信息系统安全保护等级定级指南讲解.docVIP

目 录 1 范围 1 2 术语和定义 1 3 定级对象 1 3.1 信息系统的划分 1 3.2 信息系统和业务子系统 2 4 决定信息系统安全保护等级的要素 2 4.1 决定信息系统重要性的要素 2 4.2 定级要素赋值 3 4.2.1 信息系统所属类型及赋值 3 4.2.2 业务信息类型及赋值 3 4.2.3 信息系统服务范围及赋值 4 4.2.4 业务依赖程度赋值 4 5 确定信息系统安全保护等级的步骤 5 6 信息系统安全保护等级的确定方法 6 6.1 确定业务信息安全性等级 6 6.2 确定业务服务保证性等级 6 6.3 确定信息系统安全保护等级 7 7 信息系统安全保护等级的调整 7 8 附录 9 8.1 实例1 9 8.2 实例2 10 信息系统安全保护等级定级指南 范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 术语和定义 下列术语和定义适用于本指南。 2.1 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。 2.2 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统系统应性质将系统分成子系统，。 属于一般企事业单位，处理其内部事务的信息系统。 1 信息系统资产受到破坏会对本单位利益有直接影响。 属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。 2 信息系统资产受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响。 属于党政机关，处理国家事务的信息系统。 3 信息系统资产受到破坏会对国家安全利益有直接影响。 业务信息类型及赋值 根据信息系统中业务信息机密性、完整性或可用性被破坏后，对国家安全利益、经济建设、公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如表2所示。 表2 业务信息类型赋值表 业务信息类型举例 赋值 业务信息的安全影响 可以对外公开发布的信息，或不对外发布的单位内部一般信息。 1 业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。 法人和其他组织及公民的专有信息，例如内部敏感信息、关键技术数据、科技情报、商业秘密等。 2 业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。 涉及国家安全利益，影响国家经济建设的信息。 3 业务信息机密性、完整性或可用性被破坏对国家安全利益和国家经济建设造成损害。 信息系统服务范围及赋值 根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务造成的社会影响范围大小，典型的信息系统服务范围、赋值和相关影响如表3所示。 表3 信息系统服务范围赋值表 信息系统服务范围举例 赋值 服务范围的影响 地区范围的服务网络。 1 信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。 省级范围的服务网络。 2 信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。 全国范围的服务网络。 3 信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。 业务依赖程度赋值 根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务对单位完成其使命的最大影响程度，典型的业务依赖程度、赋值及相关影响如表4所示。 表4 业务依赖程度赋值表 业务依赖程度举例 赋值 业务系统影响 业务处理流程的大部分可以通过手工方式或其他方式完成，自动化程度低。 1 信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小。 业务处理流程的部分环节可以通过手工方式或其他方式替代完成，自动化程度中。 2 信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大。 业务处理流程完全依赖信息系统，手工方式无法完成，自动化程度高。 3 信息系统