等級保護定級張蘭主題定級工作的意義定級的范圍信息系統五個安全等級定級要素及與安全保護等級的關系定級一般流程定級的步驟定級工作的意義此次定級工作的重要性此次定級工作的強制性此次定級工作的急迫性

此次定級的范圍（一）電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。（二）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。（三）市（地）級以上黨政機關的重要網站和辦公信息系統等。（四）涉及國家秘密的信息系統（以下簡稱“涉密信息系統”）。信息系統五個安全等級等級名稱定義監管方式第一級自主保護級息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。自主保護第二級指導保護級信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。政府職能部門指導下的自主保護第三級監督保護級信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。政府職能部門監督下的嚴格保護第四級強制保護級信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。政府職能部門的強制監督和檢查下的嚴格保護第五級專控保護級信息系統受到破壞后，會對國家安全造成特別嚴重損害。政府協助下由主管部門和使用單位實施專門控制和保護定級的要素等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。等級保護對象受到破壞時所侵害的客體包括以下三個方面：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：造成一般損害；造成嚴重損害；造成特別嚴重損害。定級要素與安全保護等級的關系受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級一般流程確定作為定級對象的信息系統；確定業務信息安全受到破壞時所侵害的客體；根據不同的受侵害客體，從多個方面綜合評定業務信息安全被破壞對客體的侵害程度；依據下表，得到業務信息安全等級；業務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級一般流程確定系統服務安全受到破壞時所侵害的客體；根據不同的受侵害客體，從多個方面綜合評定系統服務安全被破壞對客體的侵害程度；依據下表，得到系統服務安全等級；系統服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級一般流程由業務信息安全等級和系統服務安全等級的較高者確定定級對象的安全保護等級。步驟如圖3、綜合評定對客體的侵害程度2、確定業務信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統服務安全受到破壞時所侵害的客體7、系統服務安全等級4、業務信息安全等級8、定級對象的安全保護等級依據表2依據表31、確定定級對象定級的步驟定級的步驟信息系統調查信息系統調查工作通過全面客觀的信息資產調查表以核查和訪談的方式完成信息資產調查工作，即通過信息系統的摸底調查，全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況。定級的步驟定級對象分析定級對象分析根據信息系統調查結果和訪談結果，分析信息系統管理組織機構、業務應用、物理位置和運行環境等因素，基于科學的系統拆分原則明確定級對象。信息系統定級—定級對象一個單位內運行的信息系統可能比較龐大，為了體現重要部分重點保護，有效控制信息安全建設成本，優化信息安全資源配置的等級保護原則，可將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。作為定級對象的信息系統應具有如下基本特征：具有唯一確定的安全責任單位具有信息系統的基本要素承載單一或相對獨立的業務應用信息系統定級—定級對象具有唯一確定的安全責任單位作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任，則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。信息系統定級—定級對象具有信息系統的基本要素作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件，如服務器、終端、網絡設備等作為定級對象。信息系統定級—定級對象承載單一或相對獨立的業務應用定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立，且與其他業務應用沒有數據交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立，同時與其他業務應用有少量的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備。信息系統定級—定級對象如果信息系統只承載一項業務，可以直接為該信息系統確定等級，不必劃分業務子系統。如果信息系統承載多項業務，應根據各項業務的性質和特點，將信息系統分成若干業務子系統，分別為各業務子系統確定安全保護等級，信息系統的安全保護等級由各業務子系統的最高等級決定。信息系統是進行等級確定和等級保護管理的最終對象。確定定級對象的關鍵因素？關鍵因素是責任主體，即一定要明確責任主體，不屬于自己負責的不要定級。多責任主體就需要將定級對象細分，一定要有具體明確的責任主體。建議對于省部級信息網絡，在政府大院的由部、省級信息主管確定即可，大院之外，具體分析再定。跨省的統一性信息系統，如果地方只有應用而沒有開發、維護等，由部統一定級即可。定級的步驟定級要素分析定級要素：信息系統的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。分析工具：安全定級知識庫。分析方法：定級要素分析時需分別對業務信息安全等級和系統服務安全等級進行分析，分析內容包括確定受侵害的客體、確定對客體的侵害程度，從而確定相應的業務信息安全等級和系統服務安全等級。最后，綜合業務信息安全等級和系統服務安全等級得到信息系統安全等級保護系統等級。確定受侵害的客體定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。侵害國家安全的事項包括以下方面：影響國家政權穩固和國防實力；影響國家統一、民族團結和社會安定；影響國家對外活動中的政治、經濟利益；影響國家重要的安全保衛工作；影響國家經濟競爭力和科技實力；其他影響國家安全的事項。確定受侵害的客體侵害社會秩序的事項包括以下方面：影響國家機關社會管理和公共服務的工作秩序；影響各種類型的經濟活動秩序；影響各行業的科研、生產秩序；影響公眾在法律約束和道德規范下的正常生活秩序等；其他影響社會秩序的事項。

