信息系統(tǒng)安全等級保護定級指南

1、信息系統(tǒng)安全等級保護定級指 南本標(biāo)準(zhǔn)由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委 員會提出。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口。 本標(biāo)準(zhǔn)起草單位：公安部信息安全等級保護評估 中心。本標(biāo)準(zhǔn)主要起草人：任衛(wèi)紅、曲潔、馬力、朱建 平、李明、李升、謝朝海、畢馬寧、陳雪秀。引 言依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護 條例（國務(wù)院147號令）、國家信息化領(lǐng)導(dǎo) 小組關(guān)于加強信息安全保障工作的意見（中辦 發(fā)200327號）、關(guān)于信息安全等級保護工 作的實施意見（公通字200466號）和信 息安全等級保護管理辦法（公通字200743 號），制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級保護相關(guān)系列標(biāo)準(zhǔn)之一。 與本標(biāo)準(zhǔn)相關(guān)的系

2、列標(biāo)準(zhǔn)包括： 本要求；GB/T BBBBB-BBB息系統(tǒng)安全等級保護基GB/T CCCCC-CCC信息系統(tǒng)安全等級保護實 施指南；GB/T DDDDD-DDDD息系統(tǒng)安全等級保護測 評準(zhǔn)則。本標(biāo)準(zhǔn)依據(jù)等級保護相關(guān)管理文件，從信息系統(tǒng) 所承載的業(yè)務(wù)在國家安全、經(jīng)濟建設(shè)、社會生活 中的重要作用和業(yè)務(wù)對信息系統(tǒng)的依賴程度這 兩方面，提出確定信息系統(tǒng)安全保護等級的方 法。信息系統(tǒng)安全等級保護定級指南1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級保護的定級方 法，適用于為信息系統(tǒng)安全等級保護的定級工作 提供指導(dǎo)。2規(guī)范性引用文件下列文件中的條款通過在本標(biāo)準(zhǔn)的引用而成為 本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后 所

3、有的修改單（不包括勘誤的內(nèi)容）或修訂版均 不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié) 議的各方研究是否使用這些文件的最新版本。凡 是不注明日期的引用文件，其最新版本適用于本 標(biāo)準(zhǔn)。GB/T 5271.8信息技術(shù) 詞匯 第8部分：安全GB17859-1999計算機信息系統(tǒng)安全保護等級劃 分準(zhǔn)則3術(shù)語和定義GB/T 5271.8和GB17859-1999確立的以及下列 術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1等級保護對象 target of classified security 信息安全等級保護工作直接作用的具體的信息 和信息系統(tǒng)。3.2客體object受法律保護的、等級保護對象受到破壞時所侵害 的社會關(guān)

4、系，如國家安全、社會秩序、公共利益 以及公民、法人或其他組織的合法權(quán)益。3.3客觀方面objective對客體造成侵害的客觀外在表現(xiàn)，包括侵害方式 和侵害結(jié)果等。3.4系統(tǒng)服務(wù) system service信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化 過程。4定級原理4.1 信息系統(tǒng)安全保護等級根據(jù)等級保護相關(guān)管理文件，信息系統(tǒng)的安全保 護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人 和其他組織的合法權(quán)益造成損害，但不損害國家 安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人 和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社 會秩序和公共利益造成損害，但不損害國家安

5、全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和 公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損 害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和 公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造 成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造 成特別嚴(yán)重?fù)p害。4.2 信息系統(tǒng)安全保護等級的定級要素信息系統(tǒng)的安全保護等級由兩個定級要素決定： 等級保護對象受到破壞時所侵害的客體和對客 體造成侵害的程度。421受侵害的客體等級保護對象受到破壞時所侵害的客體包括以 下三個方面：a）公民、法人和其他組織的合法權(quán)益；b）社會秩序、公共利益；c）國家安全。對客體的侵害程度對客體的侵害程度由客觀方面的不同外在表現(xiàn)

