等保门户网: 定级备案 > 工作指导

信息系统安全保护等级确定参考资料

来源:admin 发布日期:2012-02-05

《信息安全等级保护管理办法》(以下简称《管理办法》)第六条明确了确定安全保护等级的原则:应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。这一原则从正常情况和异常情况两个方面描述了等级划分的因素。

《信息系统安全等级保护定级指南》(以下简称《定级指南》)给出了确定安全保护等级的具体方法。依据《定级准则》,在具体确定安全保护等级时,主要从信息系统遭到破坏后侵害的客体及对客体的侵害程度综合进行确定。具体定级方法包括三个步骤:第一步:确定受侵害的客体;第二步:确定对客体的侵害程度;第三步:综合判定侵害程度。具体方法见《定级指南》。

《管理办法》中规定了信息系统安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

定级要素与信息系统安全保护等级的关系如表1所示。

表1 定级要素与安全保护等级的关系
 

受侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级

 

在实际操作中,可参考下列内容指导备案单位确定信息系统等级:

第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。

第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。

 

 

 

【关闭】 【打印】

您是第 31535234 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号