今天是

邮政业信息系统安全等级保护定级指南

    2015-09-07

1          范围

本标准规定了邮政业信息系统安全等级保护定级的基本原则、安全保护等级划分、定级方法和等级变更要求。

本标准适用于邮政服务、快递服务和邮政管理工作中非涉密信息系统的安全保护等级的定级。

2          规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T10757-2011 邮政业术语

GB/T 22240-2008  信息安全技术信息系统安全等级保护定级指南

GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南

3          术语和定义

GB/T22240-2008GB/Z 28828-2012GB/T 10757-2011确立的以及下列术语和定义适用于本文件。

3.1

邮政业信息系统(postal industryinformation system)由计算机及其相关的、配套的设备、设施(含网络)构成的,支撑邮政业对生产、服务、经营、管理等信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2

敏感信息(personal sensitive information)一旦遭到泄露或修改,会对标识的信息主体造成不良影响的信息,包括姓名、身份证号码、手机号码、地址等信息的组合。

4          基本原则

4.1 自主定级原则

邮政业信息系统的安全责任单位应按照国家相关法规、技术标准要求,自主确定本单位信息系统的安全保护等级。

4.2 重点保护原则

根据信息系统的不同安全保护等级和业务特点,安全责任单位自行组织实施相应强度的安全保护,集中资源优先保护高等级的信息系统。

4.3动态调整原则

若邮政业信息系统所处理的信息和提供的服务发生变化,或其它原因影响到信息系统的安全保护等级,安全责任单位需重新确定信息系统安全保护等级,及时调整安全保护措施。

5          安全保护等级

5.1定级要素

邮政业信息系统的安全保护等级由信息系统受到破坏时所侵害的客体和侵害程度所决定。

5.2受侵害客体

邮政业信息系统的受侵害客体主要包括:国家安全;社会秩序、公共利益;公民、法人和其他组织的合法权益,其中:

a)      侵害国家安全的事项包括:

──影响国家政权稳固和国防实力;

──影响国家统一、民族团结和社会安定;

──影响国家对外活动中的政治、经济利益;

──影响国家重要的安全保卫工作;

──影响国家经济竞争力和科技实力;

──其他影响国家安全的事项。

b)      侵害社会秩序的事项包括:

──影响邮政业相关社会管理和公共服务的工作秩序;

──影响邮政业相关的经济活动秩序;

──影响邮政业相关的科研、生产秩序;

──影响公众的正常生活秩序;

──其他影响社会秩序的事项。

c)      侵害公共利益的事项包括:

──影响社会成员使用邮政业公共设施;

──影响社会成员获取邮政业公开信息资源;

──影响社会成员接受邮政业公共服务;

──损害社会成员的隐私、名誉和利益。

5.3    对客体的侵害程

5.3.1  邮政业信息系统遭到破坏会危及业务信息安全和系统服务安全。

5.3.2  业务信息安全主要指邮政业信息系统内各类业务信息(如:邮件信息、快件信息、个人信息和行业管理信息等)的保密性、完整性和可用性。业务信息安全主要关注的是保护数据在存储、传输、处理等过程中不被泄漏、破坏和免受未授权的修改,数据被破坏时因所侵害的业务信息类型、数量等不同而对客体造成不同程度的侵害。

5.3.3  系统服务安全主要指邮政业信息系统在处理各类业务信息过程中,其服务地域范围内所提供服务的及时性、有效性和持续性。系统服务安全关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用,系统被破坏时因所侵害的服务范围、服务时间等不同而对客体造成不同程度的侵害。

