2023年信息系統(tǒng)安全等級保護(hù)定級指南

1信息系統(tǒng)安全等級保護(hù)定級指南

為宣貫《信息系統(tǒng)安全等級保護(hù)定級指南》（以下簡稱《定級指南》）國家標(biāo)準(zhǔn)，由標(biāo)準(zhǔn)

起草人介紹標(biāo)準(zhǔn)制、修訂過程，講解標(biāo)準(zhǔn)的主要內(nèi)容，解答標(biāo)準(zhǔn)執(zhí)行中可能遇到的問題。

1.1定級指南標(biāo)準(zhǔn)制修訂過程

1.1.1制定背景

本標(biāo)準(zhǔn)是公安部落實(shí)66號文件,滿足開展等級保護(hù)工作所需要的重要規(guī)范性文件之一，

是其他標(biāo)準(zhǔn)規(guī)范文件的基礎(chǔ)。本標(biāo)準(zhǔn)依據(jù)66號文件和“信息安全等級保護(hù)管理辦法”的精

神和原則，從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、社會生活重要作用，信息系統(tǒng)承載業(yè)務(wù)的重

要性、業(yè)務(wù)對信息系統(tǒng)的依賴程度和信息系統(tǒng)的安全需求等方面的因素，確定信息系統(tǒng)的安

全保護(hù)等級，提出了分級的原則和方法。

本任務(wù)來自全國信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

WG5工作組負(fù)責(zé)管理。

1.1.2國外相關(guān)資料分析

本標(biāo)準(zhǔn)編制前，編制人員收集與信息系統(tǒng)確定等級相關(guān)的國外資料，其中主要是來自美

國的標(biāo)準(zhǔn)或文獻(xiàn)資料，例如：

?FIPS199StandardsforSecurityCategorizationofFederalInformationandInfbnr.ation

Systems（美國國家標(biāo)準(zhǔn)和技術(shù)研究所）

?DoDINSTRUCTION8510.1-MDoDInformationTechnologySecurityCertification

andAccreditationProcessApplicationManual（美國國防部）

?DoDINSTRUCTION8500.2InformationAssurance（IA）Implementation（美國國防部）

?InformationAssuranceTechnologyFrameworks.1（美國國家安全局）

這些資料表明，美國政府及軍方也在枳極進(jìn)行信息系統(tǒng)分等級保護(hù)的嘗試，從一個側(cè)面

反映了分等級對重要信息系統(tǒng)實(shí)施重點(diǎn)保護(hù)的思想不僅適用r像我國這樣的信息技術(shù)水平

不高的發(fā)展中國家，也適用于信息化發(fā)達(dá)國家.但仔細(xì)分析起來，這些文獻(xiàn)資料中所描述的

等級在其適用對象、定級方法、劃定的等級和定級要素選擇方面各有不同。

FIPS199作為美國聯(lián)邦政府標(biāo)準(zhǔn)，依據(jù)2002年通過的聯(lián)邦信息安全管理法，適用于所

有聯(lián)邦政府內(nèi)的信息（除其它規(guī)定外的）和除已定義為國家安全系統(tǒng)之外的聯(lián)邦信息系統(tǒng)。

根據(jù)FIPS199,信息和信息系統(tǒng)根據(jù)信息系統(tǒng)中信息的保密性、完整性和可用性被破壞的

潛在影響將信息分類，影響程度可為高、中或低。例如某政府采購系統(tǒng)中，包含合同信息和

管理信息，各自的信息分類為：

SC合同信息=｛（保密性，中）,（完整性，中），（可用性，低）

SC管理信息:｛（保密性，低）,（完整性，低），（可用性，低）

該政府采購系統(tǒng)分類的各項(xiàng)，將是系統(tǒng)中所有信息分類的三性取值中的最高值：

SC政府來的系統(tǒng)=（（保密性，中），（完整性，中）,（可用性，低）

盡管該標(biāo)準(zhǔn)僅將信息系統(tǒng)按照對信息安全三性的安全需求進(jìn)行了分類，沒有明確說明信

息系統(tǒng)的安全等級，但從與該標(biāo)準(zhǔn)配套的安全控制措施（SP800-53等）內(nèi)容來看，最終信

息系統(tǒng)的等級是由分類中的較高者決定。

8510.1-M為美國國防部發(fā)布的DITSCAP計劃提供實(shí)施手冊，DITSCAP計劃的主要目的是

保護(hù)國防信息基礎(chǔ)設(shè)施，適用于國防大臣辦公室、軍事部門、參謀長聯(lián)席會議主席、作戰(zhàn)指

揮部、國防機(jī)構(gòu)、DoD組成部門及其承包商和機(jī)構(gòu)。在考慮系統(tǒng)的功能、國家和國防的安全

要求以及系統(tǒng)的便命的危份程度、系統(tǒng)所處理的數(shù)據(jù)和用戶類型等因素的某礎(chǔ)卜.，DITSCAP

的認(rèn)證任務(wù)要求每個系統(tǒng)在四個認(rèn)證級別中確定一個適合自身的認(rèn)證級別。這四個認(rèn)證級別

是：1級一基本的安全評審，2級一最小分析，3級一詳細(xì)分析，4級一復(fù)雜分析。

8510.1-M提出用于描述系統(tǒng)的7個特征量，互聯(lián)模式、處理模式、歸因性（責(zé)任追溯）

業(yè)務(wù)依賴性、信息三性等，根據(jù)對這7個特征量賦權(quán)值，得出某個信息系統(tǒng)的總的權(quán)值，再

根據(jù)權(quán)值所處的區(qū)間，確定信息系統(tǒng)的認(rèn)證級別。

8500.2沒有直接針對信息系統(tǒng)分級，但給出了兩種分等級的信息保障需求，一種是按

信息保密性分級，DoD定義了三個保密性等級：保密、敏感和公開，另一種是按業(yè)務(wù)保障分

類（MissionAssuranceCategory）：MACI、MACII和MACIIL由此可以排列出9種組合。

保密性分級反映了系統(tǒng)內(nèi)所處理的信息的重要程度，業(yè)務(wù)保障類反映了與DoD實(shí)現(xiàn)業(yè)務(wù)目標(biāo)

相關(guān)的重要性，業(yè)務(wù)保障類主要用于滿足完整性和可用性方面的需求，其中MACI系統(tǒng)比

MACII和MACIH系統(tǒng)要求有更為嚴(yán)格的保護(hù)措施。

《信息保障技術(shù)框架》（IATF）由美國國家安全局主持編制，其所面向的對象既包括

Internet這樣的全球信息基礎(chǔ)設(shè)施，也包括國家信息基礎(chǔ)設(shè)施，以及作為機(jī)構(gòu)專有資源以

實(shí)現(xiàn)其業(yè)務(wù)的本地信息基礎(chǔ)設(shè)施。IATP為安全機(jī)制的強(qiáng)度和實(shí)現(xiàn)保證提出了三個強(qiáng)健度等

