信息系统安全保护等级定级指南.docx

1、信息系统安全保护等级定级指南 信息系统安全保护等级定级指南A guide for classifying information system security protection（试用稿v3.2）目 次1 范围 32 术语和定义 32.1 业务信息（Business Information） 32.2 业务信息安全性（Security of Business Information） 32.3 业务服务保证性（Assurance of Business Service） 32.4 信息系统（Information System） 32.5 业务子系统（Business Subsystem）

2、 33 定级对象 33.1 信息系统的划分 43.2 信息系统和业务子系统 44 决定信息系统安全保护等级的要素 44.1 决定信息系统重要性的要素 44.2 定级要素赋值 55 确定信息系统安全保护等级的步骤 76 信息系统安全保护等级的确定方法 86.1 确定业务信息安全性等级 86.2 确定业务服务保证性等级 86.3 确定信息系统安全保护等级 97 信息系统安全保护等级的调整 108 附录 118.1 实例1 118.2 实例2 12信息系统安全保护等级定级指南1 范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。有关部门根据文件确定涉及最高国家利益的重要信息系统的核

3、心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。2 术语和定义下列术语和定义适用于本指南。2.1 业务信息（Business Information）为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性（Security of Business Information）保证业务信息机密性、完整性和可用性程度的表征。2.3 业务服务保证性（Assurance of Business Service）保证信息系统完成业务使命程度的表征。业务使命可能因

4、信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。2.4 信息系统（Information System）基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。2.5 业务子系统（Business Subsystem）由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。3 定级对象如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业

5、务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：1) 相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下，可以保证遵循相同的安全管理策略。2) 相同的业务类型信息系统内的各业务子系统具有相同的业务类型，安全需求相近，可以保证遵循相同的安全策略。3) 相同的物理位置或相似的运行环境信息系统内的各业务子系

6、统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一的安全保护。3.2 信息系统和业务子系统按照信息系统的定义，典型的信息系统应由计算机硬件设备（包括服务器设备、客户端设备、打印机及存储器等外围设备）、计算机网络硬件设备（包括交换机、路由器、各种适配器以及通信线路等）、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元，业务子系统应具有信息系统的全部特点，应

7、该是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体，并且承载确定的业务。如无特殊说明，本文以下各章节所描述的信息系统指信息系统和业务子系统。4 决定信息系统安全保护等级的要素信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定，从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。4.1 决定信息系统重要性的要素信息系统的重要性由以下要素决定：1) 信息系统所属类型，即信息系统资产的安全利益主体。2) 信息系统主要处理的业务信

8、息类别。3) 信息系统服务范围，包括服务对象和服务网络覆盖范围。4) 业务对信息系统的依赖程度。其中第1、2个要素决定信息系统内信息资产的重要性，第3、4个要素决定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。4.2 定级要素赋值4.2.1 信息系统所属类型及赋值信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度，根据社会影响高低，典型的信息系统所属类型、赋值及其社会影响如表1所示。表1 信息系统所属类型赋值表信息系统所属类型举例赋值信息系统的社会影响属于一般企事业单位，处理其内部事务的信息系统。1信息系统资产受到破坏会对本单位利益

9、有直接影响。属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。2信息系统资产受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响。属于党政机关，处理国家事务的信息系统。3信息系统资产受到破坏会对国家安全利益有直接影响。4.2.2 业务信息类型及赋值根据信息系统中业务信息机密性、完整性或可用性被破坏后，对国家安全利益、经济建设、公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如表2所示。表2 业务信息类型赋值表业务信息类型举例赋值业务信息的安全影响可以对外公开发布的信

10、息，或不对外发布的单位内部一般信息。1业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。法人和其他组织及公民的专有信息，例如内部敏感信息、关键技术数据、科技情报、商业秘密等。2业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。涉及国家安全利益，影响国家经济建设的信息。3业务信息机密性、完整性或可用性被破坏对国家安全利益和国家经济建设造成损害。4.2.3 信息系统服务范围及赋值根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务造成的社会影响范围大小，典型的信息系统服务范围、赋值和相关影响如表3所示。表3 信息系统服务范围赋

11、值表信息系统服务范围举例赋值服务范围的影响地区范围的服务网络。1信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。省级范围的服务网络。2信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。全国范围的服务网络。3信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。4.2.4 业务依赖程度赋值根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务对单位完成其使命的最大影响程度，典型的业务依赖程度、赋值及相关影响如表4所示。表4 业务依赖程度赋值表业务依赖程度举例赋值业务系统影响业务处理流程的大部分可以通过手工方式或其他方式完成，自动化

12、程度低。1信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小。业务处理流程的部分环节可以通过手工方式或其他方式替代完成，自动化程度中。2信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大。业务处理流程完全依赖信息系统，手工方式无法完成，自动化程度高。3信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。5 确定信息系统安全保护等级的步骤为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在4个定级要素方面的赋值，然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根据业务信息安全性等级和业务服务保证性等级确定业务子

13、系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。具体步骤如图1所示。图1 等级确定图示图1确定信息系统系统保护等级的步骤具体描述如下：1) 参照4.2.1、4.2.2、4.2.3和4.2.4节内容为信息系统所属类型、业务信息类型、信息系统服务范围和业务依赖程度赋值；2) 根据6.1和6.2节内容确定两个定级指标业务信息安全性等级和业务服务保证性的等级，业务信息安全性等级体现信息资产重要性，业务服务保证性等级体现信息系统服务重要性；3) 由两个定级指标的较高者确定业务子系统的安全保护等级；4) 由信息系统内所有业务子系统的最高等级，确定信息系统的安全保护等级。

14、值得注意的是，等级的确定可能不是一个过程就可以完成的，可能要经过信息系统划分、赋值、定级、调整、重新赋值、再定级、再调整的循环过程，通过不断反馈和调整，最终确定出较为适当的信息系统安全保护等级。6 信息系统安全保护等级的确定方法6.1 确定业务信息安全性等级将信息系统所属类型的赋值（1，2，3）与业务信息类型的赋值（1，2，3）构成一个33矩阵，去掉不合理的交叉点，构成业务信息安全性等级矩阵，如表5所示。表5 业务信息安全性等级矩阵表业务信息类型赋值信息系统所属类型赋值1231122223333446.2 确定业务服务保证性等级将信息系统服务范围的赋值（1，2，3）与业务依赖程度的赋值（1，2

15、，3）构成一个33矩阵，构成业务服务保证性取值矩阵，如表6所示。表6 业务服务保证性取值矩阵表信息系统服务范围赋值业务依赖程度赋值123112322343344考虑信息系统服务范围和业务依赖程度两个因素赋值时均没有涉及国家安全利益，因此增加调节因子k，以反映信息系统无法提供服务或无法提供有效服务所造成损失对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度。调节因子k的取值范围为大于0小于1的数值，可根据信息系统服务的影响程度参照表7进行选取。表7 调节因子取值表信息系统服务的影响程度调节因子k信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失。1.0 k 0.8信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失。0.8 k 0.5信息系统无法提供服务或无法提供有效