信息安全等级保护.pptVIP

第三节 信息系统安全等级确定 系统定级是实施等级保护的前提和基础。信息系统安全等级的确定是否准确直接关系到是否对信息系统采取了足够的安全保护措施，是否能够将信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度降到最低。 《信息系统安全保护等级定级指南》中阐述了如何对信息系统的安全级别进行定级，提出了量化流程和方法，各行业信息系统的主管部门可以根据该指南制定适合本行业或部门的具体定级方法和指导意见。 第五十九页，共一百二十一页。 一、信息系统和业务子系统 信息系统是基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 业务子系统由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 第六十页，共一百二十一页。 按照信息系统的定义，典型的信息系统应由计算机硬件设备（包括服务器设备、客户端设备、打印机及存储器等外围设备）、计算机网络硬件设备（包括交换机、路由器、各种适配器以及通信线路等）、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。 第六十一页，共一百二十一页。 业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元。业务子系统应具有信息系统的全部特点，是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体，并且承载确定的业务。 第六十二页，共一百二十一页。 如果信息系统只承载一项业务，可以直接为该信息系统确定安全等级，不必划分业务子系统。如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级。信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。 第六十三页，共一百二十一页。 二、决定信息系统安全保护等级的因素 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定。从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。 第六十四页，共一百二十一页。 决定信息系统重要性的要素 （一）信息系统所属类型，即信息系统资产的安全利益主体 信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度。根据社会影响高低，典型的信息系统所属类型、赋值及其社会影响如下表所示。 信息系统所属类型举例 赋值 信息系统的社会影响 属于一般企事业单位处理其内部事务的信息系统。 1 信息系统资产受到破坏会对本单位利益有直接影响。 属于重要行业、重要领域和国家基础设施为国计民生、经济建设等提供重要服务的信息系统，或本身虽属于一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。 2 信息系统资产受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响。 属于党政机关处理国家事务的信息系统。 3 信息系统资产受到破坏会对国家安全利益有直接影响。 第六十五页，共一百二十一页。 决定信息系统重要性的要素 （二）信息系统主要处理的业务信息类型 根据信息系统中业务信息保密性、完整性或可用性被破坏后，对国家安全利益、经济建设、公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如下表所示。 业务信息类型举例 赋值 业务信息的安全影响 可以对外公开发布的信息，或不对外发布的单位内部一般信息。 1 业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。 法人和其他组织及公民的专有信息，如内部敏感信息、关键技术数据、科技情报、商业秘密等。 2 业务信息保密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。 涉及国家安全利益，影响国家经济建设的信息。 3 业务信息保密性、完整性或可用性被破坏会对国家安全利益和国家经济建设造成损害。 第六十六页，共一百二十一页。 决定信息系统重要性的要素 （三）信息系统服务范围，包括服务对象和服务网络覆盖范围 根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务造成的社会影响范围大小，典型的信息系统服务范围、赋值和相关影响如下表所示。 信息系统服务范围举例 赋值 服务范围的影响 地区范围的服务网络。 1 信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。 省级范围的服务网络。 2 信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。 全国范围的服务网络。 3 信息系统因无法提供服