確定受侵害的客體影響公共利益的事項包括以下方面：影響社會成員使用公共設施；影響社會成員獲取公開信息資源；影響社會成員接受公共服務等方面；其他影響公共利益的事項。確定受侵害的客體影響公民、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。確定作為定級對象的信息系統受到破壞后所侵害的客體時，應首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權益。各行業可根據本行業業務特點，分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關系，從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。確定對客體的侵害程度侵害的客觀方面在客觀方面，對客體的侵害外在表現為對定級對象的破壞，其危害方式表現為對信息安全的破壞和對信息系統服務的破壞，其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等，系統服務安全是指確保信息系統可以及時、有效地提供服務，以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。確定對客體的侵害程度信息安全和系統服務安全受到破壞后，可能產生以下危害后果：影響行使工作職能；導致業務能力下降；引起法律糾紛；導致財務損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。綜合判定侵害程度信息安全和系統服務安全受到破壞后，可能產生以下危害后果：侵害程度是客觀方面的不同外在表現的綜合體現，因此，應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍、用戶人數或業務量等不同方面確定，業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。綜合判定侵害程度在針對不同的受侵害客體進行侵害程度的判斷時，應參照以下不同的判別基準：如果受侵害客體是公民、法人或其他組織的合法權益，則以本人或本單位的總體利益作為判斷侵害程度的基準；如果受侵害客體是社會秩序、公共利益或國家安全，則應以整個行業或國家的總體利益作為判斷侵害程度的基準。

綜合判定侵害程度不同危害后果的三種危害程度描述如下：

一般損害：工作職能受到局部影響，業務能力有所降低但不影響主要功能的執行，出現較輕的法律問題，較低的資產損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴重損害：工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的資產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業務能力嚴重下降且或功能無法執行，出現極其嚴重的法律問題，極高的資產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。綜合判定侵害程度信息安全和系統服務安全被破壞后對客體的侵害程度，由對不同危害結果的危害程度進行綜合評定得出。由于各行業信息系統所處理的信息種類和系統服務特點各不相同，信息安全和系統服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同，各行業可根據本行業信息特點和系統服務特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成損害、嚴重損害、特別嚴重損害的具體定義。綜合判定侵害程度信息安全和系統服務安全被破壞后對客體的侵害程度，由對不同危害結果的危害程度進行綜合評定得出。由于各行業信息系統所處理的信息種類和系統服務特點各不相同，信息安全和系統服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同，各行業可根據本行業信息特點和系統服務特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成損害、嚴重損害、特別嚴重損害的具體定義。對于定級的具體建議部省級系統不要低于3級，而且定級不是要全部定級，只是對重要信息系統定級。定級的步驟撰寫定級報告具體根據定級過程和定級結果，通過相應模版(見附件)撰寫滿足行業要求、信息系統使用單位要求以及公安要求的初步信息系統定級報告。經驗豐富的單位積累了安全定級知識庫,庫的定級報告模版庫中積累了大量行業、業務系統的定級報告模版，信息系統安全等級保護定級報告一、XXX信息系統描述

簡述確定該系統為定級對象的理由。從三方面進行說明：一是描述承擔信息系統安全責任的相關單位或部門，說明本單位或部門對信息系統具有信息安全保護責任，該信息系統為本單位或部門的定級對象；二是該定級對象是否具有信息系統的基本要素，描述基本要素、系統網絡結構、系統邊界和邊界設備；三是該定級對象是否承載著單一或相對獨立的業務，業務情況描述。信息系統安全等級保護定級報告二、XXX信息系統安全保護等級確定（定級方法參見國家標準《信息系統安全等級保護定級指南》

（一）業務信息安全保護等級的確定1、業務信息描述描述信息系統處理的主要業務信息等。2、業務信息受到破壞時所侵害客體的確定說明信息受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權益）中的哪些客體造成侵害。3、信息受到破壞后對侵害客體的侵害程度的確定說明信息受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。4、業務信息安全等級的確定依據信息受到破壞時所侵害的客體以及侵害程度，確定業務信息安全等級。信息系統安全等級保護定級報告二、XXX信息系統安全保護等級確定

（二）系統服務安全保護等級的確定1、系統服務描述描述信息系統的服務范圍、服務對象等。2、系統服務受到破壞時所侵害客體的確定說明系統服務受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權益）中的哪些客體造成侵害。3、系統服務受到破壞后對侵害客體的侵害程度的確定說明系統服務受到破壞后，會對侵害客體造成什么程度的侵害，即說明是一般損害、嚴重損害還是特別嚴重損害。4、系統服務安全等級的確定依據系統服務受到破壞時所侵害的客體以及侵害程度確定系統服務安全等級。信息系統安全等級保護定級報告二、XXX信息系統安全保護等級確定（定級方法參見國家標準《信息系統安全等級保護定級指南》）

（二）系統服務安全保護等級的確定1、系統服務描述描述信息系統的服務范圍、服務對象等。2、系統服務受到破壞時所侵害客體的確定說明