信息安全等级保护定级指南Word文件下载.docx

1、6.1确定业务信息安全性等级 166.2确定业务服务保证性等级 166.3确定信息系统安全保护等级 187信息系统安全保护等级的调整 188附录 198.1实例 1 198.2实例 2 201范围 本指南适用于为 4 级及 4 级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护 等级定为 5 级，不再使用本指南的方法定级。各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导 意见。2术语和定义 下列术语和定义适用于本指南。2.1业务信息（ Business Information ） 为完成业务

2、工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2业务信息安全性（ Security of Business Information ） 保证业务信息机密性、完整性和可用性程度的表征。2.3业务服务保证性（ Assurance of Business Service ） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供 有效服务而不能完成或不能按照要求的目标完成。2.4信息系统（ Information System ） 基于计算机或计算机网络， 按照一定的应用目标和规则对信息进行采集、 加工、存储、 传输、 检索和服务的人机系统。2.5

3、业务子系统（ Business Subsystem ） 由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。3定级对象 如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。 如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系 统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等 级决定。信息系统是进行等级确定和等级保护管理的最终对象。3.1信息系统的划分 一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同 的，也可以是不同的。为体现重点保护重要信息系统安全，有效

4、控制信息安全建设成本，优化信 息安全资源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：1） 相同的管理机构 信息系统内的各业务子系统在同一个管理机构的管理控制之下，可以保证遵循相同的安全管 理策略。2） 相同的业务类型 信息系统内的各业务子系统具有相同的业务类型，安全需求相近，可以保证遵循相同的安全 策略。3） 相同的物理位置或相似的运行环境 信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威 胁相似，有利于采取统一的安全保护。3.2信息系统和业务子系统按照信息系统的定义， 典型的信息系统应由计算机硬件设备 （包括服务器设备、 客户端设备、 打印机及

5、存储器等外围设备） 、计算机网络硬件设备 （包括交换机、 路由器、 各种适配器以及通信 线路等）、安装于这些硬件设备上的软件、 所提供的服务以及相关的人员构成。 信息系统内的各业 务子系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统 是信息系统中可以为定级要素赋值的最小单元，业务子系统应具有信息系统的全部特点，应该是 由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的 一个有形实体，并且承载确定的业务。如无特殊说明，本文以下各章节所描述的信息系统指信息系统和业务子系

6、统。4决定信息系统安全保护等级的要素 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度 决定，从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩 序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。4.1决定信息系统重要性的要素信息系统的重要性由以下要素决定：1） 信息系统所属类型，即信息系统资产的安全利益主体。2） 信息系统主要处理的业务信息类别。3） 信息系统服务范围，包括服务对象和服务网络覆盖范围。4） 业务对信息系统的依赖程度。其中第1、2个要素决定信息系统内信息资产的重要性，第 3、4个要素决定信息系统所提供服务

7、的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。4.2定级要素赋值4.2.1信息系统所属类型及赋值信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度，根据社会影响高低，典型的信息系统所属类型、赋值及其社会影响如表 1所示。表1信息系统所属类型赋值表信息系统所属类型举例赋值信息系统的社会影响属于一般企事业单位，处理其内部事务的信息 系统。1信息系统资产受到破坏会对本单位利 益有直接影响。属于重要行业、重要领域和国家基础设施，为 国计民生、经济建设等提供重要服务的信息系 统，或本身虽属一般企事业单位，但为党政或 重要信息系统提供支撑服务的信息系统。2信息系

8、统资产受到破坏会对公共利益 有直接影响，或对国家安全利益有间 接影响。属于党政机关，处理国家事务的信息系统。3信息系统资产受到破坏会对国家安全 利益有直接影响。4.2.2 业务信息类型及赋值根据信息系统中业务信息机密性、完整性或可用性被破坏后，对国家安全利益、经济建设、公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如表 2所示。表2业务信息类型赋值表业务信息类型举例业务信息的安全影响可以对外公开发布的信息，或不对外发布的单 位内部一般信息。业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成疋损害。法人和其他组织及公民的专有信息，例如内部 敏感信息、关键技术

