信息系统安全保护等级定级指南.docVIP

信息系统安全保护等级定级指南 A guide for classifying information system security protection （试用稿v3.2） 目 次 1 范围 3 2 术语和定义 3 2.1 业务信息（Business Information） 3 2.2 业务信息安全性（Security of Business Information） 3 2.3 业务服务保证性（Assurance of Business Service） 3 2.4 信息系统（Information System） 3 2.5 业务子系统（Business Subsystem） 3 3 定级对象 3 3.1 信息系统的划分 4 3.2 信息系统和业务子系统 4 4 决定信息系统安全保护等级的要素 4 4.1 决定信息系统重要性的要素 4 4.2 定级要素赋值 5 5 确定信息系统安全保护等级的步骤 7 6 信息系统安全保护等级的确定方法 8 6.1 确定业务信息安全性等级 8 6.2 确定业务服务保证性等级 8 6.3 确定信息系统安全保护等级 9 7 信息系统安全保护等级的调整 10 8 附录 11 8.1 实例1 11 8.2 实例2 12 信息系统安全保护等级定级指南 范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 术语和定义 下列术语和定义适用于本指南。 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统系统应性质将系统分成子系统，。 属于一般企事业单位，处理其内部事务的信息系统。 1 信息系统资产受到破坏会对本单位利益有直接影响。 属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。 2 信息系统资产受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响。 属于党政机关，处理国家事务的信息系统。 3 信息系统资产受到破坏会对国家安全利益有直接影响。 业务信息类型及赋值 根据信息系统中业务信息机密性、完整性或可用性被破坏后，对国家安全利益、经济建设、公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如表2所示。 表2 业务信息类型赋值表 业务信息类型举例 赋值 业务信息的安全影响 可以对外公开发布的信息，或不对外发布的单位内部一般信息。 1 业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。 法人和其他组织及公民的专有信息，例如内部敏感信息、关键技术数据、科技情报、商业秘密等。 2 业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。 涉及国家安全利益，影响国家经济建设的信息。 3 业务信息机密性、完整性或可用性被破坏对国家安全利益和国家经济建设造成损害。 信息系统服务范围及赋值 根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务造成的社会影响范围大小，典型的信息系统服务范围、赋值和相关影响如表3所示。 表3 信息系统服务范围赋值表 信息系统服务范围举例 赋值 服务范围的影响 地区范围的服务网络。 1 信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。 省级范围的服务网络。 2 信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。 全国范围的服务网络。 3 信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。 业务依赖程度赋值 根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务对单位完成其使命的最大影响程度，典型的业务依赖程度、赋值及相关影响如表4所示。 表4 业务依赖程度赋值表 业务依赖程度举例 赋值 业务系统影响 业务处