首页> 图书频道> 经管> 投资理财

4.4.1  安全定级指南

2025年09月26日
版权
4.4.1 安全定级指南

根据国家信息安全等级保护和金融行业信息安全等级保护相关制度,在信息系统建设之前应进行风险分析和安全等级保护定级,以明确信息系统安全目标和安全保护要求,集中优势资源重点保护重要信息系统[40]。安全定级指南明确了信息系统安全等级保护定级方法,主要为信息系统研发项目立项过程中的定级工作提供指导。安全定级指南主要参考或依据以下标准制定。

1)《信息安全等级保护管理办法》(公通字[2007]43号)。

2)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。

3)GB/T 22240—2008《信息安全技术 信息系统安全等级保护定级指南》。

4)《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发[2012]163号)。

除了依据国家信息安全等级保护管理制度和标准外,制定安全定级指南还应参考商业银行现有制度,例如项目管理制度、信息安全与风险管理制度等,确保安全定级工作流程与现有管理流程相融合。

安全定级指南需经过评审后发布执行。为确保安全定级指南的准确性和有效性,需根据国家等级保护标准要求,以及指南执行过程中发现的问题定期进行优化改进。商业银行信息系统安全等级保护定级工作流程如图4-4所示。

978-7-111-51949-2-Part02-15.jpg

图4-4 信息系统安全保护等级的定级工作流程

1.提出业务安全需求

业务部门在提出信息系统研发项目立项申请时,应明确信息系统业务安全需求,主要内容包括但不局限于以下方面:

(1)信息系统拟提供的业务服务种类和特性 明确信息系统拟处理的业务服务种类和数量,以及这些业务服务的业务内容、社会属性和业务流程等,从而明确拟提供业务服务的业务特性。

(2)信息系统拟处理的信息资产 明确信息系统拟处理的信息资产类型,以及信息资产在保密性、完整性和可用性等方面的重要性程度要求。

(3)信息系统拟服务的用户范围和用户类型 根据用户或用户群的分布范围明确信息系统的服务范围、服务类型以及业务连续性方面的要求等。

2.确定定级对象

在项目立项阶段,由信息科技部门完成该项目涉及信息系统与现有信息系统的归属划分工作,进而确定定级对象。根据项目需求内容的不同,主要分为以下两种情况:

(1)该项目涉及单个信息系统 如果该项目为新建信息系统的项目,且该信息系统具有相对独立的业务功能、服务范围和服务对象,符合独立信息系统的基本特征,则作为一个单独的信息系统进行定级;如果该项目为某一已定级信息系统的升级改造项目,则需要具体情况具体分析;如果该项目未对已定级信息系统进行重大变更,则维持已定级信息系统的安全级别;如果该项目对信息系统产生重大变更,则需要按照定级工作流程重新进行定级,并按照变更后级别实施相应保护。

(2)该项目涉及多个信息系统 如果该项目只涉及已定级信息系统的升级改造,则分析其是否对这些信息系统进行重大变更,如果进行了重大变更,则需要按照定级工作流程重新进行定级,并按照变更后级别实施相应保护;如果该项目的一部分需求符合独立信息系统的特征,则需将该部分需求作为一个独立的信息系统进行定级。

3.确定安全保护等级的级别

信息系统安全包括业务信息安全和系统服务安全。信息系统定级应根据业务信息安全和系统服务安全两方面的要求,根据与之相关的受侵害客体和对客体的侵害程度不同来确定。从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。

等级保护对象受到破坏时所侵害的客体包括以下三个方面:

1)公民、法人和其他组织的合法权益。

2)社会秩序、公共利益。

3)国家安全。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

1)造成一般损害。

2)造成严重损害。

3)造成特别严重的损害。

确定信息系统安全保护等级的一般流程如图4-5所示。

1)确定作为定级对象的信息系统。

2)确定业务信息安全受到破坏时所侵害的客体。

3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度。

4)依据表4-1,得到业务信息安全保护等级。

5)确定系统服务安全受到破坏时所侵害的客体。

6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度。

7)依据表4-2,得到系统服务安全保护等级。

978-7-111-51949-2-Part02-16.jpg

图4-5 信息系统等级保护定级分析流程

4-1 业务信息安全保护等级矩阵表

978-7-111-51949-2-Part02-17.jpg

4-2 系统服务安全保护等级矩阵表

978-7-111-51949-2-Part02-18.jpg

8)依据表4-3,将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

4-3 信息系统安全保护级别判定表

978-7-111-51949-2-Part02-19.jpg

4.级别评审与审批

信息系统定级结果应作为立项材料内容之一,提请商业银行信息科技风险管理领导小组审批。在审批过程中,可根据监管要求和商业银行实际情况对定级结果进行调整。审批通过后将信息系统定级结果下发。确定为第四级的信息系统应报送国家相关部门审批。

在对定级结果进行审批和调整的过程中,可参考《中国人民银行关于银行业金融机构信息系统安全等级保护定级指导意见》(银发[2012]163号)(以下简称《金融机构定级指导意见》)。该指导意见将商业银行信息系统分为4类,见表4-4,并给出各类信息系统的安全保护等级的定级建议,见表4-5。商业银行最终确定的信息系统安全保护等级,原则上不应低于该指导意见中相应类别信息系统对应的安全保护等级。

4-4 商业银行信息系统分类表

978-7-111-51949-2-Part02-20.jpg

4-5 信息系统安全保护等级调整参照表

978-7-111-51949-2-Part02-21.jpg