級（SML）,并對資產(chǎn)按其信息價值分為5個等級，威脅環(huán)境按其強(qiáng)弱分為7個等級，以矩陣

表的方式給出了35種情況下可以選擇的強(qiáng)健度等級。信息系統(tǒng)的所有者可以根據(jù)其信息價

值與可能面臨的威脅環(huán)境，選擇系統(tǒng)安全保護(hù)的強(qiáng)健度等級和信息技術(shù)產(chǎn)品的評估保證級別

(LAL)o

1.1.3定級指南編制原則

通過分析可以發(fā)現(xiàn)上述定級方法分別在不同方面不能滿足我國等級保護(hù)的需要，具體分

析如下：

?F1PS199可能是與我們的需求最為接近的一種信息系統(tǒng)定級方法，它以信息安全保

密性、完整性和可用性需求中的最高者作為信息系統(tǒng)的安全等級，用于美國聯(lián)邦

政府信息系統(tǒng)的保護(hù)可能合適，但我國的等級保護(hù)面向國內(nèi)所有行業(yè)，包括那些

生產(chǎn)系統(tǒng)和自動化處理系統(tǒng)，這些系統(tǒng)對信息保密性要求不高，而對業(yè)務(wù)安全保

障要求非常高，三性取高的定級方法，沒有反映出這些系統(tǒng)的安全需求特點(diǎn)，可

能造成對多數(shù)系統(tǒng)要求過高而無法實(shí)現(xiàn)。

?8510.1-M確定的是用于管理的認(rèn)證級，各等級之間沒有安全保護(hù)強(qiáng)度的差別，而

等級保護(hù)的定級應(yīng)當(dāng)反映保護(hù)強(qiáng)度和保護(hù)能力的逐級提高。

?8500.2沒有明確提出定級方法，當(dāng)兩種信息保障類別排列出不同組合時，沒有給

出信息系統(tǒng)等級如何確定，但它提出兩類信息保障的不同需求組合，反映信息系

統(tǒng)不同安全需求的做法值得借鑒。

?IATF提出的是信息系統(tǒng)的強(qiáng)健性等級，不是信息系統(tǒng)安全等級，沒有反映信息系

統(tǒng)的安全需求。但它提出了根據(jù)信息價值和信息系統(tǒng)面臨的威脅環(huán)境強(qiáng)度決定信

息系統(tǒng)的保護(hù)強(qiáng)度的概念，值得借鑒。

究其原因，上述國外標(biāo)準(zhǔn)和文獻(xiàn)資料一般針對特定系統(tǒng)，在特定系統(tǒng)中適用，但不能滿

足我國在全國范圍內(nèi)、在所有行業(yè)內(nèi)開展等級保護(hù)工作的要求。因此必須在對國外資料進(jìn)行

研窕和吸收的基礎(chǔ)上，探索適合我國國情、簡便易行的定級方法。因此，等級保護(hù)的定級方

法應(yīng)反映出信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、社會生活重要程度的差異。從這一點(diǎn)出發(fā)考慮，

信息系統(tǒng)安全保護(hù)等級定級的出發(fā)點(diǎn)應(yīng)當(dāng)是信息系統(tǒng)所承載的業(yè)務(wù)，或稱業(yè)務(wù)應(yīng)用的重要性。

此外，我國的等級保聲制度針對“涉及國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)

和重耍信息系統(tǒng)，主要包括：國家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）：財政、金融、

稅務(wù)、海關(guān)、審計、工商、社會保障、能源、交通運(yùn)輸、國防工業(yè)等關(guān)系到國計民生的信息

系統(tǒng)；教育、國家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信

息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。”（摘自《實(shí)

施意見》）。由此可以看出，《定級指南》既要有較大的通用性，也應(yīng)具備一定的靈活性。因

此在編制過程中堅持以下原則：

?滿足管埋要求原則：《定級指南》所確定的信息系統(tǒng)安全保護(hù)等級不是信息系統(tǒng)安

試點(diǎn)單位將《定級指南》使用過程中發(fā)現(xiàn)的問題以書面形式提交公安部。編寫組根據(jù)試點(diǎn)單

位提出的意見，取消調(diào)節(jié)因子，將四個定級要素改為業(yè)務(wù)信息類型、業(yè)務(wù)信息受到破壞影響

的客體，系統(tǒng)服務(wù)類型和系統(tǒng)服務(wù)受到破壞影響的客體,由前兩個要素確定業(yè)務(wù)信息安全性

等級，后兩個要素確定系統(tǒng)服務(wù)安全性等級。為幫助使用者確定定級對象，增加了定級對象

三個特征的描述，形成定級指南征求意見稿第4稿。

2007年4月后定級指南征求意見稿第4稿評審專家提出四個要索應(yīng)分出主次，應(yīng)當(dāng)明

確體現(xiàn)影響程度等意見。經(jīng)修改，為區(qū)別信息系統(tǒng)本身與信息系統(tǒng)安全受到破壞所影響的客

體，在本次修改中提出了等級保護(hù)對象、受侵害的客體、客體侵害的客觀方面等援引自法律

文件中的術(shù)語，以更加準(zhǔn)確地表達(dá)等級差別的內(nèi)在含義，并將受侵害的客體作為主導(dǎo)要素，

侵害的程度作為相關(guān)要素，相應(yīng)地修改了定級步驟。由此形成定級指南征求意見稿第5稿。

2007年5月全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會第五工作組組織工作組成員對定級指南征

求意見稿第5稿講行了評審，專家主要對法律上“客體”概念與技術(shù)標(biāo)準(zhǔn)中的“客體”概念

不一致，容易造成混淆，建議更改，但由「沒有更合適的概念替代，暫時沒有修改，這個概

念一直保留到報批稿。

1.2定級原理和定級要素

1.2.1定級原理

等級保護(hù)是我國實(shí)施信息安全管理的基本制度，信息系統(tǒng)安全保護(hù)等級是為行政管理服

務(wù)的等級，不是純粹的技術(shù)等級。因此《定級指南》確定的等級必須與相關(guān)管理文件的規(guī)定

保持一致。

根據(jù)《信息安全等級保護(hù)管理辦法》，信息系統(tǒng)的5個安全保護(hù)等級為：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不

損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，

或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安

全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對■社會秩序和公共利益造成特別嚴(yán)重?fù)p需，或者對■國

家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。

從上述描述可以看出，信息系統(tǒng)的安全保護(hù)等級的高低并不決定于信息系統(tǒng)的規(guī)模、價

值、服務(wù)對象等本身因素，而是決定于信息系統(tǒng)被破壞后產(chǎn)生的損害，包括受到侵害的各方

利益和損害程度。

如果我們將使信息系統(tǒng)受到破壞的原因稱為威脅源，在威脅源、信息系統(tǒng)和受侵害的各

方利益之間存在卜.圖所示的關(guān)系：

侵害

威脅源是安全問題產(chǎn)生的原因，它直接破壞的是信息系統(tǒng)的安全性，但信息系統(tǒng)的安全

保護(hù)等級并不是根據(jù)信息系統(tǒng)本身被破壞的程度而確定的，而是根據(jù)對各方利益的侵害程度

確定，這是信息系統(tǒng)安全保護(hù)等級確定的核心所在。

為了給國家安全、社會秩序和公共利益以及公民、法人和其他組織的合法權(quán)益一個簡短

的表述方式，借鑒中國刑法理論中描述方式。刑法學(xué)中犯罪主體、犯罪對象和犯罪客體三者

關(guān)系與上面描述的威脅源，信息系統(tǒng)和受侵害的各方利益之間關(guān)系非常接近，如下圖所示:

實(shí)質(zhì)侵害

主體直接客體實(shí)際客體

圖X-1刑法中的主客體關(guān)系

其中的犯罪對象是犯罪主體，例如小偷，偷竊行為作用的直接客體，例如被小偷偷竊的

錢物，但定罪量刑的依據(jù)不是對犯罪對象的損害（在偷竊過程中，犯罪對象沒有損害），而

是對犯罪客體的侵害，是犯罪主體侵害的實(shí)際客體。根據(jù)刑法學(xué)，犯罪客體是指我國刑法所

保護(hù)的，而為犯罪行為所侵害的社會主義社會關(guān)系，刑法所保護(hù)的社會關(guān)系包括社會主義的

國體、政體和國家安全，社會公共安全，社會主義市場經(jīng)濟(jì)秩序，公民人身權(quán)利和民主權(quán)利，

社會主義制度下各種財產(chǎn)權(quán)利，社會秩序，國防利益和軍事利益，國家機(jī)關(guān)行政和司法秩序

及公務(wù)活動等。這樣的社會關(guān)系與等級保護(hù)關(guān)注的國家安全、社會秩序和公共利益以及公民、

法人和其他組織的合法權(quán)益是相同的。因此在《定級指南》標(biāo)準(zhǔn)中引用了刑法學(xué)中的“客體”

