2. 专利
    3. 一种信息系统安全等级定级划分方法与流程

    一种信息系统安全等级定级划分方法与流程

    专利查询2022-09-05  88


    1.本发明涉及计算机技术领域,尤其涉及一种信息系统安全等级定级划分方法。


    背景技术:

    2.信息安全等级保护常分为以下五个等级:第一级为自主保护级;第二级为指导保护级;第三级为监督保护级;第四级为强制保护级;第五级为专控保护级。
    3.以上信息保护等级划分主要是依据信息泄漏的影响深度,并未将业务信息和影响广度加入信息系统安全等级的定级划分,以此导致在划分信息保护等级较为粗略,无法满足现在的信息系统安全等级定级的划分。


    技术实现要素:

    4.本发明的目的是为了解决现有技术中存在的缺点,而提出了一种信息系统安全等级定级划分方法。
    5.本发明提出的一种信息系统安全等级定级划分方法,包括将系统受损时造成的影响深度、影响广度和定级对象的特性划分为两模块:业务信息安全等级和系统服务安全等级,判定业务信息安全的因素有:a1.系统的类型;b1.系统外部用户数量;c1.数据的重要性;d1. 个人信息保护;e1.系统安全事故产生的直接经济损失;f1.系统操作安全,系统服务安全因素有:a2.系统服务范围;b2.系统服务对象; c3.系统网络平台;d2.系统可用性;e2.平均无辜故障工作时间;f2. 平均修复时间,将业务信息安全的因素内容和系统服务安全的因素内容分别进行评估赋值,再将评估赋值结果经过内部赋值法进行计算得出两个待定等级,最后从待定等级中选取一个作为最终安全评定等级。
    6.作为本发明再进一步的方案:所述a1中赋值为1的因素内容为:政务管理、行政办公和人力资源管理;a1中赋值为2的因素内容为:公众服务、资产管理、质量安全管理和项目管理;a1中赋值为3的因素内容为:业务管理和财务管理;a1中赋值为4的因素内容为:运营生产;
    7.所述b1中赋值为1的因素内容为:系统外部用户数量为0至49; b1中赋值为2的因素内容为:系统外部用户数量为50至499;b1中赋值为3的因素内容为:系统外部用户数量为500至4999;b1中赋值为4的因素内容为:系统外部用户数量大于或等于5000;
    8.所述c1中赋值为1的因素内容为:数据为内部信息且已公开的数据;c1中赋值为2的因素内容为:数据涉及尚未公布的会计决算及财务预算信息、合同信息、经营活动分析信息、资产运作、尚未公布的人事任命通知;c1中赋值为3的因素内容为:数据涉及支付资金等信息;
    9.所述d1中赋值为1的因素内容为:数据包含0至49条公民信息; d1中赋值为2的因素内容为:数据包含50至499条;d1中赋值为3 的因素内容为:数据包含500至4999条公民信息;d1中赋值为4的因素内容为:数据不低于5000条公民信息;
    10.所述e1中赋值为1的因素内容为:直接经济损失小于3亿;e1 中赋值为2的因素内
    容为:直接经济损失不低于3亿且不足30亿; e1中赋值为3的因素内容为:直接经济损失不低于30亿;
    11.所述f1中赋值为1的因素内容为:系统操作失误对现场人员无影响;f1中赋值为2的因素内容为:系统操作失误会导致现场人员受伤。
    12.作为本发明再进一步的方案:所述a2中赋值为1的因素内容为:系统因无法提供服务对本单位或一个站点造成损害;a2中赋值为2 的因素内容为:系统因无法提供服务对不低于两家单位或不低于两处站点造成损害;
    13.所述b2中赋值为1的因素内容为:系统服务对象涵盖内部本单位员工或一个站点群体;b2中赋值为2的因素内容为:系统服务对象涵盖多家单位员工或多个站点群体;
    14.所述c2中赋值为1的因素内容为:局域网;c2中赋值为2的因素内容为:城域网;c2中赋值为3的因素内容为:广域网;
