信息安全技术信息系统安全等级保护定级指引.doc

De 3目 次 目次 I 前言 II 引言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 定级原理 1 4.1 信息系统安全保护等级 1 4.2 信息系统安全保护等级的定级要素 2 4.2.1 受侵害的客体 2 4.2.2 对客体的侵害程度 2 4.3 定级要素与等级的关系 2 5 定级方法 3 5.1 定级的一般流程 3 5.2 确定定级对象 4 5.3 确定受侵害的客体 5 5.4 确定对客体的侵害程度 6 5.4.1 侵害的客观方面 6 5.4.2 综合判定侵害程度 6 5.5 确定定级对象的安全保护等级 7 6 等级变更 8 前　言 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：公安部信息安全等级保护评估中心。 本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。 引 言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T BBBBB-BBBB信息系统安全等级保护基本要求； ——GB/T CCCCC-CCCC信息系统安全等级保护实施指南； ——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。 本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。 信息系统安全等级保护定级指南 范围 本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本，然而，鼓励根据本达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本。GB17859-1999 计算机信息系统安全等级划分准则术语定义 直接作用的具体。公民、法人其他组织的合法权益，会对公民、法人和其他组织的合法权益损害，但不损害国家安全、社会秩序和公共利益。 ，会对公民、法人和其他组织的合法权益产生严重损害，或对社会秩序和公共利益造成损害，但不损害国家安全。 ，会对社会秩序和公共利益造成严重损害，或对国家安全造成损害。 ，会对社会秩序和公共利益造成特别严重损害，或对国家安全造成严重损害。，会对国家安全造成特别严重损害。公民、法人和其他组织的合法权益 图1 确定等级一般流程 确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征： 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。 确定受侵害的客体 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。 侵害国家安全的事项包括以下方面： 影响国家政权稳固和国防实力； 影响国家统一、民族团结和社会安定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力； 其他影响国家安全的事项。 侵害社会秩序的事项包括以下方面： 影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活