概念代指信息系統(tǒng)受到破壞后所侵害的不同社會關(guān)系。

“客體”概念定義：受法律保護(hù)的、等級保護(hù)對象受到破壞時所侵害的社會關(guān)系，如國

家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。

將威脅源直接作用的信息系統(tǒng)定義為等級保護(hù)對象。由于對客體的侵害是通過對信息系

統(tǒng)的破壞實(shí)現(xiàn)的，因此保護(hù)信息系統(tǒng)才能最終保護(hù)客體一一社會主義社會關(guān)系。

與GB17859中定義的客體相比，《定級指南》對客體定義據(jù)有不同的關(guān)注點(diǎn)，信息安全

等級保護(hù)定級的關(guān)注點(diǎn)是對社會關(guān)系的侵害，信息系統(tǒng)安全保護(hù)的關(guān)注點(diǎn)是對信息和服務(wù)的

保護(hù)，兩者內(nèi)在相關(guān)，概念表述不同，反映了行政管理與技術(shù)關(guān)注點(diǎn)的不同。

根據(jù)《管理辦法》對5個等級信息系統(tǒng)的定義，《定義指南》使用客體概念，提出信息

系統(tǒng)的安全保護(hù)等級由兩個定級要素決定：等級保護(hù)對象受到破壞時所侵害的客體和對客體

造成侵害的程度，表示如下：

對客體的侵害程度

受侵害的客體一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級第二級第二級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

1.2.2受侵害的客體

等級保護(hù)對象受到破壞時所侵害的客體包括三個方面：

a）國家安全；

b）社會秩序和公共利益；

0公民、法人和其他組織的合法權(quán)益。

這三種受侵害的客體體現(xiàn)了三種不同層次、不同覆蓋范圍的社會關(guān)系。國家安全利益體

現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟(jì)安全、社會安全、科技安全和

資源環(huán)境安全等方面利益，

社會秩序包括社會的玫治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共

利益是指不特定的社會成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。

《定級指南》中的社會秩序和公共利益體現(xiàn)了在一定范圍的或?qū)Σ惶囟ㄈ后w的利益。

合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利

和利益，《定級指南》中特指公民、法人和其他組織的合法權(quán)益則是指擁有信息系統(tǒng)的個體

或確定組織所享有的社會權(quán)力和利益。

1.2.3對客體造成侵害的程度

等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：

a）造成一般損害；

b）造成嚴(yán)重?fù)p害；

0造成特別嚴(yán)重?fù)p害。

造成一般損害是指對客體造成一定損害和影響，經(jīng)采取恢復(fù)或彌補(bǔ)措施，可消除部分

影響。

造成嚴(yán)重?fù)p害是指對客體造成嚴(yán)重?fù)p害，經(jīng)采取恢復(fù)或彌補(bǔ)措施，仍產(chǎn)生較大影響。

造成特別嚴(yán)重?fù)p害是指對客體造成特別嚴(yán)重?fù)p害，后果特別嚴(yán)重，影響重大且無法彌

補(bǔ)。

對客體的侵宙不是威協(xié)直接作用的結(jié)果,而是通過對等級保護(hù)對象一一信息系統(tǒng)的破壞

而導(dǎo)致的，因此確定對客體侵害的程度時，必須考慮對等級保護(hù)對象所造成破壞的不同客觀

表現(xiàn)形態(tài)以及不同程度的結(jié)果，也就是侵害的客觀方面。

在分析侵害的客觀方面時.，為區(qū)別針對信息系統(tǒng)的破壞程度和對客體的侵害程度，《定

級指南》使用了“危害”一詞，用于描述對信息系統(tǒng)的破壞，例如危害方式、危害后果、危

害程度等。綜合評定不同危害方式、不同危害后果所造成的不同危害程度，才可以確定對客

體的侵害程度。

1.2.4影響安全保護(hù)等級的信息系統(tǒng)元素分析

為分析侵害的客觀方面，編制組對含有安全等級的相關(guān)國外的文獻(xiàn)資料進(jìn)行了研究，目

的是從信息系統(tǒng)本身找出影響安全保護(hù)等級的核心元素。

不同定級方法決定出的等級包括信息系統(tǒng)安全等級'認(rèn)證等級、兩種等級的交叉分類以

及系統(tǒng)強(qiáng)健度等級等。在不同的方法中，都會涉及到這樣三個方面：根據(jù)信息系統(tǒng)的哪些元

素定級，這些元素的哪些屬性決定了系統(tǒng)的安全，這些屬性的哪些不同性質(zhì)決定了重要性的

等級差別，以下逐一分析,

1.FIPS199

FIPS199根據(jù)信息在保密性、完整性和可用性三個屬性被破壞后的安全影響決定信息的

安全分類和信息系統(tǒng)的等級。在這里決定系統(tǒng)安全等級的唯一元素是信息，保密性、完整性

和可用性是信息的三個安全屬性，信息三性喪失后對機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財產(chǎn)和個人的安全影響

是決定重要性的因素，根據(jù)安全影響大小分成低、中、高二個等級，描述方式為：

表4-1FIPS199定義的安全影響等級

潛在影響描述

低保密性、完整性和可用性的喪失，可能對機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財產(chǎn)和個人產(chǎn)生

有限的負(fù)面影響

中保密性、完整性和可用性的喪失，可能對機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財產(chǎn)和個人產(chǎn)生

嚴(yán)重的負(fù)面影響

高保密性、完整性和可用性的喪失，可能對機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財產(chǎn)和個人產(chǎn)生

十分嚴(yán)重或?yàn)?zāi)難性的負(fù)面影響

2.8510.1-M

8510.定級的系統(tǒng)元素比較復(fù)雜，從7個方面綜合確定信息系統(tǒng)的認(rèn)證等級，包括

系統(tǒng)外部因素，系統(tǒng)的業(yè)務(wù)，系統(tǒng)中的實(shí)體資產(chǎn)，信息等，這些元素的安全屬性和重要性沒

有明確分開，表現(xiàn)為系統(tǒng)互連模式、系統(tǒng)處理、傳輸、儲存數(shù)據(jù)的方法、業(yè)務(wù)使命對系統(tǒng)的

依賴度、信息敏感性分類、系統(tǒng)完整性要求、系統(tǒng)實(shí)時性要求、系統(tǒng)實(shí)體的可審查性需求等。

3.8500.2

8500.2主要關(guān)注的系統(tǒng)元素是信息和業(yè)務(wù)（或稱使命），對于信息關(guān)注其保密性，對于

業(yè)務(wù)則關(guān)注其完整性和可用性兩個安全屬性。信息保密性分為三個等級：秘密、敏感和公開：

業(yè)務(wù)保障分類為三個等級：高完整性和高可用性（MACI）高完整性和中可用性（MACH）和

基本的完整性和可用性（MACIII）,兩個等級相互獨(dú)立，可以構(gòu)成9種組合，8500.2沒有提

出信息系統(tǒng)整體等級的概念。

4.IATF

IATF從信息價值和預(yù)期對抗的威脅兩個元素決定系統(tǒng)的強(qiáng)健度等級，其中信息價值關(guān)

注的不是三性受到破壞而是對信息保護(hù)策略的違背，信息價值的高低取決于造成負(fù)面影響的

程度，共分五級，分別為：可以忽略、不良影響或較小破壞、一定破壞、嚴(yán)重破壞和十分嚴(yán)