6、 綜合決定。由于對客體的侵害是通過對等級保護 對象的破壞實現(xiàn)的，因此，對客體的侵害外在表 現(xiàn)為對等級保護對象的破壞，通過危害方式、危 害后果和危害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程 度歸結(jié)為以下三種：a）造成一般損害；b）造成嚴(yán)重?fù)p害；c）造成特別嚴(yán)重?fù)p害。4.3 定級要素與等級的關(guān)系定級要素與信息系統(tǒng)安全保護等級的關(guān)系如表 1 所示。表1定級要素與安全保護等級的關(guān)系受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級 第二級第二級社會秩序、公共利益第二級第三級第四級 國家安全 第三級第四級第五級5定級方法5.1 定級的一般流程信息系

7、統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安 全，與之相關(guān)的受侵害客體和對客體的侵害程度 可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息 安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護 等級稱業(yè)務(wù)信息安全保護等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護 等級稱系統(tǒng)服務(wù)安全保護等級。確定信息系統(tǒng)安全保護等級的一般流程如下：a）確定作為定級對象的信息系統(tǒng)；b）確定業(yè)務(wù)信息安全受到破壞時所侵害的客 體；c）根據(jù)不同的受侵害客體，從多個方面綜合評 定業(yè)務(wù)信息安全被破壞對客體的侵害程度；d）依據(jù)表2，得到業(yè)務(wù)信息安全保護等級；e）確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客 體；f）根據(jù)不同的受侵害

8、客體，從多個方面綜合評 定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度；g）依據(jù)表3,得到系統(tǒng)服務(wù)安全保護等級；h）將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全 保護等級的較高者確定為定級對象的安全保護 等級。上述步驟如圖1確定等級一般流程所示。圖1確定等級一般流程5.2 確定定級對象一個單位內(nèi)運行的信息系統(tǒng)可能比較龐大， 為了 體現(xiàn)重要部分重點保護，有效控制信息安全建設(shè) 成本，優(yōu)化信息安全資源配置的等級保護原則， 可將較大的信息系統(tǒng)劃分為若干個較小的、 可能 具有不同安全保護等級的定級對象。 作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：a）具有唯一確定的安全責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其 安全

9、責(zé)任單位。如果一個單位的某個下級單位負(fù) 責(zé)信息系統(tǒng)安全建設(shè)、運行維護等過程的全部安 全責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安 全責(zé)任單位；如果一個單位中的不同下級單位分 別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息 系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所 屬的單位。b）具有信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配 套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合 而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組 件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。c）承載單一或相對獨立的業(yè)務(wù)應(yīng)用定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù) 應(yīng)用的業(yè)務(wù)流程獨立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù) 據(jù)交換，且獨享所

10、有信息處理設(shè)備。定級對象承 載“相對獨立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的 主要業(yè)務(wù)流程獨立，同時與其他業(yè)務(wù)應(yīng)用有少量 的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共 享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。5.3 確定受侵害的客體定級對象受到破壞時所侵害的客體包括國家安 全、社會秩序、公眾利益以及公民、法人和其他 組織的合法權(quán)益。侵害國家安全的事項包括以下方面：-影響國家政權(quán)穩(wěn)固和國防實力；-影響國家統(tǒng)一、民族團結(jié)和社會安定；-影響國家對外活動中的政治、經(jīng)濟利益；-影響國家重要的安全保衛(wèi)工作；-影響國家經(jīng)濟競爭力和科技實力；-其他影響國家安全的事項。侵害社會秩序的事項包括以下方面：-影響國家機關(guān)社會管理和公共

