信息系统安全定级说明

一、确定安全保护等级

依据《信息安全等级保护管理办法》(公通字 [2007] 43 号)《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861 号)、《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020) 等文件规定和国家政务外网的统一要求，所建设的需要信息系统的安全保护等级。

二、安全等级保护等级确定流程

确定信息系统安全保护等级的一般流程如下：

• 第一、确定作为定级对象的信息系统;
• 第二、确定业务信息安全受到破坏时所侵害的客体;
• 第三、根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
• 第四、得到业务信息安全保护等级;
• 第五、确定系统服务安全受到破坏时所侵害的客体;
• 第六、根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
• 第七、得到系统服务安全保护等级;
• 第八、将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

信息安全保护等级矩阵表如下所示：

三、定级对象受侵害客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

• 1、受侵害的客体及对客体的侵害程度

  • (1) 侵害国家安全主要是指影响国家政权稳固和国防实力、民族团结和社会安定、重要的安全保卫工作、经济竞争力和科技实力等。
  • (2) 侵害社会秩序主要是指影响国家机关社会管理和公共服务的工作秩序、各种类型的经济活动秩序等。
  • (3) 影响公共利益主要是指影响公共设施、公开信息资源、公共服务等方面。
  • (4) 影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利。

• 2、不同危害后果的三种危害程度

  • (1)一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。
  • (2) 严重损害：工作职能受到严重影响，业务能力显著下降目严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。
  • (3) 特别严重损害： 工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题.极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。