等级保护系统定级概述.docx

信息系统定级概述 等级保护测评第一步就是系统定级，可是究竟如何定级呢？怎样定级最合理合规合适呢？不得不等今天就详细的和大家交流下心得。 ?首先我们来看下定级指南里对信息系统等级的划分： 根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成特别严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 ? ? ? ? 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 可以看出系统等级越高，系统越重要，造成的损害越严重。 ? ? ? ? 我们再来看看定级的两个要素： 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面： a) 公民、法人和其他组织的合法权益； b) 社会秩序、公共利益； c) 国家安全。 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： a) 造成一般损害； b) 造成严重损害； c) 造成特别严重损害。 定级要素与等级的关系 定级要素与信息系统安全保护等级的关系如下表所示。 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 看了定级要素和对应的要素关系，我们可以总结为对受侵害的客体造成的损害越大那么等级就越高，可是看完这个我们还是有点模糊特别是对第一次想开展这块工作的伙伴们来说更是雾里看花。那我们再看一个表格： 看了这个表格后，我们会清楚很多，到底我们的系统是几级，不得不等在此总结一下：县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统；省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统）。当然在这里我也提出一点：现在一些地区区县虽然行政是区县，但是实际经济总量和人口已经远远大于中西部一些地级市，所以我们在系统定级的时候还是要结合系统的重要性去实际定级，切勿死搬硬套，例如我们在某区一个系统里面存储了全区上百万的人口信息，住房信息等等敏感信息，这样的系统就得定到三级。定级不合理，将来不小心出了事情都是自己的事情，没必要把这样的风险全抗在自己肩膀上。另外补充一点如果行业有要求就按照行业要求来，这样办事省心省力。总结成一句话就是：信息系统涉及到工作秘密、敏感信息的，信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统，建议定到三级，其他系统定到二级。当然涉及到国家安全的特别是全国性的系统要定四级。 ? ? ? 到底哪些是国家安全？哪些是社会秩序、公共利益？可以参照近期的定级指南意见稿。 侵害国家安全的事项包括以下方面： ——影响国家政权稳固和主权完整； ——影响国家统一、民族团结和社会稳定； ——影响国家经济秩序和文化实力； ——影响宗教活动秩序和反恐能力建设； ——其他影响国家安全的事项。 侵害社会秩序的事项包括以下方面： ——影响国家机关社会管理和公共服务的工作秩序； ——影响各种类型的经济活动秩序； ——影响各行业的科研、生产秩序； ——影响公众在法律约束和道德规范下的正常生活秩序等； ——其他影响社会秩序的事项。 侵害公共利益的事项包括以下方面 ——影响社会成员使用公共设施； ——影响社会成员获取公开信息资源； ——影响社会成员接受公共服务等方面； ——其他影响公共利益的事项。 什么样是一般损害？什么样是严重损害和特别严重损害？也可以参考近期的定级指南意见稿。 三种侵害程度的描述如下： 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不