ICS 35.240.01 YZ A90 备案号：50662—2015 中华人民共和国邮政行业标准 YZ/T0142—2015 邮政业信息系统安全等级保护定级指南 Classification guide for classified security protection of postal industry information system 2015-10-01实施 2015-06-11发布 国家邮政局 发布 YZ/T 0142—2015 目 次 260 前言 范围 : 261 2规范性引用文件， 261 3术语和定义 261 4基本原则 261 4.1 自主定级原则 261 4.2重点保护原则 261 4.3动态调整原则 261 5安全保护等级 262 5.1定级要素…· 262 5.2受侵害客体· 262 5.3对客体的侵害程度 262 5.4邮政业信息系统安全保护等级 264 6定级方法 264 6.1 定级流程 264 6.2安全责任单位确定 264 6.3信息系统划分 264 6.4等级确定 266 6.5定级结果形成与备案 267 7等级变更 267 附录A（资料性附录） 邮政业信息系统安全保护等级定级参考表 268 参考文献 273 259 YZ/T0142—2015 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由国家邮政局提出。 本标准由全国邮政业标准化技术委员会（SAC/TC462）归口。 本标准起草单位：顺丰速运有限公司。 本标准主要起草人：杨伟峰、田民、刘新凯、熊莹、谢朝海。 260 YZ/T01422015 邮政业信息系统安全等级保护定级指南 1范围 本标准规定了邮政业信息系统安全等级保护定级的基本原则、安全保护等级划分、定级方法和等级 变更要求。 本标准适用于邮政服务、快递服务和邮政管理工作中非涉密信息系统的安全保护等级的定级。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 CB/T10757—2011邮政业术语 CB/T22240—2008信息安全技术信息系统安全等级保护定级指南 GB/Z28828—2012信息安全技术公共及商用服务信息系统个人信息保护指南 3术语和定义 GB/T22240—2008、CB/Z28828—2012和GB/T10757—2011界定的以及下列术语和定义适用于本 文件。 3.1 邮政业信息系统postalindustryinformationsystem 由计算机及其相关的、配套的设备、设施（含网络）构成的，支撑邮政业对生产、服务、经营、管理等信 息进行采集、加工、存储、传输、检索等处理的人机系统。 3.2 敏感信息sensitiveinformation 一且遭到泄露或修改，会对标识的信息主体造成不良影响的信息，包括姓名、身份证号码、手机号码、 地址等信息的组合。 4基本原则 4.1 自主定级原则 邮政业信息系统的安全责任单位应按照国家相关法规、技术标准要求，自主确定本单位信息系统的 安全保护等级。 4.2重点保护原则 根据信息系统的不同安全保护等级和业务特点，安全责任单位自行组织实施相应强度的安全保护， 集中资源优先保护高等级的信息系统。 4.3动态调整原则 若邮政业信息系统所处理的信息和提供的服务发生变化，或其他原因影响信息系统的安全保护等 261 YZ/T0142—2015 级，安全责任单位需重新确定信息系统安全保护等级，及时调整安全保护措施。 5安全保护等级 5.1定级要素 邮政业信息系统的安全保护等级由信息系统受到破坏时所侵害的客体和侵害程度所决定。 5.2受侵害客体 邮政业信息系统的受侵害客体主要包括：国家安全；社会秩序、公共利益；公民、法人和其他组织的合 法权益。其中： a）侵害国家安全的事项包括： 影响国家政权稳固和国防实力； 影响国家统一、民族团结和社会安定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力； 其他影响国家安全的事项。 b） 侵害社会秩序的事项包括： 影响邮政业相关社会管理和公共服务的工作秩序； 影响邮政业相关的经济活动秩序； 影响邮政业相关的科研、生产秩序； 影响公众的正常生活秩序； 其他影响社会秩序的事项。 c） 侵害公共利益的事项包括： 影响社会成员使用邮政业公共设施； 影响社会成员获取邮政业公开信息资源； -影响社会成员接受邮政业公共服务； 损害社会成员的隐私、名誉和利益。 5.3对客体的侵害程度 5.3.1邮政业信息系统遭到破坏会危及业务信息安全和系统服务安全。 5.3.2业务信息安全主要指邮政业信息系统内各类业务信息（如：邮件信息、快件信息、个人信息和行 业管理信息等）的保密性、完整性和可用性。