重破壞；威脅等級由攻擊者能力和攻擊者愿冒風(fēng)險的大小兩個方面組合形成，分為7個等級。

在上述定級方法中所體現(xiàn)的主要定級元素有：信息、系統(tǒng)、業(yè)務(wù)和威脅，在這里可以首

先排除威脅。因?yàn)橥{本身是一個不定因素，任何系統(tǒng)都有可能面臨所有種類和所有等級的

威脅，對信息系統(tǒng)的保護(hù)也沒有必要做到能夠?qū)顾型{。因此可以考慮為每個等級的系

統(tǒng)確定一個較為合理的威脅等級（可由威脅主:體能力、動機(jī)決定）。根據(jù)該威脅等級確定該

等級系統(tǒng)的技術(shù)或管理控制H標(biāo)，且允許不同的系統(tǒng)根據(jù)其所面臨威脅的差異性，對保護(hù)措

施進(jìn)行適當(dāng)調(diào)整。

實(shí)際情況應(yīng)當(dāng)是，當(dāng)某個等級的系統(tǒng)選擇了相應(yīng)等級的保護(hù)措施，一般可以對抗相應(yīng)級

別的威脅，但并不能對抗所有的威脅，因此不能說用該等級保護(hù)措施保護(hù)系統(tǒng)其安全性就高

枕無憂。對于系統(tǒng)所有者來講，安全目標(biāo)一定是有限的，是考慮了成本與效益的平衡，考慮

了更高威脅所造成損失的可.接受。因此，威脅可以不作為確定信息系統(tǒng)安全等級所考慮的系

統(tǒng)元素，而放在確定保護(hù)各級別系統(tǒng)的控制目標(biāo)和控制措施時考慮。

此外，系統(tǒng)是指通過軟件、硬件等組成的有機(jī)整體所提供的功能和服務(wù)，業(yè)務(wù)是由信息

系統(tǒng)所承載的，對內(nèi)部或外部用戶提供的信息化服務(wù)，它們的核心內(nèi)容都是功能和服務(wù)，因

此將影響安全等級的一個系統(tǒng)元素確定為服務(wù)，信息系統(tǒng)提供的服務(wù)，另一個元素為信息。

根據(jù)上述分析，信息系統(tǒng)重要程度可以從信息系統(tǒng)所處理的信息和信息系統(tǒng)所提供的服

務(wù)兩方面來體現(xiàn)，對信息系統(tǒng)的破壞也應(yīng)從對業(yè)務(wù)信息安全的破壞和對系統(tǒng)服務(wù)安全的破壞

兩方面來考慮。因此，在《定級指南》中也是分別從這兩個方面確定信息系統(tǒng)安全被破壞后

所影響的客體及對客體的影響程度。

1.3定級過程和方法

1.3.1定級對象概述

定級工作是信息系統(tǒng)等級保護(hù)工作的起點(diǎn)，定級結(jié)果直接決定了后續(xù)安全保障工作的開

展。在定級之前，首先必須明確定級的對象，即，對哪個信息系統(tǒng)進(jìn)行定級?！抖壷改稀?/p>

中指出，作為定級對象的信息系統(tǒng)應(yīng)當(dāng)具備以下三個條件：

a）具有唯一確定的安全責(zé)任單位

作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個安全責(zé)任單位就是

負(fù)優(yōu)等級保護(hù)工作部署、實(shí)施的單位，也是完成等級保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單

位。如果一個單位的某個下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任,

而其上級部門僅負(fù)有監(jiān)督、指導(dǎo)責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安全責(zé)任單位;

如果一個單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安

全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。

b）具有信息系統(tǒng)的基本要素

作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和

規(guī)則組合而成的有形實(shí)體，應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)

備等作為定級對象。

單臺的設(shè)備或有單臺設(shè)備構(gòu)成的安全域本身無法實(shí)現(xiàn)完整的信息系統(tǒng)保護(hù)，不能抵御

來自內(nèi)部或外部的攻擊，這樣的設(shè)備或區(qū)域必然依靠其所在環(huán)境所提供的網(wǎng)絡(luò)安全和邊界防

護(hù)。因此作為定級對象的信息系統(tǒng)應(yīng)當(dāng)是包括信息系統(tǒng)的核心資產(chǎn)一一保護(hù)目標(biāo)，以及對保

護(hù)目標(biāo)提供保護(hù)的所有相關(guān)設(shè)備和人員一一保護(hù)機(jī)制，只有涵蓋了這兩部分，才能使信息系

統(tǒng)實(shí)現(xiàn)其應(yīng)用目標(biāo)。

0承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用

定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)

用沒有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。定級對象承載“相對獨(dú)立”的業(yè)務(wù)應(yīng)用是指其

業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立，同時與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定

級對象可能會與其他業(yè)務(wù)應(yīng)用共享?些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。

“相對獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一部分。

承載“相對獨(dú)立”根務(wù)應(yīng)用的信息系統(tǒng)在一個單位的整個信息系統(tǒng)中像一個子系統(tǒng)，

其業(yè)務(wù)功能是相對獨(dú)立的并明顯區(qū)別于其他系統(tǒng)的，與其他系統(tǒng)有明確的業(yè)務(wù)邊界和信息交

換方式。

上述三個條件給出定級對象確定的原則，在這個原則的基礎(chǔ)上，針對不同規(guī)模、不同復(fù)

雜程度、不同隸屬關(guān)系的信息系統(tǒng)，運(yùn)營使用單位和服務(wù)機(jī)構(gòu)人員可以尋找適合自身的劃分

方法，以下給出的定級對象的確定方法和定級流程在某些信息系統(tǒng)中得到認(rèn)可，作為例子，

供運(yùn)營使用單位和有關(guān)各方參考。

信息系統(tǒng)定級既可以在新系統(tǒng)建設(shè)之初進(jìn)行，也可在已建成系統(tǒng)中進(jìn)行。對于新建系統(tǒng),

盡管信息系統(tǒng)尚未建成，但信息系統(tǒng)的運(yùn)營使用者應(yīng)首先分析該信息系統(tǒng)處理哪幾種主要業(yè)

務(wù)，預(yù)計處理的業(yè)務(wù)信息和服務(wù)安全被破壞所侵害的客體、以及根據(jù)可能的對信息系統(tǒng)的損

害方式判斷可能的客體侵害程度等基本信息，由此確定信息系統(tǒng)的安全保護(hù)等級。對于已建

系統(tǒng)可參照以下流程完成定級工作。

1.系統(tǒng)識別和描述2.信息系統(tǒng)劃分3.安全等級確定4.產(chǎn)生定級報告

?識別基本信息?分析安全管理貢?為定級四要素賦?完成定級報告初

?識別管理框架任，確定管理邊界值稿

?識別業(yè)務(wù)種類和?分析網(wǎng)絡(luò)結(jié)構(gòu)和?確定業(yè)務(wù)信息安?定級報告評審

業(yè)務(wù)流程已有內(nèi)外部邊界全保護(hù)等級和系?定級報告批準(zhǔn)

?識別信息資產(chǎn)?分析業(yè)務(wù)流程和統(tǒng)服務(wù)安全保護(hù)

A■>

?識別網(wǎng)絡(luò)結(jié)構(gòu)業(yè)務(wù)間關(guān)系等級

?識別軟硬件設(shè)備?初步劃定信息系?確定信息系統(tǒng)安

?識別用戶類型和統(tǒng)，確定定級對象全保護(hù)等級

分布?各信息系統(tǒng)描述

?描述試點(diǎn)單位信

息系統(tǒng)

圖X-2定級流程圖

以卜.將根據(jù)此流程圖詳細(xì)介紹其中的各個步驟。

1.3.2系統(tǒng)識別和描述

定級人員最初面臨的往往不是已劃分好的信息系統(tǒng)，而是單位的整個信息系統(tǒng)，或即使

只是單位信息系統(tǒng)的一部分，由于等級保護(hù)需求不同，也有可能需要對該部分系統(tǒng)進(jìn)行劃分，

區(qū)別出不同等級的信息系統(tǒng)。

通過系統(tǒng)識別和描述活動，可以了解單位信息系統(tǒng)的全貌，了解需要定級的信息系統(tǒng)與

單位其他信息系統(tǒng)的關(guān)系，根據(jù)用戶需求或工作需要，系統(tǒng)識別與描述活動既可以針對單位

整個信息系統(tǒng)進(jìn)行，也可在用戶指定的范圍內(nèi)進(jìn)行。

1.識別單位基本信息

可以采用調(diào)杳表的方式調(diào)查了解對目標(biāo)系統(tǒng)負(fù)有安全責(zé)任的單位的單位性質(zhì)、隸屬關(guān)系、

