信息系统安全护保等定级级指南.docVIP

附件2 信息系统安全保护等级定级指南 （试用稿） 公 安 部 二〇〇五年十二月目 次 1 范围 11 2 术语和定义 11 2.1 业务信息（Business Information） 11 2.2 业务信息安全性（Security of Business Information） 11 2.3 业务服务保证性（Assurance of Business Service） 11 2.4 信息系统（Information System） 11 2.5 业务子系统（Business Subsystem） 11 3 定级对象 11 3.1 信息系统的划分 12 3.2 信息系统和业务子系统 12 4 决定信息系统安全保护等级的要素 12 4.1 决定信息系统重要性的要素 13 4.2 定级要素赋值 13 5 确定信息系统安全保护等级的步骤 15 6 信息系统安全保护等级的确定方法 16 6.1 确定业务信息安全性等级 16 6.2 确定业务服务保证性等级 16 6.3 确定信息系统安全保护等级 18 7 信息系统安全保护等级的调整 18 8 附录 20 8.1 实例1 20 8.2 实例2 21 信息系统安全保护等级定级指南 范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 术语和定义 下列术语和定义适用于本指南。 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统系统应性质将系统分成子系统，。 图1 等级确定图示 图1确定信息系统系统保护等级的步骤具体描述如下： 参照4.2.1、4.2.2、4.2.3和4.2.4节内容为信息系统所属类型、业务信息类型、信息系统服务范围和业务依赖程度赋值； 根据6.1和6.2节内容确定两个定级指标——业务信息安全性等级和业务服务保证性的等级，业务信息安全性等级体现信息资产重要性，业务服务保证性等级体现信息系统服务重要性； 由两个定级指标的较高者确定业务子系统的安全保护等级； 由信息系统内所有业务子系统的最高等级，确定信息系统的安全保护等级。 值得注意的是，等级的确定可能不是一个过程就可以完成的，可能要经过信息系统划分、赋值、定级、调整、重新赋值、再定级、再调整的循环过程，通过不断反馈和调整，最终确定出较为适当的信息系统安全保护等级。 信息系统安全保护等级的确定方法 确定业务信息安全性等级 将信息系统所属类型的赋值（1，2，3）与业务信息类型的赋值（1，2，3）构成一个3?3矩阵，去掉不合理的交叉点，构成业务信息安全性等级矩阵，如表5所示。 表5 业务信息安全性等级矩阵表 业务信息类型赋值 信息系统所属类型赋值 1 2 3 1 1 2 2 2 2 3 3 3 3 4 4 确定业务服务保证性等级 将信息系统服务范围的赋值（1，2，3）与业务依赖程度的赋值（1，2，3）构成一个3?3矩阵，构成业务服务保证性取值矩阵，如表6所示。 表6 业务服务保证性取值矩阵表 信息系统服务范围赋值 业务依赖程度赋值 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 考虑信息系统服务范围和业务依赖程度两个因素赋值时均没有涉及国家安全利益，因此增加调节因子k，以反映信息系统无法提供服务或无法提供有效服务所造成损失对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度。 调节因子k的取值范围为大于0小于1的数值，可根据信息系统服务的影响程度参照表7进行选取。 表7 调节因子取值表 信息系统服务的影响程度 调节因子k 信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失。 1.0 ? k ? 0.8 信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失。 0.8 ? k ? 0.5 信息系统无法