信息安全等级保护定级培训.pptVIP

表2 业务信息安全等级矩阵表 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2系统服务安全等级矩阵表，即可得到系统服务安全等级。 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 * . 表3 系统服务安全等级矩阵表 作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后，可参照附件中的《信息系统安全保护等级定级报告》模版起草定级报告。 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 * . 不同危害后果的三种危害程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 * . 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。 信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成损害、严重损害、特别严重损害的具体定义。 * . 三种受侵害的客体: 国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。 合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益， 关于侵害客体和侵害程度 * . 关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。 * . 关于社会秩序 各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。 * . 关于公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。 * . 直接的结果和间接的影响: 威胁直接作用的结果信息系统的破坏,但是确定对客体侵害的程度时，必须考虑间接的对客体产生的侵害和影响。 按照国家安全—社会秩序和公共利益---公民、法人和组织的合法利益的顺序考虑 * . 一、定级对象的三个条件 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 定级阶段-关于定级对象确定 * . * 对于新建系统，尽管信息系统尚未建成，但信息系统的运营使用者应首先分析该信息系统处理哪几种主要业务，预计处理的业务信息和服务安全被破坏所侵害的客体、以及根据可能的对信息系统的损害方式判断可能的客体侵害程度等基本信息，确定信息系统的安全保护等级。 对于已建系统，可以通过系统基本情况调查、调查结果分析、确定等级，形成定级报