所屬行業(yè)、業(yè)務(wù)范圍、地理位置等基本情況，以及其上級主管機(jī)構(gòu)（如果有）的信息。

2.識別管理框架

可以采用調(diào)查表的方式調(diào)查了解目標(biāo)系統(tǒng)所在單位的組織管理結(jié)構(gòu)、管理策略、部門設(shè)

置和部門在業(yè)務(wù)運(yùn)行中的作用、崗位職賁。特別是當(dāng)該單位的信息系統(tǒng)存在分布于不同的物

理區(qū)域的情況時，應(yīng)了解不同區(qū)域系統(tǒng)運(yùn)行的安全管理責(zé)任，一般來說，安全管理職責(zé)是進(jìn)

行信息系統(tǒng)劃分的首要參考因素，因?yàn)榫哂幸欢ǖ燃壍男畔⑾到y(tǒng)也應(yīng)當(dāng)是一個安全域，應(yīng)當(dāng)

遵循相同的安全策略，沒有統(tǒng)一管理作保證則無法實(shí)現(xiàn)統(tǒng)一的安全策略。

3.識別業(yè)務(wù)種類、流程和服務(wù)

可以采用調(diào)查表的方式調(diào)查了解機(jī)構(gòu)內(nèi)主要依靠信息系統(tǒng)處理的有多少種業(yè)務(wù)，哪些業(yè)

務(wù)是主要業(yè)務(wù)，哪些業(yè)務(wù)是支撐型業(yè)務(wù)，各項(xiàng)業(yè)務(wù)具體要完成的工作內(nèi)容和業(yè)務(wù)流程等。了

解單位的職能與這些業(yè)務(wù)的關(guān)聯(lián)，單位對信息系統(tǒng)完成業(yè)務(wù)使命的期待或關(guān)注點(diǎn)。如果對某

個信息系統(tǒng)的主要關(guān)注點(diǎn)是其中的信息，該系統(tǒng)可能屬于信息處理型系統(tǒng)，如果對信息系統(tǒng)

的主要關(guān)注點(diǎn)是業(yè)務(wù)流程的連續(xù)，該系統(tǒng)可能屬于業(yè)務(wù)處理型系統(tǒng)，例如多數(shù)生產(chǎn)系統(tǒng)屬于

業(yè)務(wù)處理型系統(tǒng)，當(dāng)然也有信息系統(tǒng)兩個方面都關(guān)注，可以稱之為均衡型系統(tǒng)。

調(diào)查還應(yīng)關(guān)注每個信息系統(tǒng)的業(yè)務(wù)流，以及不同信息系統(tǒng)之間的業(yè)務(wù)關(guān)系，因?yàn)椴煌?/p>

息系統(tǒng)之間的業(yè)務(wù)關(guān)系和數(shù)據(jù)關(guān)系將對信息系統(tǒng)劃分起重要作用，應(yīng)了解單位內(nèi)不同業(yè)務(wù)系

統(tǒng)提供的服務(wù)在影響履行單位職能方面，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量以及對本單位

以外機(jī)構(gòu)或個人的影響等方面的差異。

4.識別信息

可以采用調(diào)查表的方式調(diào)查了解各信息系統(tǒng)所處理的信息特點(diǎn)，了解單位對信息的三個

安全屬性的需求，了解不同業(yè)務(wù)數(shù)據(jù)在其保密性、完整性和可用性被破壞后對單位職能、單

位資金、單位信譽(yù)、人身安全等方面可能對國家、社會'本單位造成的影響。

根據(jù)系統(tǒng)不同業(yè)務(wù)數(shù)據(jù)可能是用戶數(shù)據(jù)、業(yè)務(wù)處理數(shù)據(jù)、業(yè)務(wù)過程記錄（流水）數(shù)據(jù)、

系統(tǒng)控制數(shù)據(jù)或文件等。

了解數(shù)據(jù)信息還應(yīng)關(guān)注信息系統(tǒng)的數(shù)據(jù)流，以及不同信息系統(tǒng)之間的數(shù)據(jù)交換或共享關(guān)

系。

5.識別網(wǎng)絡(luò)結(jié)構(gòu)

可以采用調(diào)查表的方式調(diào)查了解目標(biāo)信息系統(tǒng)所在單位的網(wǎng)絡(luò)狀況，包括網(wǎng)絡(luò)覆蓋范圍

（全國、全省或本地區(qū)），網(wǎng)絡(luò)的構(gòu)成（廣域網(wǎng)、城域網(wǎng)或局域網(wǎng)等），內(nèi)部網(wǎng)段八/LAN劃分，

網(wǎng)段/VLAN劃分與系統(tǒng)的關(guān)系，與上級單位、下級單位、外部用戶、合作單位等的網(wǎng)絡(luò)連接

方式，與互聯(lián)網(wǎng)的連接方式。目的是了解FI標(biāo)信息系統(tǒng)自身網(wǎng)絡(luò)在單位整個網(wǎng)絡(luò)中的位置,

目標(biāo)信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及目標(biāo)信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)

與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的安全保護(hù)的關(guān)系。

6.識別主要的軟硬件設(shè)備

可以采用調(diào)查表的方式調(diào)查了解與目標(biāo)信息系統(tǒng)相關(guān)的服務(wù)器、網(wǎng)絡(luò)、終端、存儲設(shè)備

以及安全設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。信息系統(tǒng)定級本應(yīng)僅與信息系統(tǒng)

有關(guān)，與具體設(shè)備沒有多大關(guān)系，但由于在劃分信息系統(tǒng)時，不可避免地會涉及到設(shè)備共用

問題，調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。

7.識別用戶類型和分布

可以采用調(diào)查表的方式調(diào)查了解各系統(tǒng)的管理用戶和一般用戶，內(nèi)部用戶和外部用戶，

本地用戶和遠(yuǎn)程用戶等類型，了解用戶或用戶群的數(shù)量分布，各類用戶可訪問的數(shù)據(jù)信息類

型和操作權(quán)限。

8.單位信息系統(tǒng)描述

通過上述調(diào)查，可以較為全面地了解單位信息系統(tǒng)的基本信息、管理信息、業(yè)務(wù)信息、

網(wǎng)絡(luò)信息、設(shè)備信息和用戶信息等，信息系統(tǒng)描述是信息系統(tǒng)劃分和定級的基礎(chǔ)，描述信息

的準(zhǔn)確和詳細(xì)決定了系統(tǒng)劃分是否合理以及定級結(jié)果是否準(zhǔn)確。

1.3.3信息系統(tǒng)劃分

1.3.3.1調(diào)查結(jié)果分析

1.分析安全管理責(zé)任，確定管理邊界

在一個單位中，信息系統(tǒng)的業(yè)務(wù)管理和運(yùn)行維護(hù)可能由不同部門負(fù)責(zé)，例如科技部門或

信息中心負(fù)責(zé)信息系統(tǒng)所有設(shè)備和設(shè)施的運(yùn)行、維護(hù)和管理，各業(yè)務(wù)部門負(fù)責(zé)其中的葉務(wù)流