    15.所述d2中赋值为1的因素内容为:系统可用度不低于99%且不足99.95%;d2中赋值为2的因素内容为:系统可用性不低于99.95%且不足99.99%;d2中赋值为3的因素内容为:系统可用性不低于 99.99%;
    16.所述e2中赋值为1的因素内容为:mtbf为5000至8000h;e2 中赋值为2的因素内容为:mtbf为8000至10000h;e2中赋值为3 的因素内容为:mtbf不小于10000h;
    17.所述f2中赋值为1的因素内容为:mttr在2h至1h;f2中赋值为2的因素内容为:mttr在1h至30min;f2中赋值为3的因素内容为:mttr应不大于30min。
    18.作为本发明再进一步的方案:每个所述安全因素存在多个因素内容时,因素赋值取最大值;h表示小时,min表示分钟,e1中经济均以相同货币单位进行统计。
    19.作为本发明再进一步的方案:所述业务信息安全等级划分如下:信息系统在a1、b1、c1、d1、e1和f1的评估赋值相加,从1级至5 级按顺序对应分值为6至8、9至11、12至14、15至17以及18至 20。
    20.作为本发明再进一步的方案:所述系统服务安全等级划分如下:信息系统在a2、b2、c2、d2、e2和f2的评估赋值相加,从1级至5 级按顺序对应分值为6至8、9与10、12与13、14与15以及16。
    21.作为本发明再进一步的方案:所述信息系统安全等级与系统服务安全得出的待定等级的数值不一致时,取二者间的最大值作为本次评估的信息系统安全等级。
    22.作为本发明再进一步的方案:所述公民信息由身份证号、住址、联系方式、姓名和工作单位组成。
    23.本发明中的有益效果为:本发明通过将影响深度、影响广度和定级对象的特性划分为业务信息安全等级和系统服务安全等级,并综合统计多种安全因素评估计算并根据计算结果进行等级定级划分,解决传统评估方法中仅仅依靠被保护的单位性质或公司人数而进行信息安全等级划分定位要细致准确;定级对象的特性,结合定级对象自身的特性,即数据的重要性、系统可靠性、系统可用性、系统维护性和系统安全性等因素对系统的影响,经过分级赋值便于得到细致的划分,进而得出较为精确的定级划分。
    附图说明
    24.图1为本发明提出的一种信息系统安全等级定级划分方法的安全保护等级确定流
    程图;
    25.图2为本发明提出的一种信息系统安全等级定级划分方法的业务信息安全因素框图;
    26.图3为本发明提出的一种信息系统安全等级定级划分方法的系统服务安全因素框图。
    具体实施方式
    27.下面详细描述本专利的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利,而不能理解为对本专利的限制。
    28.在本专利的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利的限制。
    29.在本专利的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“设置”应做广义理解,例如,可以是固定相连、设置,也可以是可拆卸连接、设置,或一体地连接、设置。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利中的具体含义。
    30.参照图1-3,一种信息系统安全等级定级划分方法,包括将系统受损时造成的影响深度、影响广度和定级对象的特性划分为两模块:业务信息安全等级和系统服务安全等级,判定业务信息安全的因素有:a1.系统的类型;b1.系统外部用户数量;c1.数据的重要性;d1. 个人信息保护;e1.系统安全事故产生的直接经济损失;f1.系统操作安全,系统服务安全因素有:a2.系统服务范围;b2.系统服务对象; c3.系统网络平台;d2.系统可用性;e2.平均无辜故障工作时间;f2. 平均修复时间,将业务信息安全的因素内容和系统服务安全的因素内容分别进行评估赋值,再将评估赋值结果经过内部赋值法进行计算得出两个待定等级,最后从待定等级中选取一个作为最终安全评定等级。