9、数据、科技情报、商业秘 密等。业务信息机密性、完整性或可用性被破 坏会对公共利益或本单位经济利益造 成严重损害。涉及国家安全利益，影响国家经济建设的信息。坏对国家安全利益和国家经济建设造成损害。423 信息系统服务范围及赋值根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务造成的社会影 响范围大小，典型的信息系统服务范围、赋值和相关影响如表 3所示。表3信息系统服务范围赋值表信息系统服务范围举例服务范围的影响地区范围的服务网络。信息系统因无法提供服务或无法提供有效服务会对 局部范围的资产造成损害。省级范围的服务网络。信息系统因无法提供服务或无法提供有效服务会对 较大范围的资产

10、造成损害。全国范围的服务网络。信息系统因无法提供服务或无法提供有效服务会对 全国范围的资产造成损害。4.2.4 业务依赖程度赋值根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务对单位完成其 使命的最大影响程度，典型的业务依赖程度、赋值及相关影响如表 4所示。表4业务依赖程度赋值表业务依赖程度举例业务系统影响业务处理流程的大部分可以通过手工方式或其他方式完成，自动化程度低。信息系统无法提供服务或无法提供有效服 务对单位完成其业务使命影响较小。业务处理流程的部分环节可以通过手工方 式或其他方式替代完成，自动化程度中。信息系统无法提供服务或无法提供有效服 务对单位完成其业务使命影

11、响较大。业务处理流程完全依赖信息系统，手工方 式无法完成，自动化程度咼。信息系统无法提供服务或无法提供有效服 务使单位无法完成其业务使命。5 确定信息系统安全保护等级的步骤为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在 4个定级要素方面的赋值，然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级， 再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级，最后由信息系统内 各业务子系统的最高等级确定信息系统的安全保护等级。具体步骤如图1所示。图1等级确定图示图1确定信息系统系统保护等级的步骤具体描述如下：1）参照421、422、4.2.3和

12、 4.2.4节内容为信息系统所属类型、业务信息类型、信息系统服务范围和业务依赖程度赋值；2）根据6.1和6.2节内容确定两个定级指标一一业务信息安全性等级和业务服务保证性的等级，业务信息安全性等级体现信息资产重要性，业务服务保证性等级体现信息系统服务3） 由两个定级指标的较高者确定业务子系统的安全保护等级；4） 由信息系统内所有业务子系统的最高等级，确定信息系统的安全保护等级。值得注意的是，等级的确定可能不是一个过程就可以完成的，可能要经过信息系统划分、赋 值、定级、调整、重新赋值、再定级、再调整的循环过程，通过不断反馈和调整，最终确定出较 为适当的信息系统安全保护等级。6信息系统安全保护等级

13、的确定方法6.1确定业务信息安全性等级将信息系统所属类型的赋值（1，2，3）与业务信息类型的赋值（1，2，3）构成一个3 3矩 阵，去掉不合理的交叉点，构成业务信息安全性等级矩阵，如表 5所示。表5业务信息安全性等级矩阵表业务信息类型赋值信息系统所属类型赋值46.2 确定业务服务保证性等级将信息系统服务范围的赋值（1，2，3）与业务依赖程度的赋值（1，2，3）构成一个3 3矩阵，构成业务服务保证性取值矩阵，如表 6所示。表6业务服务保证性取值矩阵表信息系统服务范围赋值业务依赖程度赋值考虑信息系统服务范围和业务依赖程度两个因素赋值时均没有涉及国家安全利益，因此增加调节因子k，以反映信息系统无法提

14、供服务或无法提供有效服务所造成损失对国家安全、 社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度。调节因子k的取值范围为大于0小于1的数值，可根据信息系统服务的影响程度参照表 7进行选取。表7调节因子取值表信息系统服务的影响程度调节因子k信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失。1.0 k 0.8信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益 损失。0.8 0.5信息系统无法提供服务或无法提供有效服务会造成局部利益损失。0.5 0将调节因子与业务服务保证性取值相乘，根据所得结果，选取相应的业务服务保证性等级。 考虑到调节因子为主观选取，存在一定