5.3.4  业务信息安全和系统服务安全遭受破坏,所产生的对客体的侵害程度应分为一般损害、严重损害和特别严重损害,各类侵害程度描述见表1

 1  侵害程度描述表

受侵害客体

侵害程度

一般损害

严重损害

特别严重损害

国家安全

国家政权稳固和国防实力

影响到国家政权稳固和国防实力

严重影响到国家政权稳固和国防实力

国家统一、民族团结和社会安定

影响到国家统一、民族团结和社会安定

严重影响到国家统一、民族团结和社会安定

国家对外活动中的政治、经济利益

影响到国家对外活动中的政治、经济利益

造成较高损失

造成极高损失

国家重要的安全保卫工作

影响到国家重要的安全保卫工作

受到严重影响,造成工作效率显著降低

受到特别严重影响,造成工作能力丧失

国家经济竞争力和科技实力

影响到国家经济竞争力和科技实力

受到严重影响,造成严重损害

受到特别严重影响,造成极其严重损害

社会秩序

邮政业相关社会管理和公共服务的工作秩序

全省范围的工作职能出现质量下降或失误

全国范围的工作职能出现质量下降或失误,造成较大的社会不良影响

全国范围的工作职能出现质量下降或失误,造成巨大的社会不良影响

邮政业相关的经济活动秩序

全省范围的经济活动受到影响

全国范围的经济活动受到影响,造成较大的社会不良影响

全国范围的经济活动受到影响,造成巨大的社会不良影响

邮政业相关的科研、生产秩序

全省范围的科研、生产受到影响

全国范围的科研、生产受到影响,造成较大的社会不良影响

全国范围的科研、生产受到影响,造成巨大的社会不良影响

公众的正常生活秩序

全省范围的公众正常生活受到影响

全国范围的公众正常生活受到影响,造成较大的社会不良影响

全国范围的公众正常生活受到影响,造成巨大的社会不良影响

公共利益

社会成员使用邮政业公共设施

全省范围的公共设施受到影响

全国范围的公共设施受到影响,造成较大的社会不良影响

全国范围的公共设施受到影响,造成巨大的社会不良影响

社会成员获取邮政业公开信息资源

全省范围的信息资源受到影响

全国范围的信息资源受到影响,造成较大的社会不良影响

全国范围的信息资源受到影响,造成巨大的社会不良影响

社会成员接受邮政业公共服务

全省范围的公共服务受到影响

全国范围的公共服务受到影响,造成较大的社会不良影响

全国范围的公共服务受到影响,造成巨大的社会不良影响

损害社会成员的隐私、名誉和利益

全省范围的客户敏感信息被泄漏

全国范围的客户敏感信息被泄漏,造成较大的社会不良影响

全国范围的客户敏感信息被泄漏,造成巨大的社会不良影响

合法权益

公民、法人和其他组织的合法权益

工作效率降低、较少的财产损失和较轻的法律问题

工作效率显著下降、较大的财产损失和重大的法律问题

工作长时间瘫痪、特别巨大的财产损失和非常重大的法律问题

5.4 邮政业信息系统安全保护等级

根据受侵害客体和侵害程度,邮政业信息系统安全保护等级由低到高可依次划分为五级,见表2

 2邮政业信息系统安全保护等级

等级

描述

第一级

信息系统遭到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,但不损害国家安全、社会秩序和公共利益。

第二级

信息系统遭到破坏后,会对公民、法人和其他组织的合法权益产生严重损害或者特别严重损害,或者对社会秩序和公共利益造成一般损害,但不损害国家安全。

第三级

信息系统遭到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成一般损害。

第四级

信息系统遭到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级

信息系统遭到破坏后,会对国家安全造成特别严重损害。

 
6          定级方法

6.1 定级流程

邮政业信息系统的定级流程包括明确责任单位、信息系统划分、等级确定和定级结果形成与备案,其中:

a)      安全责任单位确定:按6.2要求,确定邮政业信息系统的安全责任单位;

b)      信息系统划分:按6.3要求,划分确定需要定级的信息系统;

c)      等级确定:按6.4要求,确定邮政业信息系统的安全保护等级;

d)      定级结果形成与备案:按6.5要求,形成定级结果和备案。

6.2  安全责任单位确定

6.2.1  作为定级对象的信息系统应具有唯一确定的安全责任单位。

6.2.2  如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位;如果一个跨不同地域运行的分布式信息系统,存在不同的安全责任单位,应根据不同地域划出不同的定级对象。

6.3 信息系统划分

6.3.1  安全责任单位应合理划分本单位的信息系统,确定需要定级的对象。

6.3.2  定级对象应承载单一或相对独立的业务应用、具备信息系统的基本要素并具有唯一确定的安全责任单位。

6.3.3  主要信息系统类别如下:

a)      邮政服务所涉及的主要信息系统类别见表3

 3邮政服务主要信息系统类别表

序号

系统类别

主要功能说明

1

核心生产作业

处理邮件的收寄、分拣、运输和投递等环节的信息系统,如邮政营业系统、网运信息系统和邮政投递系统。

2

邮政特殊服务

处理邮政特殊服务的信息系统,如报刊发行信息系统。

3

电子商务类

承载客户服务、网上电子商务等内容的信息系统,如给据邮件跟踪查询系统、11185客户服务中心和网上营业厅系统。

4

门户网站类

在互联网上的形象宣传平台,如官方门户网站和邮政党群网站

5

运营管理类

实现邮政企业内部数据分析支撑、办公人资财务、网络系统管理监控等功能的信息系统,如邮政综合办公信息处理平台、邮政财务系统、人力资源管理系统。

6

其他

不属于以上几种类别的信息系统。

b)      快递服务所涉及的主要信息系统类别见表4

 4快递服务主要信息系统类别表

序号

系统类别

主要功能说明

1

核心营运类

承载快件的收寄、验视、分拣、封发、投递、代理报关、财务结算、内部查询等服务的信息系统。

2

在线服务类

承载移动自助服务和网上下订单、电子账单、快件跟踪等服务的信息系统,也包括通过互联网提供各种电子商务服务活动的信息系统。

3

客户服务类

提供客户服务平台,帮助管理企业与客户的沟通,从而最大限度地提升客户满意度的信息系统。

4

门户网站类

在互联网上发布信息、开展业务及咨询服务的信息系统

5

运营管理类

实现企业内部数据分析支撑、办公人资财务、网络系统管理监控等功能的信息系统,如快递服务组织办公自动化、企业人力资源管理和财务管理信息系统。

6

其他

不属于以上几种类别的信息系统。

c)      邮政管理所涉及的主要信息系统类别见表5

 5  邮政管理主要信息系统类别表

序号

系统类别

主要功能说明

1

行业管理类

实现多业务协同的行业管理应用平台,涵盖市场监管、普服监管、行政许可、行政执法等功能。

2

公共服务类

为公众提供统一的服务门户,为企业提供许可、审批等网上办理服务,为公众提供行业信用信息、重大事件事故信息、禁限寄物品名录、企业服务网点及服务质量等公共信息的发布和查询的网站系统。

3

内部管理类

实现邮政管理部门内部管理功能的信息系统,包括办公自动化、人事、财务、视频会议等系统。

4

数据资源类

为信息共享提供数据资源支撑,推动实现业务协同的信息系统。实现数据资料的收集、利用和挖掘,为行业管理和政府决策提供数据支撑。

5

其他

不属于以上几种类别的其他信息系统。

6.4 等级确定

6.4.1等级确定的两个方面

信息系统的安全保护等级应由业务信息安全保护等级和系统服务安全保护等级两个方面综合确定。

6.4.2确定业务信息安全保护等级

业务信息安全保护等级由业务信息安全被破坏时所侵害的客体以及对客体的侵害程度确定,见表6

 6业务信息安全保护等级矩阵表

业务信息安全被破坏时所侵害的客体

对相应客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

6.3.3确定系统服务安全保护等级

系统服务安全保护等级由系统服务安全被破坏时所侵害的客体以及对客体的侵害程度确定,见表7

 7系统服务安全保护等级矩阵表

系统服务安全被破坏时所侵害的客体

对相应客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

6.3.4  确定信息系统的安全保护等级

6.3.4.1  业务信息安全保护等级和系统服务安全保护等级的较高者确定为信息系统的安全保护等级,如表8

 8安全保护等级矩阵表

安全保护等级

系统服务安全保护等级

第一级

第二级

第三级

第四级

第五级

业务信息安全保护等级

第一级

第一级

第二级

第三级

第四级

第五级

第二级

第二级

第二级

第三级

第四级

第五级

第三级

第三级

第三级

第三级

第四级

第五级

第四级

第四级

第四级

第四级

第四级

第五级

第五级

第五级

第五级

第五级

第五级

第五级

6.3.4.2  邮政业不同类别信息系统的安全保护参考等级见附录A

6.4   定级结果形成与备案

6.4.1  安全责任单位在拟定信息系统安全保护等级后,应按照有关要求,对定级过程中产生的文档进行整理,形成定级结果报告。

6.4.2  对安全保护等级拟定为第二级以上(含第二级)的信息系统,安全责任单位应聘请相应专家进行评审,并按有关规定向公安机关备案。

7          等级变

在邮政业信息系统的运行过程中,若信息系统所处理的信息和提供的服务发生变化,或其它原因影响到信息系统的安全保护等级,安全责任单位应重新确定信息系统安全保护等级,及时调整安全保护措施。

附录A(资料性附录)邮政业信息系统安全保护等级定级参考表

 为了帮助安全责任单位拟定信息系统的安全保护等级,本附录给出邮政业信息系统业务信息安全等级和系统服务安全等级的定级简明参考条件(注:只给出了其中一些参考定级条件,非唯一的全部定级条件)。

邮政企业、快递服务组织和邮政管理部门可根据本单位信息系统业务功能,参考本附录进行定级。原则上,信息系统安全保护等级应不低于本附录建议的参考级别。未在参考表中列出的信息系统,以及其他拟定为第四级和第五级的信息系统,可根据其承载的业务功能参照本标准正文和相关国家标准进行定级。