11、服務(wù)的工作秩 序；-影響各種類型的經(jīng)濟活動秩序；-影響各行業(yè)的科研、生產(chǎn)秩序；-影響公眾在法律約束和道德規(guī)范下的正常生 活秩序等；-其他影響社會秩序的事項。影響公共利益的事項包括以下方面：-影響社會成員使用公共設(shè)施；-影響社會成員獲取公開信息資源；-影響社會成員接受公共服務(wù)等方面；-其他影響公共利益的事項。影響公民、法人和其他組織的合法權(quán)益是指由法 律確認(rèn)的并受法律保護的公民、法人和其他組織 所享有的一定的社會權(quán)利和利益。確定作為定級對象的信息系統(tǒng)受到破壞后所侵 害的客體時，應(yīng)首先判斷是否侵害國家安全，然 后判斷是否侵害社會秩序或公眾利益，最后判斷 是否侵害公民、法人和其他組織的合法權(quán)益。各行

12、業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點，分析各類信息和 各類信息系統(tǒng)與國家安全、社會秩序、公共利益 以及公民、法人和其他組織的合法權(quán)益的關(guān)系， 從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到 破壞時所侵害的客體。5.4 確定對客體的侵害程度侵害的客觀方面在客觀方面，對客體的侵害外在表現(xiàn)為對定級對 象的破壞，其危害方式表現(xiàn)為對信息安全的破壞 和對信息系統(tǒng)服務(wù)的破壞，其中信息安全是指確 保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性 等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、 有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于 業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害 的客體和對客體的侵害程度可能會有所不同，在 定級過程中，需要分別

13、處理這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生 以下危害后果：-影響行使工作職能；-導(dǎo)致業(yè)務(wù)能力下降；-引起法律糾紛；-導(dǎo)致財產(chǎn)損失；-造成社會不良影響；-對其他組織和個人造成損失；-其他影響。綜合判定侵害程度侵害程度是客觀方面的不同外在表現(xiàn)的綜合體 現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同 危害后果分別確定其危害程度。對不同危害后果 確定其危害程度所采取的方法和所考慮的角度 可能不同，例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能 力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域 范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定，業(yè)務(wù) 信息安全被破壞導(dǎo)致的財物損失可以從直接的 資金損失大小、間接的信息恢復(fù)費

14、用等方面進行 確定。在針對不同的受侵害客體進行侵害程度的判斷 時，應(yīng)參照以下不同的判別基準(zhǔn)：-如果受侵害客體是公民、法人或其他組織的 合法權(quán)益，則以本人或本單位的總體利益作為判 斷侵害程度的基準(zhǔn)；-如果受侵害客體是社會秩序、公共利益或國 家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為 判斷侵害程度的基準(zhǔn)。不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有 所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法 律問題，較低的財產(chǎn)損失，有限的社會不良影響， 對其他組織和個人造成較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯 著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的 法律問題

15、，較高的財產(chǎn)損失，較大范圍的社會不 良影響，對其他組織和個人造成較嚴(yán)重?fù)p害。 特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪 失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí) 行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失， 大范圍的社會不良影響，對其他組織和個人造成 非常嚴(yán)重?fù)p害。信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵 害程度，由對不同危害結(jié)果的危害程度進行綜合 評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種 類和系統(tǒng)服務(wù)特點各不相同，信息安全和系統(tǒng)服 務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的 計算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息 特點和系統(tǒng)服務(wù)特點，制定危害程度的綜合評定 方法，并給出侵害不同客體

16、造成一般損害、嚴(yán)重 損害、特別嚴(yán)重?fù)p害的具體定義。5.5 確定定級對象的安全保護等級根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及 對相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全 保護等級矩陣表，即可得到業(yè)務(wù)信息安全保護等 級。表2業(yè)務(wù)信息安全保護等級矩陣表業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益第一級第 二級第二級社會秩序、公共利益第二級第三級第四級 國家安全 第三級第四級第五級根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及 對相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)服務(wù)安全 保護等級矩陣表，即可得到系統(tǒng)服務(wù)安全保護等 級。表3系統(tǒng)服務(wù)安全保護等級矩陣表系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)