教育行政部门及高等院校信息系统安全等级保护定级指引.pdf

教育行政部门及高等院校信息系统 安全等级保护定级指南 1 总则 本定级指南 依据国家信息安全等级保护相关文件，结合省级教 育行政部门及高等院校信息化工作特点制定，适用于为省级教育行政 部门及高等院校相关信息系统安全等级保护的定级工作提供指导。本 文中的信息系统是指由计算机及其相关的和配套的设备、网络构成的 对教育行政部门及高等院校相关业务信息进行采集、加工、存储、传 输、检索、处理等系统。 2 术语和定义 2.1 等级保护对象 信息安全等级保护工作直接作用的具体的信息和信息系统。 2.2 客体 受法律保护的等级保护对象受到破坏时所侵害的社会关系，如国 家安全，社会秩序、公共利益以及公民、法人或社会其他组织的合法 权益。 2.3 客观方面 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。 3 定级原理 3.1 信息系统安全保护等级 根据国家等级保护相关文件，信息系统的安全保护等级分为以下 五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损 害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特 别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 3.2 信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定：等级保护对象受 到破坏时所侵害的客体和对客体造成侵害的程度。 3.2.1 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面： a ）公民、法人和其他组织的合法权益； b ）社会秩序、公共利益； c ）国家安全。 3.2.2 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对 客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵 害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危 害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三 种： a ）造成一般损害； b ）造成严重损害； c ）造成特别严重损害。 3.3 定级要素与安全保护等级的关系 定级要素与信息系统安全保护等级的关系见表1。 表 1 定级要素与信息系统安全保护等级的关系 对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 4 定级方法 4.1 定级的一般流程 信息系统安全包括业务信息安全和系统服务安全，与之相关的受 侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由 业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称为业务信 息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称为系统服 务安全保护等级。 确定信息系统安全保护等级的一般流程如下： a ）确定作为定级对象的信息系统； b ）确定业务信息安全受到破坏时所侵害的客体； c ）根据不同的受侵害客体，从多个方面综合评定业务信息安全