业务信息安全主要关注的是保护数据在存储、传输、处理等 过程中不被泄漏、破坏和免受未授权的修改，数据被破坏时因所侵害的业务信息类型、数量等不同而对客 体造成不同程度的侵害。 5.3.3系统服务安全主要指邮政业信息系统在处理各类业务信息过程中，其服务地域范围内所提供服 务的及时性、有效性和持续性。系统服务安全关注的是保护系统连续正常的运行，避免因对系统的未授 权修改、破坏而导致系统不可用，系统被破坏时因所侵害的服务范围、服务时间等不同而对客体造成不同 程度的侵害。 5.3.4业务信息安全和系统服务安全遭受破坏，所产生的对客体的侵害程度应分为一般损害、严重损害 和特别严重损害，各类侵害程度描述见表1。 262 YZ/T0142—2015 表1 侵害程度描述 侵害程度 受侵害客体 一般损害 严重损害 特别严重损害 国家政权稳固和国 影响国家政权稳固和国防 严重影响国家政权稳固和 无 防实力 实力 国防实力 国家统一、民族团 影响国家统一、民族团结 严重影响国家统一、民族 无 结和社会安定 和社会安定 团结和社会安定 国家 国家对外活动中的 影响国家对外活动中的政 造成较大损失 造成极大损失 安全 政治、经济利益 治、经济利益 国家重要的安全保 影响国家重要的安全保卫 受到严重影响，造成工作 受到特别严重影响，造成 卫工作 工作 效率显著降低 工作能力丧失 国家经济竞争力和 影响国家经济竞争力和科 受到严重影响，造成严重 受到特别严重影响，造成 损害 科技实力 技实力 极其严重损害 邮政业相关的社会 全国范围的工作职能出现 全国范围的工作职能出现 全省范围的工作职能出现 管理和公共服务的工 质量下降或失误，造成较大 质量下降或失误，造成巨大 质量下降或失误 作秩序 的社会不良影响 的社会不良影响 全国范围的经济活动受到 全国范围的经济活动受到 邮政业相关的经济 全省范围的经济活动受到 影响，造成较大的社会不良 影响，造成巨大的社会不良 活动秩序 影响 影响 社会 影响 秩序 全国范围的科研、生产受 全国范围的科研、生产受 邮政业相关的科 全省范围的科研、生产受 到影响，造成较大的社会不 到影响，造成巨大的社会不 研、生产秩序 到影响 良影响 良影响 全国范围的公众正常生活 全国范围的公众正常生活 公众的正常生活 全省范围的公众正常生活 受到影响，造成较大的社会 受到影响，造成巨大的社会 秩序 受到影响 不良影响 不良影响 全国范围的公共设施受到 全国范围的公共设施受到 社会成员使用邮政 全省范围的公共设施受到 影响，造成较大的社会不良 影响，造成巨大的社会不良 业公共设施 影响 影响 影响 全国范围的信息资源受到 全国范围的信息资源受到 社会成员获取邮政 全省范围的信息资源受到 影响，造成较大的社会不良 影响，造成巨大的社会不良 业公开信息资源 影响 影响 影响 公共 利益 全国范围的公共服务受到 全国范围的公共服务受到 社会成员接受邮政 全省范围的公共服务受到 影响，造成较大的社会不良 影响，造成巨大的社会不良 业公共服务 影响 影响 影响 全国范围的客户敏感信息 全国范围的客户敏感信息 社会成员的隐私、 全省范围的客户敏感信息 被泄漏，造成较大的社会不 被泄漏，造成巨大的社会不 名誉和利益 被泄漏 良影响 良影响 工作效率显著下降、较大 工作长时间瘫痪、特别巨 公民、法人和其他 工作效率降低、较少的财 合法 的财产损失和重大的法律 大的财产损失和非常重大的 权益 组织的合法权益 产损失和较轻的法律问题 问题 法律问题 263 YZ/T0142—2015 5.4邮政业信息系统安全保护等级 根据受侵害客体和侵害程度，邮政业信息系统安全保护等级由低到高可依次划分为五级，见表2。 表2邮政业信息系统安全保护等级 等 级 描述 信息系统遭到破坏后，会对公民、法人和其他组织的合法权益造成一般损害，但不损害国家安 第一级 全、社会秩序和公共利益 信息系统遭到破坏后，会对公民、法人和其他组织的合法权益产生严重损害或者特别严重损害， 第二级 或者对社会秩序和公共利益造成一般损害，但不损害国家安全 第三级 信息系统遭到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成一般损害 信息系统遭到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重 第四级 损害 第五级 信息系统遭到破坏后，会对国家安全造成特别严重损害 6定级方法 6.12 定级流程 邮政业信息系统的定级流程包括安全责任单位确定、信息系统划分、等级确定和定级结果形成与备 案,其中： a）安全责任单位确定：按6.2要求，确定邮政业信息系统的安全责任单位； b) 信息系统划分：按6.3要求