程的制定和業(yè)務(wù)操作，信息系統(tǒng)的安全管理責(zé)任不僅指在信息系統(tǒng)的運(yùn)行、維護(hù)和管理方面

的責(zé)任，承擔(dān)安全管理責(zé)任的不應(yīng)是科技部門，而應(yīng)當(dāng)是該單位。

一個運(yùn)行在局域網(wǎng)的信息系統(tǒng)，其管理邊界比較明確，但對一個跨不同地域運(yùn)行的信息

系統(tǒng)，其管理邊界可能有不同情況：如果不同地域運(yùn)行的信息系統(tǒng)分屬不同單位（如上級單

位和下級單位）負(fù)責(zé)運(yùn)行和管理，上下級單位的管理邊界為本地的信息系統(tǒng)，則該信息系統(tǒng)

可以劃分為兩個信息系統(tǒng)；如果不同地域運(yùn)行的信息系統(tǒng)均由其上級單位直接負(fù)責(zé)運(yùn)行和管

理，運(yùn)維人員由上級單位指派，安全責(zé)任由上級單位負(fù)責(zé)，則上級單位的管理邊界應(yīng)包括本

地和遠(yuǎn)程的運(yùn)行環(huán)境。

2.分析網(wǎng)絡(luò)結(jié)構(gòu)和已有內(nèi)外部邊界

一般單位的信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)布局，一般都會或多或少考慮系統(tǒng)的特點(diǎn)、業(yè)務(wù)重要性

及不同系統(tǒng)之間的關(guān)系，進(jìn)行信息系統(tǒng)的等級劃分應(yīng)盡匕能以現(xiàn)有網(wǎng)絡(luò)條件為基礎(chǔ)進(jìn)行戈IJ分,

以免引起不必耍的網(wǎng)絡(luò)改造和建設(shè)工作，影響原有系統(tǒng)的業(yè)務(wù)運(yùn)行。

例如政府機(jī)構(gòu)內(nèi)部一-殷由三個網(wǎng)絡(luò)區(qū)域組成，政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)接入網(wǎng)，三

個網(wǎng)絡(luò)相對獨(dú)立.，可以先以己有的網(wǎng)絡(luò)邊界將單位的整個系統(tǒng)劃分為三個大的信息系統(tǒng)，然

后再分析各信息系統(tǒng)內(nèi)部的業(yè)務(wù)特點(diǎn)、業(yè)務(wù)重要性及不同系統(tǒng)之間的關(guān)系，如果內(nèi)部還存在

相對獨(dú)立的網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)邊界也比較清晰，也可以再進(jìn)一步將該信息系統(tǒng)細(xì)分為更小規(guī)模

的信息系統(tǒng)。

3.分析業(yè)務(wù)流程和業(yè)務(wù)間關(guān)系

根據(jù)調(diào)查結(jié)果，分析每個業(yè)務(wù)流和數(shù)據(jù)流，不同業(yè)務(wù)之間的業(yè)務(wù)關(guān)系和數(shù)據(jù)關(guān)系。根據(jù)

信息系統(tǒng)確定原則，信息系統(tǒng)內(nèi)所承載的業(yè)務(wù)是相對獨(dú)立或單一的，并不意味著該信息系統(tǒng)

是孤立的和隔離的，信息系統(tǒng)在邊界可以與其他信息系統(tǒng)又?jǐn)?shù)據(jù)交換，即，i個系統(tǒng)的數(shù)據(jù)

輸出可能是另外-個系統(tǒng)的數(shù)據(jù)輸入，盡管如此，重要的、業(yè)務(wù)流程和系統(tǒng)功能都應(yīng)在信息系

統(tǒng)內(nèi)部完成，以此反映其相對獨(dú)立的特性。因此，需要分析數(shù)據(jù)流在不同業(yè)務(wù)、不同系統(tǒng)之

間的關(guān)系，以便正確劃分系統(tǒng)。

1.3.3.2系統(tǒng)劃分方法

一般來講試點(diǎn)單位信息系統(tǒng)可以劃分為幾個作為定級對象的信息系統(tǒng)，如何劃分系統(tǒng)是

定級之前的主要問題。信息系統(tǒng)的劃分沒有絕對的對與錯，只有合理與不合理，合理地劃分

信息系統(tǒng)有利于信息系統(tǒng)的保護(hù)及安全規(guī)劃，反之可能給將來的應(yīng)用和安全保護(hù)帶來不便,

又可能需要重新進(jìn)行信息系統(tǒng)的劃分。由于信息系統(tǒng)的多樣性，不同的信息系統(tǒng)在劃分過程

中所側(cè)重考慮的劃分依據(jù)會有所不同。通常，在信息系統(tǒng)劃分過程中，應(yīng)當(dāng)結(jié)合信息系統(tǒng)的

現(xiàn)狀，從信息系統(tǒng)的管理機(jī)構(gòu)、業(yè)務(wù)特點(diǎn)或物理位置等幾個方面考慮對信息系統(tǒng)進(jìn)行劃分,

當(dāng)然也可以根據(jù)信息系統(tǒng)的實(shí)際情況,選擇其他的劃分依據(jù)，只要最終劃分結(jié)果合理就可以。

?安全責(zé)任單位

依據(jù)安全責(zé)任單位的不同，劃分信息系統(tǒng)。如果信息系統(tǒng)由不同的單位負(fù)責(zé)運(yùn)行維護(hù)和

管理，或者說信息系統(tǒng)的安全責(zé)任分屬不同機(jī)構(gòu)，則可以根據(jù)安全責(zé)任單位的不同劃分成不

同的信息系統(tǒng)“一個運(yùn)行在局域網(wǎng)的信息系統(tǒng)，其安全責(zé)任單位一般只有一個，但對一個跨

不同地域運(yùn)行的信息系統(tǒng)來說，就可能存在不同的安全員任單位，此時可以考慮根據(jù)不同地

域的信息系統(tǒng)的安全責(zé)任單位的不同，劃分出不同的信息系統(tǒng)。

?業(yè)務(wù)特點(diǎn)

根據(jù)業(yè)務(wù)的類型、功能、階段的不同，對信息系統(tǒng)進(jìn)行劃分。不同類型的業(yè)務(wù)之間會存

在重要程度、環(huán)境、用戶數(shù)量等方面的不同，這些不同會帶來安全需求和受破壞后的影響程

度的差異，例如，一個是以信息處理為主的系統(tǒng)，其重要性體現(xiàn)在信息的保密性，而另個

是以業(yè)務(wù)處理為主的系統(tǒng)，其重要性體現(xiàn)在其所提供服務(wù)的連續(xù)性，因此，可以按照業(yè)務(wù)類

型的不同劃分為不同的信息系統(tǒng)。又比如，在整個業(yè)務(wù)流程中，核心處理系統(tǒng)的功能重要性

可能遠(yuǎn)大于終端處理系統(tǒng)，有需要時，可以將其劃分為不同的信息系統(tǒng)。

?分析物理位置的差異

根據(jù)物理位置的不同，對信息系統(tǒng)進(jìn)行劃分。物理位置的不同，信息系統(tǒng)面臨的安全威

脅就不同，不同物埋位置之間通信信道的不可信，使不同物理位置的信息系統(tǒng)也不能視為可

以互相訪問的一個安全域，即使等級相同可能也需要劃分為不同的信息系統(tǒng)分別加以保護(hù)，

因此，物理位置也可以作為信息系統(tǒng)劃分的考慮因素之一。

在進(jìn)行信息系統(tǒng)的劃分過程中，進(jìn)行分析，可以選擇上述三個方面中的一個方面因素作

為劃分的依據(jù)，也可以綜合幾個方面因素作為劃分的依據(jù)。同時，還要結(jié)合信息系統(tǒng)的現(xiàn)狀，

避免由于信息系統(tǒng)的劃分而引起大量的網(wǎng)絡(luò)改造和重復(fù)建設(shè)工作，影響原有系統(tǒng)的正常運(yùn)行。

有些信息系統(tǒng)中不同業(yè)務(wù)的重要程度雖然會有所差異，但是由「業(yè)務(wù)之間聯(lián)系緊密，不容易

拆分，可以作為一個信息系統(tǒng)按照同樣級別保護(hù)。但是，如果其中某一個業(yè)務(wù)面臨風(fēng)險或威

脅較大，比如與互聯(lián)網(wǎng)相連，可能會影響到其它的業(yè)務(wù)，就應(yīng)當(dāng)將其從該信息系統(tǒng)中分離出

來，單獨(dú)作為一個信息系統(tǒng)而實(shí)施保護(hù)。經(jīng)過合理劃分，一個單位或機(jī)構(gòu)的信息系統(tǒng)最終可

能會劃分為不同等級的多個信息系統(tǒng)。同時，通過在信息系統(tǒng)劃分階段對各種系統(tǒng)服務(wù)業(yè)務(wù)

