前言

信息系統(tǒng)安全等級，由系統(tǒng)運用、使用單位根據(jù)《信息系統(tǒng)安全等級保護定級指南》自主確定信息系統(tǒng)的安全保護等級，有主管部門的，應當經(jīng)主管部門審批。對于擬確定為四級及以上信息系統(tǒng)，還應經(jīng)專家評審會評審。新建信息系統(tǒng)在設計、規(guī)劃階段確定安全保護等級。

定級要素

信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

受侵害的客體

等級保護對象受到破壞時所侵害的客體包括以下三個方面：
a) 公民、法人和其他組織的合法權益；
b) 社會秩序、公共利益；
c) 國家安全。

對客體的侵害程度

對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。
等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：
a) 造成一般損害（工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題、較低的財產(chǎn)損失、有限的社會不良影響，對其他組織和個人造成較低損害）；
b) 造成嚴重損害（工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害）；
c) 造成特別嚴重損害（工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)及其嚴重的法律問題、極高的財產(chǎn)損失、大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害）；

定級要素和等級之間的關系

定級的流程

信息系統(tǒng)定級工作應按照“自主定級、專家評審、主管部門審核、公安機關審查”的原則進行。
定級工作的主要內容包括：確定定級對象、初步確定等級、組織專家評審、主管部門審核、公安機關備案審查、最終確定等級。其流程圖如下：

確定定級對象

一個單位內運行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點保護，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對象。

定級對象基本特征

1. 具有唯一確定的安全責任單位。作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統(tǒng)的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任，則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的單位。（誰是建設維護誰負責）
2. 具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如服務器、終端、網(wǎng)絡設備等作為定級對象。（需是組合系統(tǒng)）
3. 承載單一或相對獨立的業(yè)務應用。定級對象承載“單一”的業(yè)務應用是指該業(yè)務應用的業(yè)務流程獨立，且與其他業(yè)務應用沒有數(shù)據(jù)交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程獨立，同時與其他業(yè)務應用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網(wǎng)絡傳輸設備。（主要業(yè)務流程獨立）

初步確定定級

信息系統(tǒng)安全包括業(yè)務信息安全和系統(tǒng)服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應由業(yè)務信息安全和系統(tǒng)服務安全兩方面確定。

定級方法概述

a：確定受到破壞時所侵害的客體

• 確定業(yè)務信息受到破壞時所侵害的客體
• 確定系統(tǒng)服務受到侵害時所侵害的客體

b：確定對客體的侵害程度

• 根據(jù)不同受侵害客體，從多個方面綜合評定業(yè)務信息安全被破壞對客體的侵害程度
• 根據(jù)不同受侵害客體，從多個方面綜合評定系統(tǒng)服務安全被破壞對客體的侵害程度

c：確定安全保護等級

• 確定業(yè)務信息安全保護等級
• 確定系統(tǒng)服務安全保護等級
• 將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者初步確定為定級對象的安全保護定級

確定受侵害客體

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。
國家安全

• 影響國家政權穩(wěn)固和國防實力；
• 影響國家統(tǒng)一、民族團結和社會安定；
• 影響國家對外活動中的政治、經(jīng)濟利益；
• 影響國家重要的安全保衛(wèi)工作；
• 影響國家經(jīng)濟競爭力和科技實力；
  （政權、社會、對外利益、軍事、經(jīng)濟）

社會秩序
影響國家機關社會管理和公共服務的工作秩序；

• 影響各種類型的經(jīng)濟活動秩序；
• 影響各行業(yè)的科研、生產(chǎn)秩序；
• 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；
  （公共服務、經(jīng)濟活動、生產(chǎn)秩序、生活秩序）

公共利益

• 影響社會成員使用公共設施；
• 影響社會成員獲取公開信息資源；
• 影響社會成員接受公共服務等方面；
• 其他影響公共利益的事項。
  （公共設施、信息資源、公共服務）

影響公民、法人和其他組織的合法權益：
指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。

確定對客體的侵害程度

客觀方面
在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對業(yè)務信息安全的破壞和對信息系統(tǒng)服務的破壞，其中業(yè)務信息安全是指確保信息系統(tǒng)內信息的保密性、完整性和可用性等，系統(tǒng)服務安全是指確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標。由于業(yè)務信息安全和系統(tǒng)服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。
信息安全和系統(tǒng)服務安全受到破壞后可能產(chǎn)生以下危害結果：

• 影響行使工作職能；
• 導致業(yè)務能力下降；
• 引起法律糾紛；
• 導致財產(chǎn)損失；
• 造成社會不良影響；
• 對其他組織和個人造成損失

綜合判定
侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。
針對不同客體參照不同判別標準：

• 如果受侵害客體是公民、法人或其他組織的合法權益，則以本人或本單位的總體利益作為判 斷侵害程度的基準；
• 如果受侵害客體是社會秩序、公共利益或國家安全，則應以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。

確定保護等級

根據(jù)業(yè)務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據(jù)下表即可得到業(yè)務信息安全保護等級：

根據(jù)系統(tǒng)服務安全被破壞時所侵害的客體以及對相應客體的侵害程度，依據(jù)下表即可得到系統(tǒng)服務安全保護等級：

定級對象的安全保護等級由兩者相比較，以較高者為準。

專家評審

定級對象的運營、使用單位應組織網(wǎng)絡安全專家和業(yè)務專家，對初步定級結果的合理性進行評審，出具專家評審意見。

主管部門審核

定級對象的運營、使用單位應將初步定級結果上報行業(yè)主管部門，由上級有關部門進行審核。

公安機關備案審查

定級對象的運營、使用單位應按照相關管理規(guī)定，將初步定級結果提交公安機關進行備案審查。審查不通過，其網(wǎng)絡運營者應組織重新定級；審查通過后最終確定定級對象的安全保護定級。

等級變更

當?shù)燃壉Ｗo對象所處理的信息、業(yè)務狀態(tài)和系統(tǒng)服務范圍發(fā)生變化，可能導致業(yè)務信息安全或系統(tǒng)服務安全受到破壞后的受侵害客體和對客體的侵害程度有較大的變化時，應根據(jù)標準要求重新確定定級對象和安全保護等級。

————————————————
版權聲明：本文為CSDN博主「whoim_i」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權協(xié)議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/whoim_i/article/details/105311305