1、第 1 页/共 16 页附件 2浙江省卫生行业信息系统安全等级保护定级工作指导意见1引言为贯彻落实国家公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于印发的通知(公通字200743 号)、关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861 号)、浙江省信息安全等级保护管理办法(省政府令 223号)和省人大常委浙江省信息化促进条例等文件精神,指导我省卫生行业信息系统安全保护定级工作,制定本意见。2依据关于印发的通知(公通字200743 号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861 号)浙江省信息化促进条例(2011 年 1月 1
2、日起正式实施)浙江省信息安全等级保护管理办法(省政府令 223号)3术语和定义3.1信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。3.2等级保护对象信息系统安全等级保护工作直接作用的具体信息和信息系统。3.3客体受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法人或社会其他组织的合法权益。3.4客观方面对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。3.5系统服务信息系统为支撑其所承载业务而提供的程序化过程。第 2 页/共 16 页4工作组织省卫生厅:组织领导并统一协调卫生行业信息
3、系统安全等级保护定级工作,对信息系统运营使用单位的定级工作进行督促、检查和指导。省卫生信息中心负责具体实施指导意见的推进工作。卫生行业信息系统安全等级保护定级工作专家组(以下简称专家组):对卫生行业信息系统安全定级工作进行专家指导、咨询,对定级结果进行评审。各医疗卫生单位:负责组织开展本单位(系统)信息系统安全等级保护定级工作。5定级原理5.1信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益
4、产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。5.2信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。5.2.1受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。5
5、.2.2对客体的侵害程度第 3 页/共 16 页对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:(1)造成一般损害;(2)造成严重损害;(3)造成特别严重损害。5.3定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表 1所示。表 1定级要素与安全保护等级的关系对客体的侵害程度受侵害的客体一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共
6、利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级5.4确定定级对象的安全保护等级根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表 2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。表 2业务信息安全保护等级矩阵表对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表 3系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。表
7、3系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度第 4 页/共 16 页一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。6定级方法6.1定级流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护
8、等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:(1)确定作为定级对象的信息系统;(2)确定业务信息安全受到破坏时所侵害的客体;(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;(4)依据表 2,得到业务信息安全保护等级;(5)确定系统服务安全受到破坏时所侵害的客体;(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;(7)依据表 3,得到系统服务安全保护等级;(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。上述步骤如图 1确定
9、等级一般流程所示。第 5 页/共 16 页图 1确定等级一般流程6.2确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护、有效控制信息安全建设成本、优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。6.2.1作为定级对象的基本特征(1)具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统
10、的安全责任单位应是这些下级单位共同所属的单位。(2)具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。(3)承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,与其他业务应用没有数第 6 页/共 16 页据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。6.2.2定级对象的识别
11、方法一般来讲单位信息系统可以划分为几个定级对象,如何划分系统是定级之前的主要问题。信息系统的划分没有绝对的对与错,只有合理与不合理,合理地划分信息系统有利于信息系统的保护及安全规划,反之可能给将来的应用和安全保护带来不便,又可能需要重新进行信息系统的划分。由于信息系统的多样性,不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。通常,在信息系统划分过程中,应当结合信息系统的现状,从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分,当然也可以根据信息系统的实际情况,选择其他的划分依据,只要最终划分结果合理就可以。(1)安全责任单位依据安全责任单位的不同,划分信息系统。
12、如果信息系统由不同的单位负责运行维护和管理,或者说信息系统的安全责任分属不同机构,则可以根据安全责任单位的不同划分成不同的信息系统。一个运行在局域网的信息系统,其安全责任单位一般只有一个,但对一个跨不同地域运行的信息系统来说,就可能存在不同的安全责任单位,此时可以考虑根据不同地域的信息系统的安全责任单位的不同,划分出不同的信息系统。在一个单位中,信息系统的业务管理和运行维护可能由不同部门负责,例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理,各业务部门负责其中的业务流程的制定和业务操作,信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责任,承担安全责任的不应是科