A.1  邮政服务相关信息系统定级参考表

系统类别

参考级别

参考条件(满足其中之一)

核心生产作业

安全保护等级:

第一级

业务信息安全等级:第一级

系统年处理件数在十万级

系统服务安全等级:第一级

1)   系统服务范围为地市范围

2)   在系统提供服务期间不能接受系统中断超过24小时

安全保护等级:

第二级

业务信息安全等级:第二级

1)   系统年处理件数在百万到千万级

2)   敏感信息条数在百万级以下(含百万级)

系统服务安全等级:第二级

1)   系统服务范围为全省范围且系统提供服务期间不能接受系统单日服务中断超过12小时

2)   系统服务范围为全国范围且为企业内部使用,在系统提供服务期间不能接受系统单日服务中断超过6小时

安全保护等级:

第三级

业务信息安全等级:第三级

1)   系统年处理件数在亿级

2)   敏感信息条数在千万级

系统服务安全等级:第三级

1)   系统服务范围为全省范围且为企业对外服务使用,在系统提供服务期间不能接受系统单日服务中断超过6小时

2)   系统服务范围为全国范围且在系统提供服务期间不能接受系统单日服务中断超过3小时

安全保护等级:

第四级

业务信息安全等级:第四级

1)   系统年处理件数在十亿以上

2)   敏感信息条数在一亿以上

系统服务安全等级:第四级

在系统提供服务期间不能接受系统中断超过1小时

邮政特殊服务

安全保护等级:

第一级

业务信息安全等级:第一级

系统年处理件数在十万级

系统服务安全等级:第一级

1)   系统服务范围为地市范围

2)   在系统提供服务期间不能接受系统中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

1)   系统年处理件数在百万到亿级

2)   敏感信息条数在百万到千万级

系统服务安全等级:第二级

1)   系统服务范围为全省范围且不能接受系统单日发生全天中断

2)   系统服务范围为全国范围且为企业内部使用,系统在提供服务期间不能接受系统单日服务中断超过8小时

安全保护等级:

第三级

业务信息安全等级:第三级

1)   系统年处理件数在十亿以上

2)   敏感信息条数在一亿以上

系统服务安全等级:第三级

1)   系统服务范围为全省范围且为企业对外服务使用,在系统提供服务期间不能接受系统单日服务中断超过12小时

2)   系统服务范围为全国范围且在系统提供服务期间不能接受系统单日服务中断超过6小时

电子商务类

安全保护等级:

第一级

业务信息安全等级:第一级

系统年处理件数在十万级

系统服务安全等级:第一级

1)   系统服务范围为地市范围

2)   在系统提供服务期间不能接受系统中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

1)   系统年处理件数百万到亿级

2)   敏感信息条数在百万到千万级

系统服务安全等级:第二级

1)   系统服务范围为全省范围且在系统提供服务期间不能接受系统单日服务中断超过12小时

2)   系统服务范围为全国范围且为企业内部使用,系统在提供服务期间不能接受系统单日服务中断超过6小时

安全保护等级:

第三级

业务信息安全等级:第三级

1)   系统年处理件数在十亿以上

2)   敏感信息条数在一亿以上

系统服务安全等级:第三级

1)   系统服务范围为全省范围且为企业对外服务使用,在系统提供服务期间不能接受系统单日服务中断超过6小时

2)   系统服务范围为全国范围且在系统提供服务期间不能接受系统单日服务中断超过3小时

门户网站类

安全保护等级:

第一级

业务信息安全等级:第一级

地市级邮政服务组织的门户网站

系统服务安全等级:第一级

在系统提供服务期间不能接受系统服务中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

省级邮政服务组织的门户网站

系统服务安全等级:第二级

在系统提供服务期间不能接受系统单日发生全天中断

安全保护等级:

第三级

业务信息安全等级:第三级

总部级邮政服务组织的门户网站

系统服务安全等级:第三级

在系统提供服务期间不能接受系统单日服务中断超过8小时

运营管理类

安全保护等级:

第一级

业务信息安全等级:第一级

处理全省范围邮政服务组织的内部运营管理信息

系统服务安全等级:第一级

在系统提供服务期间不能接受系统服务中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

处理全国范围邮政服务组织的内部运营管理信息

系统服务安全等级:第二级

在系统提供服务期间不能接受系统单日发生全天中断

A.2快递服务相关信息系统定级参考表

系统类别

参考级别

参考条件(满足其中之一)

