前言

信息系統(tǒng)安全等級(jí)，由系統(tǒng)運(yùn)用、使用單位根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審批。對(duì)于擬確定為四級(jí)及以上信息系統(tǒng)，還應(yīng)經(jīng)專家評(píng)審會(huì)評(píng)審。新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。

定級(jí)要素

信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。

受侵害的客體

等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：
a) 公民、法人和其他組織的合法權(quán)益；
b) 社會(huì)秩序、公共利益；
c) 國家安全。

對(duì)客體的侵害程度

對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過危害方式、危害后果和危害程度加以描述。
等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：
a) 造成一般損害（工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題、較低的財(cái)產(chǎn)損失、有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害）；
b) 造成嚴(yán)重?fù)p害（工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害）；
c) 造成特別嚴(yán)重?fù)p害（工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)及其嚴(yán)重的法律問題、極高的財(cái)產(chǎn)損失、大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害）；

定級(jí)要素和等級(jí)之間的關(guān)系

定級(jí)的流程

信息系統(tǒng)定級(jí)工作應(yīng)按照“自主定級(jí)、專家評(píng)審、主管部門審核、公安機(jī)關(guān)審查”的原則進(jìn)行。
定級(jí)工作的主要內(nèi)容包括：確定定級(jí)對(duì)象、初步確定等級(jí)、組織專家評(píng)審、主管部門審核、公安機(jī)關(guān)備案審查、最終確定等級(jí)。其流程圖如下：

確定定級(jí)對(duì)象

一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。

定級(jí)對(duì)象基本特征

1. 具有唯一確定的安全責(zé)任單位。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。（誰是建設(shè)維護(hù)誰負(fù)責(zé)）
2. 具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。（需是組合系統(tǒng)）
3. 承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用。定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。（主要業(yè)務(wù)流程獨(dú)立）

初步確定定級(jí)

信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。

定級(jí)方法概述

a：確定受到破壞時(shí)所侵害的客體

• 確定業(yè)務(wù)信息受到破壞時(shí)所侵害的客體
• 確定系統(tǒng)服務(wù)受到侵害時(shí)所侵害的客體

b：確定對(duì)客體的侵害程度

• 根據(jù)不同受侵害客體，從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度
• 根據(jù)不同受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度

c：確定安全保護(hù)等級(jí)

• 確定業(yè)務(wù)信息安全保護(hù)等級(jí)
• 確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)
• 將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者初步確定為定級(jí)對(duì)象的安全保護(hù)定級(jí)

確定受侵害客體

定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。
國家安全

• 影響國家政權(quán)穩(wěn)固和國防實(shí)力；
• 影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；
• 影響國家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益；
• 影響國家重要的安全保衛(wèi)工作；
• 影響國家經(jīng)濟(jì)競爭力和科技實(shí)力；
  （政權(quán)、社會(huì)、對(duì)外利益、軍事、經(jīng)濟(jì)）

社會(huì)秩序
影響國家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序；

• 影響各種類型的經(jīng)濟(jì)活動(dòng)秩序；
• 影響各行業(yè)的科研、生產(chǎn)秩序；
• 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；
  （公共服務(wù)、經(jīng)濟(jì)活動(dòng)、生產(chǎn)秩序、生活秩序）

公共利益

• 影響社會(huì)成員使用公共設(shè)施；
• 影響社會(huì)成員獲取公開信息資源；
• 影響社會(huì)成員接受公共服務(wù)等方面；
• 其他影響公共利益的事項(xiàng)。
  （公共設(shè)施、信息資源、公共服務(wù)）

影響公民、法人和其他組織的合法權(quán)益：
指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。

確定對(duì)客體的侵害程度

客觀方面
在客觀方面，對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)業(yè)務(wù)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞，其中業(yè)務(wù)信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過程中，需要分別處理這兩種危害方式。
信息安全和系統(tǒng)服務(wù)安全受到破壞后可能產(chǎn)生以下危害結(jié)果：

• 影響行使工作職能；
• 導(dǎo)致業(yè)務(wù)能力下降；
• 引起法律糾紛；
• 導(dǎo)致財(cái)產(chǎn)損失；
• 造成社會(huì)不良影響；
• 對(duì)其他組織和個(gè)人造成損失

綜合判定
侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。
針對(duì)不同客體參照不同判別標(biāo)準(zhǔn)：

• 如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判 斷侵害程度的基準(zhǔn)；
• 如果受侵害客體是社會(huì)秩序、公共利益或國家安全，則應(yīng)以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。

確定保護(hù)等級(jí)

根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)下表即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)：

根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)下表即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)：

定級(jí)對(duì)象的安全保護(hù)等級(jí)由兩者相比較，以較高者為準(zhǔn)。

專家評(píng)審

定級(jí)對(duì)象的運(yùn)營、使用單位應(yīng)組織網(wǎng)絡(luò)安全專家和業(yè)務(wù)專家，對(duì)初步定級(jí)結(jié)果的合理性進(jìn)行評(píng)審，出具專家評(píng)審意見。

主管部門審核

定級(jí)對(duì)象的運(yùn)營、使用單位應(yīng)將初步定級(jí)結(jié)果上報(bào)行業(yè)主管部門，由上級(jí)有關(guān)部門進(jìn)行審核。

公安機(jī)關(guān)備案審查

定級(jí)對(duì)象的運(yùn)營、使用單位應(yīng)按照相關(guān)管理規(guī)定，將初步定級(jí)結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審查。審查不通過，其網(wǎng)絡(luò)運(yùn)營者應(yīng)組織重新定級(jí)；審查通過后最終確定定級(jí)對(duì)象的安全保護(hù)定級(jí)。

等級(jí)變更

當(dāng)?shù)燃?jí)保護(hù)對(duì)象所處理的信息、業(yè)務(wù)狀態(tài)和系統(tǒng)服務(wù)范圍發(fā)生變化，可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)安全受到破壞后的受侵害客體和對(duì)客體的侵害程度有較大的變化時(shí)，應(yīng)根據(jù)標(biāo)準(zhǔn)要求重新確定定級(jí)對(duì)象和安全保護(hù)等級(jí)。

————————————————
版權(quán)聲明：本文為CSDN博主「whoim_i」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/whoim_i/article/details/105311305