15、的不确定性，相乘结果与业务服务保证性等级的对应中存 在一定的交叠，对这一部分相乘结果，信息系统的相关定级人员可以根据本系统的具体情况适当 选择。由于一级系统没有必要调节，表 8列出对业务服务保证性取值为 2、3、4的调节结果。表8调节后的业务服务保证性等级业务服务保证性取值l=业务服务保证性取值 x k业务服务保证性等级l l 1.42.6 3.0 2.43.6 4.0 工 l 3.46.3 确定信息系统安全保护等级业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。信息系统的安全保护等级由各业务子系统的最高等级决定。7信息系统安全保护等级的调整根据本指南第4、5、6章

16、的步骤和方法，信息系统的运行、使用单位确定的信息系统安全保护 等级，信息系统的决策者或上级主管部门可根据系统的特殊需求进行调整，但调整只能调高等级 而不能降低等级。信息系统的安全保护等级和采取的基本安全保护措施是有对应关系的，信息系统的运行、使 用单位虽然可以根据系统的特殊安全需求对一些安全保护措施进行增强，但整体上的安全保护水 平还是原来的级别，如果考虑系统的特殊需求，需要加强保护，可提升级别，提高整体安全保护 水平。信息系统的决策者或上级主管部门可根据系统的特殊安全需求进行等级调整，可以参考以下 因素：1） 上级主管部门在政策和管理方面的特殊要求。2） 预测业务信息可能会随着时间的变化从量

17、变转化为质变。3） 业务依赖程度在将来会进一步提高，或随着信息系统所承载的业务不断完善和稳定，与 信息系统并行的手工处理（或老的系统）的业务将有可能取消。4） 信息系统服务范围随着业务的发展，将会有较大的变化。8附录为方便信息系统的主管部门和运营使用单位相关人员确定本单位信息系统的安全保护等级， 本章给出了信息系统定级的两个实例。8.1实例1系统简述：某省政府网站系统 ZFWZ用于发布政务公开信息、地方行政法规和管理措施、领 导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等 信息，服务对象主要是省内企业和市民。ZFW系统等级分析：1、 ZFW系统是省政府对社

18、会办公的窗口， 其类型为党政机关处理国家事务的信息系统, 其信息系统所属类型赋值为 3；2、 网站信息属公开信息，信息被破坏不会对国家利益和社会利益造成严重损害，其业 务信息类型赋值为1；3、 查表知ZFW系统的业务信息安全性等级为 2级，如下表9所示。表9业务信息安全性等级矩阵表4、 ZFW系统为省内企业和市民服务，其系统服务范围赋值为 2；5、 由于没有必须通过网络才能够执行的办事流程， ZFW系统对服务实时性和服务质量要求不高，政务服务工作主要通过网络之外完成，网络仅提供相关信息和表单下载, 因此其业务依赖程度赋值应为 1 ；6、查表知ZFW系统的业务服务保证性取值为 2,如下表10所示

19、。表10业务服务保证性取值矩阵表7、考虑到ZFW系统无法提供服务或无法提供有效服务仅造成局部利益的损失，一般不会造成社会利益的重要损失，调节因子可选为 0.5，查表8知，调节后ZFW系统的业务服务保证性等级为1级；8、ZFW系统的安全保护等级为 2。8.2实例2某省电力集团公司的省级电力实时监控系统，主要用于调度自动化控制系统和能量管理系统（SCADA/EM6 DDZDH负责省级超高压输电变电站的调度控制和数据采集。系统实时 性要求极高，达到秒级。系统等级分析：1、 电力行业为国家重要基础领域， DDZD系统为其中的重要信息系统，其信息系统所属 类型赋值应为2；2、 DDZD系统信息属企业专有

20、信息，这些信息被破坏会对公众利益造成严重影响，其业 务信息类型赋值为2；3、 查表知DDZD系统的业务信息安全性等级为 3级，如表11所示。表11业务信息安全性等级矩阵表4、 DDZD系统为省内企业和市民提供电力支持，其系统服务范围赋值为 2；5、 DDZD系统对完整性和实时性要求高，且无法采用手工作业替代，其业务依赖程度赋20 / 136、查表知DDZD系统的业务服务保证性取值为 4,如表12所示。表12业务服务保证性取值矩阵表7、考虑到电力系统关系国防和国民经济命脉，是国家重要基础设施， DDZD系统调节因子可选为1,查表8知，调节后DDZD系统的业务服务保证性等级为 4级;8、DDZD系统的安全保护等级为 4。