核心营运类

安全保护等级:

第一级

业务信息安全等级:第一级

系统年处理件数在十万级

系统服务安全等级:第一级

1)   系统服务范围为地市范围

2)   在系统提供服务期间不能接受系统中断超过24小时

安全保护等级:

第二级

业务信息安全等级:第二级

1)   系统年处理件数在百万到亿级

2)   敏感信息条数在百万到五亿之间

系统服务安全等级:第二级

1)   系统服务范围在全省范围

2)   在系统提供服务期间不能接受系统中断超过12小时

安全保护等级:

第三级

业务信息安全等级:第三级

1)   系统年处理件数在十亿以上

2)   敏感信息条数在五亿以上

系统服务安全等级:第三级

1)   系统服务范围为全国范围

2)   在系统提供服务期间不能接受系统中断超过3小时

在线服务类

安全保护等级:

第一级

业务信息安全等级:第一级

系统年处理件数在十万级

系统服务安全等级:第一级

在系统提供服务期间不能接受系统中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

1)   系统年处理件数在百万到亿级

2)   敏感信息条数在百万到五亿之间

系统服务安全等级:第二级

在系统提供服务期间不能接受系统中断超过24小时

安全保护等级:

第三级

业务信息安全等级:第三级

1)   系统年处理件数在十亿以上

2)   敏感信息条数在五亿以上

系统服务安全等级:第三级

在系统提供服务期间不能接受系统中断超过8小时

客户服务类

安全保护等级:

第一级

业务信息安全等级:第一级

系统年处理件数在十万级

系统服务安全等级:第一级

在系统提供服务期间不能接受系统中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

1)   系统年处理件数在百万到亿级

2)   敏感信息条数在百万到五亿之间

系统服务安全等级:第二级

在系统提供服务期间不能接受系统中断超过24小时

安全保护等级:

第三级

业务信息安全等级:第三级

1)   系统年处理件数在十亿以上

2)   敏感信息条数在五亿以上

系统服务安全等级:第三级

在系统提供服务期间不能接受系统中断超过8小时

门户网站类

安全保护等级:

第一级

业务信息安全等级:第一级

企业年处理件数在千万级

系统服务安全等级:第一级

在系统提供服务期间不能接受系统中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

企业年处理件数在亿到十亿级

系统服务安全等级:第二级

在系统提供服务期间不能接受系统中断超过24小时

安全保护等级:

第三级

业务信息安全等级:第三级

企业年处理件数在百亿以上

系统服务安全等级:第三级

在系统提供服务期间不能接受系统中断超过8小时

运营管理类

安全保护等级:

第一级

业务信息安全等级:第一级

企业年处理件数在千万到亿级

系统服务安全等级:第一级

在系统提供服务期间不能接受系统中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

企业年处理件数在十亿以上

系统服务安全等级:第二级

在系统提供服务期间不能接受系统中断超过12小时

A.3邮政管理相关信息系统定级参考表

系统类别

参考级别

简明参考条件(满足其中之一)

行业管理

安全保护等级:

第一级

业务信息安全等级:第一级

处理区县范围邮政管理部门的行政管理信息

系统服务安全等级:第一级

在系统提供服务期间不能接受系统中断超过48小时

安全保护等级:

第二级

业务信息安全等级:第二级

处理地市范围或全省范围邮政管理部门的的行政管理信息

系统服务安全等级:第二级

在系统提供服务期间不能接受系统中断超过24小时

安全保护等级:

第三级

业务信息安全等级:第三级

处理全国范围邮政管理部门的的行政管理信息

系统服务安全等级:第三级

在系统提供服务期间不能接受系统中断超过8小时

公共服务类

安全保护等级:

第三级

业务信息安全等级:第三级

国家邮政局公共服务门户网站

系统服务安全等级:第三级

在系统提供服务期间不能接受系统中断超过8小时

内部管理类

安全保护等级:

第二级

业务信息安全等级:第二级

处理全国邮政管理系统的办公、人事和财务等内部管理信息

系统服务安全等级:第二级

在系统提供服务期间不能接受系统中断超过12小时

数据资源类

安全保护等级:

第三级

业务信息安全等级:第三级

处理全国范围的邮政业数据资源信息

系统服务安全等级:第三级

在系统提供服务期间不能接受系统中断超过8小时


相关新闻
中华人民共和国国家邮政局 版权所有      备案序号:京ICP备08008301号
主办单位:中华人民共和国国家邮政局
State Post Bureau of The People's Republic of China