    31.本发明中,a1中赋值为1的因素内容为:政务管理、行政办公和人力资源管理;a1中赋值为2的因素内容为:公众服务、资产管理、质量安全管理和项目管理;a1中赋值为3的因素内容为:业务管理和财务管理;a1中赋值为4的因素内容为:运营生产;
    32.b1中赋值为1的因素内容为:系统外部用户数量为0至49;b1 中赋值为2的因素内容为:系统外部用户数量为50至499;b1中赋值为3的因素内容为:系统外部用户数量为500至4999;b1中赋值为4的因素内容为:系统外部用户数量大于或等于5000;
    33.c1中赋值为1的因素内容为:数据为内部信息,非敏感数据; c1中赋值为2的因素内容为:数据涉及尚未公布的会计决算及财务预算信息、合同信息、经营活动分析信息、资产运作、尚未公布的人事任命通知;c1中赋值为3的因素内容为:数据涉及支付资金等信息;
    34.d1中赋值为1的因素内容为:数据包含0至49条公民信息;d1 中赋值为2的因素内容为:数据包含50至499条;d1中赋值为3的因素内容为:数据包含500至4999条公民信息;d1中赋值为4的因素内容为:数据不低于5000条公民信息;
    35.e1中赋值为1的因素内容为:直接经济损失小于3亿;e1中赋值为2的因素内容为:
    直接经济损失不低于3亿且不足30亿;e1中赋值为3的因素内容为:直接经济损失不低于30亿;
    36.f1中赋值为1的因素内容为:系统操作失误对现场人员无影响; f1中赋值为2的因素内容为:系统操作失误会导致现场人员受伤。
    37.本发明中,a2中赋值为1的因素内容为:系统因无法提供服务对本单位或一个站点造成损害;a2中赋值为2的因素内容为:系统因无法提供服务对不低于两家单位或不低于两处站点造成损害;
    38.b2中赋值为1的因素内容为:系统服务对象涵盖内部本单位员工或一个站点群体;b2中赋值为2的因素内容为:系统服务对象涵盖多家单位员工或多个站点群体;
    39.c2中赋值为1的因素内容为:局域网;c2中赋值为2的因素内容为:城域网;c2中赋值为3的因素内容为:广域网;
    40.d2中赋值为1的因素内容为:系统可用度不低于99%且不足 99.95%;d2中赋值为2的因素内容为:系统可用性不低于99.95%且不足99.99%;d2中赋值为3的因素内容为:系统可用性不低于99.99%;
    41.e2中赋值为1的因素内容为:mtbf为5000至8000h;e2中赋值为2的因素内容为:mtbf为8000至10000h;e2中赋值为3的因素内容为:mtbf不小于10000h;
    42.f2中赋值为1的因素内容为:mttr在2h至1h;f2中赋值为2 的因素内容为:mttr在1h至30min;f2中赋值为3的因素内容为: mttr应不大于30min。
    43.本发明中,每个安全因素存在多个因素内容时,因素赋值取最大值;h表示小时,min表示分钟,e1中经济均以相同货币单位进行统计。
    44.本发明中,业务信息安全等级划分如下:信息系统在a1、b1、 c1、d1、e1和f1的评估赋值相加,即a1 b1 c1 d1 e1 f1,从1级至5级按顺序对应分值为6至8、9至11、12至14、15至17以及 18至20;系统服务安全等级划分如下:信息系统在a2、b2、c2、 d2、e2和f2的评估赋值相加,即a2 b2 c2 d2 e2 f2,从1级至5 级按顺序对应分值为6至8、9与10、12与13、14与15以及16。
    45.本发明中,信息系统安全等级与系统服务安全得出的待定等级的数值不一致时,取二者间的最大值作为本次评估的信息系统安全等级。
    46.本发明中,公民信息由身份证号、住址、联系方式、姓名和工作单位组成。
    47.以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

