호 신고서'(이하 '신고서', 별표 2 참조)(2부)와 전자문서를 제출해야 한다. 2등급 이상 정보시스템은 출원 시 '등록양식' 표 1, 2, 3을 제출해야 하며, 3등급 이상 정보시스템은 '등록양식' 표 4 및 기타 관련 정보를 30일 이내에 제출해야 한다. 시스템 수정 및 평가가 완료된 후.
중앙 정부에 속해 있고 성 또는 전국의 통일된 네트워크에서 운영되고 유관 부서에서 통일적으로 등급을 부여하는 베이징 단위의 정보 시스템의 경우 유관 부서에서 등록을 거쳐야 합니다. 공안부에 절차를 밟고, 기타 정보 시스템은 베이징시 공안국에 등록해야 합니다. 성 또는 전국 여러 장소에서 균일하게 네트워크로 연결된 정보 시스템을 운영 및 적용하는 지점 시스템은 시급 이상의 현지 공안 기관에 제출해야 합니다. 다양한 장소(터미널 연결, 상위 시스템에 의해 설치 및 운영되는 데이터베이스가 없는 하위 시스템 포함)에 있는 다양한 부처 및 위원회의 통합 등급 정보 시스템의 지류 시스템은 상급 기관에서 등급을 매긴 경우에도 지역 공안으로 가야 합니다. 제출을 위한 네트워크 감독자.
2. 신고 접수
지(地)급 이상 공안 기관의 정보 네트워크 보안 감독 부서는 해당 관할 구역 내 신고 단위로부터 신고를 접수합니다. 성급 신고 기관에 소속되어 있고 지역(도시) 간 네트워크에서 운영되는 정보 시스템은 성급 공안 기관의 공안 정보 네트워크 보안 감독 부서에서 신고를 접수합니다.
중앙 정부에 속해 있고 성 또는 전국의 통일된 네트워크에서 운영되고 관할 기관에 의해 균일하게 등급이 부여된 베이징 단위의 정보 시스템은 정보 네트워크에 의해 승인되고 등록되어야 합니다. 공안부 보안 감독국 기타 정보 이 시스템은 베이징시 공안국 정보 네트워크 보안 감독국에서 승인하고 등록합니다.
중앙 정부 산하 비베이징 단위의 정보 시스템은 지방 공안 기관의 정보 네트워크 보안 감독 부서(또는 지정된 현급 공안 기관 정보 네트워크 보안 부서)의 관리를 받습니다. ). 감독 부서) 서류 접수를 받습니다.
지방 또는 전국을 통일적으로 네트워크화하고 주무관청이 균일하게 등급을 부여한 정보시스템을 운영·적용하는 지사시스템(상급기관이 등급을 부여하고 현지에 적용되는 정보시스템을 포함한다), 지방자치단체 이상 공안기관 정보네트워크 보안 감독부서가 접수를 접수해야 한다.
3. 정보 관리
공안부는 중요한 정보 시스템 보안 감독 및 관리 시스템을 조직 및 개발하여 여러 곳에 배포하고 3단계 보호 시스템을 구축했습니다. 부처, 지방자치단체 수준의 공안 기관을 위한 시스템입니다. 이 시스템은 부처 및 지방 수준의 공안 기관에 의해 배포되고 부처, 성 및 시 수준의 공안 기관에서 사용되어 국가 정보 시스템의 등급 지정, 파일링, 감독 및 검사를 지원하고 중요한 정보를 제공합니다. 시스템 보안 감독 작업. 각 지방의 공안 기관은 "등급 보호 안전 감독 및 관리 시스템 구축 및 시행에 관한 고시"의 요구 사항에 따라 지역 시스템 구축을 조직하고 적시에 등급 보안 및 관련 데이터를 시스템에 입력해야 합니다. , 시스템을 사용하여 등급별 보호 작업을 수행합니다.
(2) 공안 기관이 신고를 접수하는 요건
1. 신고를 접수하는 공안 기관의 정보 네트워크 보안 감독 부서는 필요한 장비를 갖춘 특별 신고 창구를 설치해야 합니다. 경찰은 업무 접수 및 접수에 대한 구체적인 책임을 지며 접수 및 접수를 위한 장소, 시간, 연락처 및 연락처 정보를 대중에게 공개해야 합니다.
2. 공안 기관은 서류를 받은 후 다음 내용을 검토해야 합니다. 서류가 완전하고 요구 사항을 충족하는지, 종이 자료와 전자 문서가 일치하는지 여부 정보시스템이 설정한 수준이 정확하다.
3. 공안기관은 신고단위가 제출한 신고자료를 접수한 후, 동급 공안기관의 접수범위에 속하고 신고자료가 완전한 경우에는 다음과 같이 해야 한다. "정보시스템 보안 수준 보호 서류 접수 접수증"을 접수처에 발급한다. 》 서류가 불완전한 경우에는 즉시 보완 및 수정 사항을 통보하고, 서류가 부족한 경우에는 즉시 5일 이내에 통보한다. 동급 공안기관의 접수 범위에 속하지 않는 경우, 서류 제출 단위에 관할 공안기관에 가서 처리하도록 서면으로 통지해야 합니다.
4. 검토 후 등급 보호 요건에 부합하는 경우 공안 기관은 영업일 기준 10일 이내에 동급 공안 기관의 인장(또는 등급 보호 전용 인장)을 찍어야 합니다. 보안 자료를 받은 날부터 )의 "등록 양식", 하나는 제출 단위에 대한 피드백, 다른 하나는 보호 요구 사항을 충족하지 못하는 경우 공안 기관의 정보 네트워크 보안 감독용입니다. 부서는 영업일 기준 10일 이내에 시정 조치를 취하도록 보안 부서에 통보하고 "정보 시스템 보안 수준 보호 등록 검토 결과 통지"를 발행해야 합니다.
5. "등록 양식"의 표 1, 2, 3의 내용이 심사를 통과하면 공안 기관은 "정보 시스템 보안 수준 보호 등록 인증서"(이하 "등록 증명서"로). "등록 증명서"는 공안부가 감독하고 생산합니다.
6. 신고를 접수한 공안 기관의 정보 네트워크 보안 감독 부서는 관리 시스템을 구축하고 신고 자료를 수준에 따라 엄격하게 관리하며 비밀 유지 시스템을 엄격히 준수해야 합니다. 승인 없이 외부 문의를 제공합니다.
(3) 부정확한 등급 처리 및 미제출 처리
1. 공안 기관은 등급이 정확하지 않은 신고 단위에 대해 신고와 동시에 이를 통보해야 합니다. 해당 부서에서는 전문가를 조직하여 재평가 검토를 실시하고 이를 상급 기관에 제출하여 승인을 받습니다.
2. 신고 단위가 여전히 원래 수준을 주장하는 경우 공안 기관은 신고를 수락할 수 있지만 이로 인해 발생하는 책임과 결과를 서면으로 통보하고 동의를 받아야 합니다. 상급 공안 기관에 동시에 통보해야 합니다.
3. 신고를 거부하는 경우 공안 기관은 "중화인민공화국 컴퓨터 정보 시스템 보안 보호 규정" 및 기타 관련 법률에 따라 기한 내에 시정을 명령해야 합니다. 규정. 기한 내 등록을 하지 않을 경우 경고 조치 및 상급기관에 신고됩니다. 중앙 및 주 기관에 대한 통지는 승인을 위해 공안부에 보고되어야 합니다.