13、技部门,而应当是该单位本身。一个运行在局域网的信息系统,其管理边界比较明确,但对一个跨不同地域运行的信息系统,其管理边界可能有不同情况:如果不同地域运行的信息系统分属不同单位(如上级单位和下级单位)负责运行和管理,上下级单位的管理边界为本地的信息系统,则该信息系统可以划分为两个信息系统;如果不同地域运行的信息系统均由其上级单位直接负责运行和管理,运维人员由上级单位指派,安全责任由上级单位负责,则上级单位的管理边界应包括本地和远程的运行环境。(2)业务类型和业务重要性根据业务的类型、功能、阶段的不同,对信息系统进行划分,不同类型的业务之间会存在重要程度、环境、用户数量等方面的不同,这些不同会带来
14、安全需求和受破坏后的影响程度的差异,例如,一个是以信息处理为主的系统,其重要性体现在信息的保密性,而另一个是以业务处理为第 7 页/共 16 页主的系统,其重要性体现在其所提供服务的连续性,因此,可以按照业务类型的不同划分为不同的信息系统。又比如,在整个业务流程中,核心处理系统的功能重要性可能远大于终端处理系统,有需要时,可以将其划分为不同的信息系统。归结起来,以下几种情况可能划分为不同等级的信息系统:可能涉及不同客体的系统。例如对内服务与对外运营的业务系统,对内服务的办公系统,一般来说其中的信息和提供的服务是面向本单位的,涉及到的等级保护客体一般是本单位,而对外运营的业务系统往往关系到其他单
15、位、个人或面向社会,因此这两类业务可能涉及不同的客体,可能具有不同的安全保护等级,可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。可能对客体造成不同程度损害的系统。例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点,其受到破坏后的损害程度和影响范围也有很大差别,可能具有不同的安全等级,可以考虑划分为不同的信息系统。处理不同类型业务的系统。(3)分析物理位置的差异根据物理位置的不同,对信息系统进行划分。物理位置的不同,信息系统面临的安全威胁就可能不同,不同物理位置之间通信信道的不可信,使不同物理位置的信息系统也不能视
16、为可以互相访问的一个安全域,即使等级相同可能也需要划分为不同的信息系统分别加以保护。因此,物理位置也可以作为信息系统划分的考虑因素之一。在进行信息系统的划分过程中,进行分析,可以选择上述三个方面中的一个方面因素作为划分的依据,也可以综合几个方面因素作为划分的依据。同时,还要结合信息系统的现状,避免由于信息系统的划分而引起大量的网络改造和重复建设工作,影响原有系统的正常运行。一般单位的信息系统建设和网络布局,一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系,进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分,以免引起不必要的网络改造和建设工作,影响原有系统的业务运行。此外,
17、有些信息系统中不同业务的重要程度虽然会有所差异,但是由于业务之间联系紧密,不容易拆分,可以作为一个信息系统按照同样级别保护。但是,如果其中某一个业务对信息防护或服务保障性要求较高,比如与互联网相连,可能会影响到其它的业务,就应当将其从该信息系统中分离出来,单独定级而实施增强保护。经过合理划分,一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系统。同时,通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析,明确了各个信息第 8 页/共 16 页系统之间的边界和逻辑关系以及他们各自的安全需求,有利于信息系统安全保护的实施。6.2.3定级对象信息系统边界和边界设备的确定方法定级
18、对象确定后就需要确定定级对象信息系统的边界和边界设备。由于定级对象信息系统有可能是单位信息系统的一部分,如果该信息系统与其他系统在网络上是独立的,没有设备共用情况,边界则容易确定,但当不同信息系统之间存在共用设备时,应加以分析。由于信息系统的边界保护一般在物理边界或网络边界上实现,系统边界一般不应出现在服务器内部。两个信息系统边界存在共用设备时,共用设备的安全保护措施按两个信息系统安全保护等级较高者确定。例如,一个 2级系统和一个 3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但其安全保护措施应满足 3级系统的要求。终端设备一般包括系统管理
19、终端、内部用户终端和外部用户终端。对于外部用户终端,由于用户和设备一般都不在信息系统的管理边界内,这些终端设备不在信息系统的边界范围内。信息系统的管理终端是与被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。内部用户终端就比较复杂,内部用户终端往往与多个系统相连,当信息系统进行等级化保护后,应尽可能为不同的信息系统分配不共用的终端设备,以免在终端处形成不同等级信息系统的边界。但如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等措施加以控制。处理涉密
20、信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。6.2.4卫生行业信息系统安全等级保护定级对象分类根据卫生行业实际情况,按照上述定级对象确定方式,综合考虑信息系统的责任单位、服务范围、业务类型、业务重要性、物理位置差异及数据敏感度等各种因素,同时考虑本指导意见的可扩展性,可将卫生行业信息系统分为以下几类,见表 4。表 4 卫生行业信息系统分类公共卫生管理单位序号 信息系统类别 说明第 9 页/共 16 页1 面向公众提供服务的系统 例如:网站、审批系统等2 管理公众隐私、商业秘密的系统 例如:居民健康档案等3 面向内部行政管理的系统 例如:OA、资产管理等医院序号 信息系统类
21、别 说明1 面向患者提供服务的系统 例如:HIS、门诊系统、网站等2 管理病人隐私、商业秘密的系统 例如:LIS、PACS、电子病历等3 医生、护士业务管理的系统 例如:医生、护士工作站等4 面向内部行政管理的系统 例如:人事管理、OA 等具体重要信息系统目录参见第 9章。6.3确定受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。侵害国家安全的事项包括以下方面:-影响国家政权稳固和国防实力;-影响国家统一、民族团结和社会安定;-影响国家对外活动中的政治、经济利益;-影响国家重要的安全保卫工作;-影响国家经济竞争力和科技实力;-其他影
22、响国家安全的事项。侵害社会秩序的事项包括以下方面:-影响国家机关社会管理和公共服务的工作秩序;-影响各种类型的经济活动秩序;-影响各行业的科研、生产秩序;-影响公众在法律约束和道德规范下的正常生活秩序等;-其他影响社会秩序的事项。影响公共利益的事项包括以下方面:-影响社会成员使用公共设施;第 10 页/共 16 页-影响社会成员获取公开信息资源;-影响社会成员接受公共服务等方面;-其他影响公共利益的事项。影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全
23、,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。各单位可根据本单位业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。6.4确定对客体的侵害程度6.4.1侵害的客观方面在客观方面,对客体的侵害行为外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安
24、全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:-影响行使工作职能;-导致业务能力下降;-引起法律纠纷;-导致财产损失;-造成社会不良影响;-对其他组织和个人造成损失;-其他影响。6.4.2综合判定侵害程度侵害程度是客观方面的不同外在表现程度,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大