信息、業(yè)務(wù)流程的深入分析，明確了各個信息系統(tǒng)之間的邊界和邏輯關(guān)系以及他們各自的安

全需求，有利干信息系統(tǒng)安全保護(hù)的實(shí)施。

1.3.3.3信息系統(tǒng)描述

這里的信息系統(tǒng)描述就是對信息系統(tǒng)劃分結(jié)果進(jìn)行描述，主要描述單位內(nèi)每個信息系統(tǒng)

的管理機(jī)構(gòu)、涵蓋的幾種業(yè)務(wù)或業(yè)務(wù)流程的階段和所處的地理位置，而不必要描述具體的設(shè)

備類型和邊界。

可以通過列表的方式將單位內(nèi)的信息系統(tǒng)名稱列成清單。如果僅列名稱還不能確切描述

該系統(tǒng)，nJ■用備注加以解釋.

1.3.3.4信息系統(tǒng)邊界

信息系統(tǒng)劃分后就需要確定信息系統(tǒng)的邊界（物理邊界往往比較容易界定），由于等級

化信息系統(tǒng)有可能是單位信息系統(tǒng)的一部分，如果該信息系統(tǒng)與其他系統(tǒng)在網(wǎng)絡(luò)上是獨(dú)立的,

沒有設(shè)備共用情況，邊界則容易確定，但當(dāng)不同信息系統(tǒng)之間存在共用設(shè)備時，應(yīng)加以分析。

由于信息系統(tǒng)的邊界保護(hù)一般在物理邊界或網(wǎng)絡(luò)邊界上實(shí)現(xiàn)，系統(tǒng)邊界不應(yīng)出現(xiàn)在服務(wù)

器內(nèi)部，服務(wù)器共用的系統(tǒng)般歸入同個信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備般是

網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。

兩個信息系統(tǒng)邊界存在共用設(shè)備時，共用設(shè)備的安全保護(hù)等級按兩個信息系統(tǒng)安全保護(hù)

等級較高者確定。例如，一個2級系統(tǒng)和一個3級系統(tǒng)之間有一個防火墻或兩個系統(tǒng)共用一

個核心交換機(jī)，此時防火墻和交換機(jī)可以作為兩個系統(tǒng)的邊界設(shè)備，但應(yīng)滿足3級系統(tǒng)的要

求。

終端設(shè)備一-股包括系統(tǒng)管理終端（如服務(wù)器和網(wǎng)絡(luò)設(shè)備的管埋終端，業(yè)務(wù)管埋終端，安

全設(shè)備管理終端等），內(nèi)部用戶終端（如辦公系統(tǒng)用戶的終端，銀行系統(tǒng)的業(yè)務(wù)終端、移動

用戶終端等）和外部用戶終端（如網(wǎng)銀用戶終端，清算系統(tǒng)中的商業(yè)銀行終端，證券交易系

統(tǒng)的交易客戶等）。對于外部用戶終端，由于用戶和設(shè)備一般都不在信息系統(tǒng)的管理邊界內(nèi)，

這些終端設(shè)備不在信息系統(tǒng)的邊界范圍內(nèi)。信息系統(tǒng)的管理終端是與相應(yīng)被管理設(shè)備相對應(yīng)

的，服務(wù)器、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等屬于哪個系統(tǒng)，終端就應(yīng)歸在哪個信息系統(tǒng)中。內(nèi)部用

戶終端就比較復(fù)雜，內(nèi)部用戶終端往往與多個系統(tǒng)相連，當(dāng)信息系統(tǒng)進(jìn)行等級化保護(hù)后，應(yīng)

盡可能為不同的信息系統(tǒng)分配不共用的終端設(shè)備，以免在終端處形成不同等級信息系統(tǒng)的邊

界。但如果無法做到不同等級的信息系統(tǒng)使用不同的終端設(shè)備，則應(yīng)將終端設(shè)備劃分為其他

的信息系統(tǒng)，并在服務(wù)器與內(nèi)部用戶終端之間建立邊界保護(hù)，對終端通過身份鑒別和訪問控

制等措施加以控制。

處理涉密信息的終端必須劃分到相應(yīng)的信息系統(tǒng)中，且不能與非涉密系統(tǒng)共用終端。

1.3.4安全保護(hù)等級確定

《定級指南》5.1節(jié)目描述的定級一般流程的第一步已在上節(jié)中詳細(xì)說明，本節(jié)將重點(diǎn)

說明在進(jìn)行了信息系統(tǒng)識別、描述和劃分后，對確定的定級對象進(jìn)行安全保護(hù)等級確定工作

的方法。

1.3.4.1確定受侵害的客體

1.國家安全

隨著信息化的不斷推進(jìn)，我國國家安仝和經(jīng)濟(jì)生活已經(jīng)極大地依賴于信息技術(shù)和信息

基礎(chǔ)設(shè)施，尤其是國防、電力、銀行、政府機(jī)構(gòu)、電信系統(tǒng)以及運(yùn)輸系統(tǒng)等重要基礎(chǔ)設(shè)施一

旦受到破壞,會對國家安全構(gòu)成嚴(yán)重威脅。因此在考慮信息系統(tǒng)的信息和服務(wù)安全被破壞后，

可能對國家安全的影響時，也應(yīng)從多方面加以考慮。

舉例來說，涉及影響國家安全事項(xiàng)的信息系統(tǒng)可能包括：重要的國家事務(wù)處理系統(tǒng)、

國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等屬于影響國家政權(quán)穩(wěn)固和國防實(shí)力的信息系統(tǒng);

廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)

一、民族團(tuán)結(jié)和社會安定的重大事件；處理國家對外活動信息的信息系統(tǒng)：處理國家重要安

全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵查系統(tǒng)；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等

影響國家經(jīng)濟(jì)競爭力和科技實(shí)力的信息系統(tǒng)，以及電力、通信、能源、交通運(yùn)輸、金融等國

家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。

2.社會秩序

完善社會管理體系，維護(hù)良好的社會秩序是建設(shè)社會主義和諧社會的重要任務(wù)之一,

借助信息化手段提高國家機(jī)關(guān)的社會管理和公共服務(wù)水平，提高經(jīng)濟(jì)活動效率，更方便地從

事科研、生產(chǎn)、生活活動正是維護(hù)良好社會秩序的表現(xiàn)。

可能影響到社會秩序的信息系統(tǒng)非常多，包括各級政府機(jī)構(gòu)的社會管理和公共服務(wù)系

統(tǒng)，如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科

研機(jī)構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服

務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)，

3.公共利益

公共利益所包括的范圍是非常寬泛的，既可能是經(jīng)濟(jì)利益，也可能是包括教育、衛(wèi)生、

環(huán)境等各個方面的利益。

借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進(jìn)行進(jìn)行

管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、

公共管理設(shè)施、公共服務(wù)設(shè)施等。

公共利益與社會秩序密切相關(guān)，社會秩序的破壞一股會造成對公共利益的損害。

4.公民、法人和其他組織的合法權(quán)益

《定級指南》中的公民、法人和其他組織的合法權(quán)益則是指擁有信息系統(tǒng)的個體或確定

組織所享有的社會權(quán)力和利益。它不同于公共利益，選擇客體為公共利益是指受侵害的對象

是“不特定的社會成員”，而選擇公民、法人和其他組織的合法權(quán)益時，受侵害的對象是明

確的，就是擁有信息系統(tǒng)的個體或某個單位”

