PDF《中华人民共和国民用航空行业标准》

b)第二级指导保护级: 信息系统受到破坏后, 会对国家安全、 社会秩序、 经济建设和公共利益造 成一定损害;

c)第三级监督保护级: 信息系统受到破坏后, 会对国家安全、 社会秩序、 经济建设和公共利益造 成较大损害;

d)第四级强制保护级: 信息系统受到破坏后, 会对国家安全、 社会秩序、 经济建设和公共利益造 成严重损害;

e)第五级专控保护级: 信息系统受到破坏后, 会对国家安全、 社会秩序、 经济建设和公共利益造 成特别严重损害. 5.2信息系统安全保护等级的确定 5.2.1 等级确定的原则 信息系统安全保护等级的确定应遵循重点保护的原则和分区域保护的原则.在受到破坏后会对国家 安全、 社会秩序、 经济建设和公共利益造成危害的信息系统应进行重点保护.对于复杂的具有一定规模 的信息系统, 可根据不同的安全需求进行分区域保护, 将大的信息系统划分成小的子系统, 分别对每个 子系统进行安全等级保护. 5.2.2等级确定的要素 信息系统安全保护等级的确定应综合考虑如下要素: ――信息系统的资产价值及其对国家安全、 社会秩序、 经济建设和公共利益的重要程度;

――信息系统所需抵御的安全威胁;

――信息系统所面临的安全风险;

――信息系统安全建设、 运营、 使用和维护等过程中安全管理的成本等. 5.2.3等级确定的方法 5.2.3.1资产分析法 资产分析法是通过对信息系统的资产进行分析后定级的方法.资产分析法首先对信息系统的资产进 行分析与确定, 明确被保护的信息资产, 而后对每一项信息资产进行机密性、 完整性和可用性的级别进 行分析与评估, 最后综合所有信息资产的评估结果, 以及每项信息资产对信息系统的影响来确定信息系 统的总体安全保护等级. 5.2.3.2风险评估法 风险评估法是通过对信息系统进行风险评估后定级的方法.风险评估法是在对信息系统资产识别与 分析的基础上, 综合考虑系统所需抵御的安全威胁、 系统面临的安全风险和有效降低风险所需采用的安 全控制措施等各种因素来确定信息系统的安全保护等级. 6信息系统安全等级保护管理要求 6.1第一级管理要求 6.1.1策略和制度 6.1.1.1 应根据信息系统的安全需求,制定信息系统安全策略,明确信息系统的安全目标和安全范围. 6.1.1.2应建立相应的信息系统安全管理制度和规程, 包括机房、 用户帐号、 病毒防护等方面. 6.1.2组织机构及职责 6.1.2.1 应指定安全管理负责人, 并赋予安全管理的职责. 6.1.2.2安全管理负责人应具有基本的专业技术水平, 掌握信息系统安全管理基本知识. 6.1.3风险管理 6.1.3.1 应对信息系统进行基于经验的风险评估.基于经验的风险评估过程应包括: ――基于经验确定资产的范围和价值;

――根据以往发生的信息系统安全事件、 外部资料和经验对信息系统面临的威胁和存在的脆弱性进 行粗略分析;

――识别已有的安全控制措施;

――综合资产、 威胁、 脆弱性和已有的安全控制措施等信息进行粗略的风险分析和评估, 形成风险 评估报告. 6.1.3.2应以信息安全领域常用的产品和服务分类列表为基础, 选择安全控制措施, 形成风险处理报告. 6.1.3.3风险评估应由安全管理负责人组织实施,参与人员应包括系统管理人员、系统技术人员、系统 业务人员和信息安全专家. 6.1.4工程建设管理 6.1.4.1 应制定和保存文档化的安全需求说明和安全设计方案. 6.1.4.2应制定产品采购程序, 按照采购程序进行采购, 保留采购清单. 6.1.4.3应对工程建设进行安全测评验收, 制定文档化的安全测试方案和验收标准.系统正式投入使用 前应进行一定时间的测试运行. 6.1.5........