信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（6頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、前言本標(biāo)準(zhǔn)由公安部和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：公安部信息安全等級(jí)保護(hù)評(píng)估中心。本標(biāo)準(zhǔn)主要起草人：任衛(wèi)紅、曲潔、馬力、朱建平、李明、李升、謝朝海、畢馬寧、陳雪秀。引 言依據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國(guó)務(wù)院147號(hào)令）、國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）、關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)）和信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)），制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：GB/T BBBBB-BBBB信息系

2、統(tǒng)安全等級(jí)保護(hù)基本要求；GB/T CCCCC-CCCC信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南；GB/T DDDDD-DDDD信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則。本標(biāo)準(zhǔn)依據(jù)等級(jí)保護(hù)相關(guān)管理文件，從信息系統(tǒng)所承載的業(yè)務(wù)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要作用和業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度這兩方面，提出確定信息系統(tǒng)安全保護(hù)等級(jí)的方法。信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)方法，適用于為信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)工作提供指導(dǎo)。2規(guī)范性引用文件下列文件中的條款通過(guò)在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，

3、鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全 GB17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則3術(shù)語(yǔ)和定義GB/T 5271.8和GB17859-1999確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1等級(jí)保護(hù)對(duì)象 target of classified security信息安全等級(jí)保護(hù)工作直接作用的具體的信息和信息系統(tǒng)。3.2客體object受法律保護(hù)的、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系，如國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。3.

4、3客觀方面objective 對(duì)客體造成侵害的客觀外在表現(xiàn)，包括侵害方式和侵害結(jié)果等。3.4系統(tǒng)服務(wù) system service信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過(guò)程。4定級(jí)原理4.1信息系統(tǒng)安全保護(hù)等級(jí)根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。

5、 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。4.2信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。4.2.1受侵害的客體等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：a)公民、法人和其他組織的合法權(quán)益；b)社會(huì)秩序、公共利益；c)國(guó)家安全。4.2.2對(duì)客體的侵害程度對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過(guò)對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)

6、保護(hù)對(duì)象的破壞，通過(guò)危害方式、危害后果和危害程度加以描述。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：a)造成一般損害；b)造成嚴(yán)重?fù)p害；c)造成特別嚴(yán)重?fù)p害。4.3定級(jí)要素與等級(jí)的關(guān)系定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1所示。表1 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)5定級(jí)方法5.1定級(jí)的一般流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信

7、息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下：a)確定作為定級(jí)對(duì)象的信息系統(tǒng)；b)確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體；c)根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度；d)依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級(jí)；e)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體；f)根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度；g)依據(jù)表3，得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)；h)將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)

8、服務(wù)安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的安全保護(hù)等級(jí)。上述步驟如圖1確定等級(jí)一般流程所示。圖1 確定等級(jí)一般流程5.2確定定級(jí)對(duì)象一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：a)具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同

9、下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。b)具有信息系統(tǒng)的基本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。c)承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒(méi)有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸

10、設(shè)備。5.3確定受侵害的客體定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國(guó)家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。侵害國(guó)家安全的事項(xiàng)包括以下方面：-影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力；-影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；-影響國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益；-影響國(guó)家重要的安全保衛(wèi)工作；-影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力；-其他影響國(guó)家安全的事項(xiàng)。侵害社會(huì)秩序的事項(xiàng)包括以下方面：-影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序；-影響各種類型的經(jīng)濟(jì)活動(dòng)秩序；-影響各行業(yè)的科研、生產(chǎn)秩序；-影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；-其他影響社會(huì)秩序的事項(xiàng)。影響公共利益的事項(xiàng)包括以下方面：-影響

11、社會(huì)成員使用公共設(shè)施；-影響社會(huì)成員獲取公開(kāi)信息資源；-影響社會(huì)成員接受公共服務(wù)等方面；-其他影響公共利益的事項(xiàng)。影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。確定作為定級(jí)對(duì)象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先判斷是否侵害國(guó)家安全，然后判斷是否侵害社會(huì)秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各類信息系統(tǒng)與國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時(shí)所侵害的客體。5.4確定對(duì)客體的侵害

12、程度5.4.1侵害的客觀方面在客觀方面，對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過(guò)程中，需要分別處理這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：-影響行使工作職能；-導(dǎo)致業(yè)務(wù)能力下降；-引起法律糾紛；-導(dǎo)致財(cái)產(chǎn)損失；-造成社會(huì)不良影響；-對(duì)其他組織和個(gè)人造成損失；-其他影響。5.4.2綜

13、合判定侵害程度侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對(duì)不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，應(yīng)參照以下不同的判別基準(zhǔn)：-如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)；-如果受侵害客體是社會(huì)秩序、公共利益或國(guó)

14、家安全，則應(yīng)以整個(gè)行業(yè)或國(guó)家的總體利益作為判斷侵害程度的基準(zhǔn)。不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問(wèn)題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問(wèn)題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問(wèn)題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重

15、損害。信息安全和系統(tǒng)服務(wù)安全被破壞后對(duì)客體的侵害程度，由對(duì)不同危害結(jié)果的危害程度進(jìn)行綜合評(píng)定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)，制定危害程度的綜合評(píng)定方法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。5.5確定定級(jí)對(duì)象的安全保護(hù)等級(jí)根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。表2 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)

16、客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)。表3 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。6等級(jí)變更在信息系統(tǒng)的運(yùn)行過(guò)程中，安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?，尤其是?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)受到破壞后的受侵害客體和對(duì)客體的侵害程度有較大的變化，可能影響到系統(tǒng)的安全保護(hù)等級(jí)時(shí)，應(yīng)根據(jù)本標(biāo)準(zhǔn)第5章給出的定級(jí)方法重新定級(jí)。