    技术特征:
    1.一种信息系统安全等级定级划分方法,其特征在于:包括将系统受损时造成的影响深度、影响广度和定级对象的特性划分为两模块:业务信息安全等级和系统服务安全等级,判定业务信息安全的安全因素有:a1.系统的类型;b1.系统外部用户数量;c1.数据的重要性;d1.个人信息保护;e1.系统安全事故产生的直接经济损失;f1.系统操作安全,系统服务安全的安全因素有:a2.系统服务范围;b2.系统服务对象;c3.系统网络平台;d2.系统可用性;e2.平均无辜故障工作时间;f2.平均修复时间,将业务信息安全的因素内容和系统服务安全的因素内容分别进行评估赋值,再将评估赋值结果经过内部赋值法进行计算得出两个待定等级,最后从待定等级中选取一个作为最终安全评定等级。2.根据权利要求1所述的一种信息系统安全等级定级划分方法,其特征在于:所述a1中赋值为1的因素内容为:行政办公和人力资源管理;a1中赋值为2的因素内容为:质量安全管理和项目管理;a1中赋值为3的因素内容为:业务管理和财务管理;a1中赋值为4的因素内容为:运营生产;所述b1中赋值为1的因素内容为:系统外部用户数量为0至49;b1中赋值为2的因素内容为:系统外部用户数量为50至499;b1中赋值为3的因素内容为:系统外部用户数量为500至4999;b1中赋值为4的因素内容为:系统外部用户数量大于或等于5000;所述c1中赋值为1的因素内容为:数据为内部信息且已公开的数据;c1中赋值为2的因素内容为:数据涉及尚未公布的会计决算及财务预算信息、合同信息、经营活动分析信息、资产运作、尚未公布的人事任命通知;c1中赋值为3的因素内容为:数据涉及支付资金等信息;所述d1中赋值为1的因素内容为:数据包含0至49条公民信息;d1中赋值为2的因素内容为:数据包含50至499条;d1中赋值为3的因素内容为:数据包含500至4999条公民信息;d1中赋值为4的因素内容为:数据不低于5000条公民信息;所述e1中赋值为1的因素内容为:直接经济损失小于3亿;e1中赋值为2的因素内容为:直接经济损失不低于3亿且不足30亿;e1中赋值为3的因素内容为:直接经济损失不低于30亿;所述f1中赋值为1的因素内容为:系统操作失误对现场人员无影响;f1中赋值为2的因素内容为:系统操作失误会导致现场人员受伤。3.根据权利要求2所述的一种信息系统安全等级定级划分方法,其特征在于:所述a2中赋值为1的因素内容为:系统因无法提供服务对本单位或一个站点造成损害;a2中赋值为2的因素内容为:系统因无法提供服务对不低于两家单位或不低于两处站点造成损害;所述b2中赋值为1的因素内容为:系统服务对象涵盖内部本单位员工或一个站点群体;b2中赋值为2的因素内容为:系统服务对象涵盖多家单位员工或多个站点群体;所述c2中赋值为1的因素内容为:局域网;c2中赋值为2的因素内容为:城域网;c2中赋值为3的因素内容为:广域网;所述d2中根据因素内容为系统可用度设置分值为1、2和3,三个分值;所述e2中根据因素内容为mtbf的时间设置分值为1、2和3,三个分值;所述f2中根据因素内容为mttr的时间设置分值为1、2和3,三个分值。4.根据权利要求3所述的一种信息系统安全等级定级划分方法,其特征在于:每个所述
    安全因素存在多个因素内容时,因素赋值取最大值;h表示小时,min表示分钟,e1中经济均以相同货币单位进行统计。5.根据权利要求4所述的一种信息系统安全等级定级划分方法,其特征在于:所述业务信息安全等级划分如下:信息系统在a1、b1、c1、d1、e1和f1的评估赋值相加,从1级至5级按顺序对应分值为6至8、9至11、12至14、15至17以及18至20。6.根据权利要求5所述的一种信息系统安全等级定级划分方法,其特征在于:所述系统服务安全等级划分如下:信息系统在a2、b2、c2、d2、e2和f2的评估赋值相加,从1级至5级按顺序对应分值为6至8、9与10、12与13、14与15以及16。7.根据权利要求6所述的一种信息系统安全等级定级划分方法,其特征在于:所述信息系统安全等级与系统服务安全得出的待定等级的数值不一致时,取二者间的最大值作为本次评估的信息系统安全等级。8.根据权利要求2所述的一种信息系统安全等级定级划分方法,其特征在于:所述公民信息由身份证号、住址、联系方式、姓名和工作单位组成。

    技术总结
    本发明公开了一种信息系统安全等级定级划分方法,包括业务信息安全等级和系统服务安全等级,判定业务信息安全的安全因素有:系统的类型、系统外部用户数量、数据的重要性、个人信息保护、系统安全事故产生的直接经济损失、系统操作安全,系统服务安全因素有:系统服务范围、系统服务对象、系统网络平台、系统可用性、平均无辜故障工作时间和平均修复时间,将因素进行评估赋值,再将评估赋值结果计算得出两个待定等级,选取一个作为最终安全评定等级。本发明综合统计多种安全因素评估计算并根据计算结果进行等级定级划分,解决传统评估方法中仅仅依靠被保护的单位性质或公司人数而进行信息安全等级划分定位要细致准确。进行信息安全等级划分定位要细致准确。进行信息安全等级划分定位要细致准确。


    技术研发人员:于百勇 杨旭 唐德浩
    受保护的技术使用者:南京地铁集团有限公司
    技术研发日:2021.07.26
    技术公布日:2022/5/25
    转载请注明原文地址:https://tc.8miu.com/read-12519.html

    专利

    最新回复(0)