01范圍

信息系統(tǒng)安全等級保護(hù)的定級方法，適用于為信息系統(tǒng)安全等級保護(hù)的定級工作提供指導(dǎo)。

02定級原理

Ⅰ信息系統(tǒng)安全保護(hù)等級

根據(jù)等級保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。

Ⅱ信息系統(tǒng)安全保護(hù)等級的定級要素

信息系統(tǒng)的安全保護(hù)等級由兩個定級要素決定：等級保護(hù)對象受到破壞時所侵害的客體和對客體造成侵害的程度。

// 受侵害的客體

等級保護(hù)對象受到破壞時所侵害的客體包括以下三個方面：

a) 公民、法人和其他組織的合法權(quán)益；

b) 社會秩序、公共利益；

c) 國家安全。

// 對客體的侵害程度

對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護(hù)對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護(hù)對象的破壞，通過危害方式、危害后果和危害程度加以描述。

等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：

a) 造成一般損害；

b) 造成嚴(yán)重?fù)p害；

c) 造成特別嚴(yán)重?fù)p害。

Ⅲ定級要素與等級的關(guān)系

定級要素與信息系統(tǒng)安全保護(hù)等級的關(guān)系如表 1 所示。

（表1 定級要素與安全保護(hù)等級的關(guān)系）

03定級方法

Ⅰ定級的一般流程

信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。

從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級。

從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。

確定信息系統(tǒng)安全保護(hù)等級的一般流程如下：

a) 確定作為定級對象的信息系統(tǒng)；

b) 確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；

c) 根據(jù)不同的受侵害客體，從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度；

d) 依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級；

e) 確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體；

f) 根據(jù)不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度；

g) 依據(jù)表3，得到系統(tǒng)服務(wù)安全保護(hù)等級；

h) 將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者確定為定級對象的安全保護(hù)等級。

上述步驟如圖1確定等級一般流程所示。

（圖1 確定等級一般流程）

Ⅱ確定定級對象

一個單位內(nèi)運行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護(hù)等級的定級對象。

作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：

a) 具有唯一確定的安全責(zé)任單位。作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。

如果一個單位的某個下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運行維護(hù)等過程的全部安全責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。

b) 具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。

c) 承載單一或相對獨立的業(yè)務(wù)應(yīng)用。定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨享所有信息處理設(shè)備。定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨立，同時與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。

Ⅲ確定受侵害的客體

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。

侵害國家安全的事項包括以下方面：

- 影響國家政權(quán)穩(wěn)固和國防實力；

- 影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定；

- 影響國家對外活動中的政治、經(jīng)濟(jì)利益；

- 影響國家重要的安全保衛(wèi)工作；

- 影響國家經(jīng)濟(jì)競爭力和科技實力；

- 其他影響國家安全的事項。

侵害社會秩序的事項包括以下方面：

- 影響國家機(jī)關(guān)社會管理和公共服務(wù)的工作秩序；

- 影響各種類型的經(jīng)濟(jì)活動秩序；

- 影響各行業(yè)的科研、生產(chǎn)秩序；

- 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；

- 其他影響社會秩序的事項。

影響公共利益的事項包括以下方面：

- 影響社會成員使用公共設(shè)施；

- 影響社會成員獲取公開信息資源；

- 影響社會成員接受公共服務(wù)等方面；

- 其他影響公共利益的事項。

影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。

確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。

各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點，分析各類信息和各類信息系統(tǒng)與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時所侵害的客體。

Ⅳ確定對客體的侵害程度

// 侵害的客觀方面

在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。

信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：

- 影響行使工作職能；

- 導(dǎo)致業(yè)務(wù)能力下降；

- 引起法律糾紛；

- 導(dǎo)致財產(chǎn)損失；

- 造成社會不良影響；

- 對其他組織和個人造成損失；

- 其他影響。

// 綜合判定侵害程度

侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進(jìn)行確定。

在針對不同的受侵害客體進(jìn)行侵害程度的判斷時，應(yīng)參照以下不同的判別基準(zhǔn)：

- 如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)；

- 如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。

不同危害后果的三種危害程度描述如下：

- 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。

- 嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重?fù)p害。

特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重?fù)p害。

信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度進(jìn)行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)服務(wù)特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具

體定義。

Ⅴ確定定級對象的安全保護(hù)等級

根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表 2 業(yè)務(wù)信息安全保護(hù)等級矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級。

（表2 業(yè)務(wù)信息安全保護(hù)等級矩陣表）

根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表 2 系統(tǒng)服務(wù)安全保護(hù)等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級。

（表3 系統(tǒng)服務(wù)安全保護(hù)等級矩陣表）

作為定級對象的信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者決定。

04等級變更

在信息系統(tǒng)的運行過程中，安全保護(hù)等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對客體的侵害程度有較大的變化，可能 影響到系統(tǒng)的安全保護(hù)等級時，應(yīng)根據(jù)本標(biāo)準(zhǔn)的定級方法重新定級。