1.3.4.2確定對客體的侵害程度

為了確定對客體的侵害程度，《定級指南》在分析侵害的客觀方面時，首先確定對信息

系統(tǒng)的危害方式分為兩種:對信息系統(tǒng)所處理的業(yè)務(wù)信息安全的危害以及對系統(tǒng)服務(wù)安全的

危害。

無論是業(yè)務(wù)信息安全還是系統(tǒng)服務(wù)安全受到破壞后，均可能產(chǎn)生以下危害后果：

影響行使工作職能，工作職能包括國家管理職能、公共管理職能、公共服務(wù)E只能

等國家或社會方面的職能。

-導(dǎo)致業(yè)務(wù)能力下降，下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的

下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標(biāo)的下降，每個行業(yè)務(wù)都有

本行業(yè)關(guān)注的業(yè)務(wù)指標(biāo)。

-引起法律糾紛是比較嚴(yán)重的影響，在較輕的程度時可能表現(xiàn)為投訴、索賠、媒體

曝光等形式。

導(dǎo)致財產(chǎn)損失，包括系統(tǒng)資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降帶來的損失、直接

的資金損失、為客戶索賠所支付的資金等，以及由于信譽(yù)下降、單位形象降低、

客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟(jì)損失。

-直接造成人員傷亡。

-對其他組織的間接影響。

-造成社會不良影響，包括在社會風(fēng)氣、執(zhí)政信心等方面的影響。

上述幾類影響不一定是獨(dú)立的，有時也會是相關(guān)的，例如人員傷亡可能引發(fā)法律糾紛,

進(jìn)而可能造成資金的賠償，業(yè)務(wù)能力下降既可能影響管理職能的履行，同時也可能造成單位

收入的下降。

但上述危害后果中，多數(shù)系統(tǒng)?般主要關(guān)注其中的?種后果，例如銀行系統(tǒng)?般關(guān)注業(yè)

務(wù)能力下降的影響，黨政系統(tǒng)主要關(guān)注管理職能的履行等，而將其他后果作為參考。

《定級指南》給出了信息系統(tǒng)所處理的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全被破壞后所產(chǎn)牛的

三種危害程度的描述，其中包括了不同的危害后果：

一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)

較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響,對其他組織和個人造成較低損害。

嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)

較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較

嚴(yán)重?fù)p害.

特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功

能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他

組織和個人造成非常嚴(yán)重?fù)p害。

信息系統(tǒng)被破壞所產(chǎn)生的直接危害后果和危害程度一般是可以準(zhǔn)確描述的，例如哪些管

理職能不能履行、業(yè)務(wù)能力下降的百分比、人員的傷亡程度、財產(chǎn)損失的大致數(shù)H等，但從

這些具體的危害程度得出對受侵害客體的侵害程度，個單位從本單位角度是無法準(zhǔn)確判斷

的，一般需要各行業(yè)給出用應(yīng)的政策，或制定對危害程度的綜合評定方法，從而給出侵害不

同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義，使信息系統(tǒng)的運(yùn)營使用單位能

夠據(jù)此得出相應(yīng)的判斷。

針對不同的受侵害客體，《定級指南》給出了不同判別基準(zhǔn)的參照：

如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的息體

利藍(lán)作為判斷侵害程度的基準(zhǔn)；

如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總

體利益作為判斷侵害程度的基準(zhǔn)。

1.3.4.3確定信息系統(tǒng)的安全保護(hù)等級

應(yīng)全面考慮該信息系統(tǒng)中服務(wù)和信息,選取最能夠體現(xiàn)該系統(tǒng)重要性的信息和服務(wù)進(jìn)行

分析。分別分析不同業(yè)務(wù)信息和系統(tǒng)服務(wù)安全受破壞時所侵害的客體，以及綜合評定對客體

的侵害程度后，分別計算不同業(yè)務(wù)信息和系統(tǒng)服務(wù)所需要的安全保護(hù)等級，并將其最高者作

為該信息系統(tǒng)的安全保護(hù)等級。

1.3.5定級報告形成

在確定信息系統(tǒng)的安全保護(hù)等級之后，需要將定級結(jié)果形成《信息系統(tǒng)安全等級保護(hù)定

級報告》（以下簡稱《定級報告》），將定級分析過程和定級結(jié)果文檔化，《定級報告》是定級

工作完成的標(biāo)志。如果試點(diǎn)單位內(nèi)部有多個試點(diǎn)信息系統(tǒng)，可以完成一份《定級報告尤其

中分別描述幾個系統(tǒng)的定級過程和定級結(jié)果，也可以分開形成幾份《定級報告》。

《定級報告》一般包括以下幾部分：

?定級依據(jù)

包括與本次信息系統(tǒng)定級相關(guān)的法規(guī)、標(biāo)準(zhǔn)、規(guī)范和文件等，例如《管理辦法》、《定級

指南》、木行業(yè)的安全管理規(guī)定等確定信息系統(tǒng)安全保護(hù)等級所需依據(jù)的文件。

?信息系統(tǒng)劃分

詳細(xì)描述信息系統(tǒng)的管理機(jī)構(gòu)和管理職責(zé)、網(wǎng)絡(luò)結(jié)構(gòu)和對外邊界、承載業(yè)務(wù)種類、處理

的主要信息等。如果定級范圍內(nèi)劃分出多個作為定級對象的信息系統(tǒng)，應(yīng)描述劃分結(jié)果、劃

分方法和理由。

?信息系統(tǒng)描述

描述定級信息系統(tǒng)的邊界，包括外部邊界和與其他系統(tǒng)相連的內(nèi)部邊界，定級系統(tǒng)的邊

界設(shè)備，系統(tǒng)內(nèi)的主要設(shè)備，系統(tǒng)承載的業(yè)務(wù)應(yīng)用。

?安全等級確定

針對每一個定級信息系統(tǒng)詳細(xì)描述定級過程，描述其中重要的業(yè)務(wù)信息和系統(tǒng)服務(wù)安全

受破壞時所侵害的客體的分析過程，以及綜合評定對?客體的侵害程度的過程，給出賦值結(jié)果

和理由。分別確定業(yè)務(wù)信息的安全保護(hù)等級和系統(tǒng)服務(wù)的安全保護(hù)等級，選擇其中最高的結(jié)

果作為該定級信息系統(tǒng)的安全保護(hù)等級。

?定級結(jié)果

在按照定級方法對信息系統(tǒng)確定安全保護(hù)等級后,最終可以通過列表的形式,給出單位

內(nèi)各信息系統(tǒng)的安全保護(hù)等級。如表:

信息系統(tǒng)名稱安全保護(hù)等級業(yè)務(wù)信息安全保護(hù)等級業(yè)務(wù)服務(wù)安全保護(hù)等級

XX信息系統(tǒng)XXX

XX信息系統(tǒng)XXX

《定級報告》的模版文件參見本文檔附錄A.1《定級報告》模板

1.3.6定級評審

完成定級后，試點(diǎn)單位向試點(diǎn)工作組提交《定級報告》。如果安全保護(hù)等級確定為一級、

二級，試點(diǎn)工作組組織本地試點(diǎn)專家組對定級結(jié)果進(jìn)行評審。

如果安全保護(hù)等級為三級或三級以上，由試點(diǎn)工作組向國家安全等級保護(hù)工作協(xié)調(diào)小

組提出申請，由協(xié)調(diào)小組奐責(zé)組織“信息安全保護(hù)等級專家評審委員會”專家對定級結(jié)果予

以評審。

1.3.7等級變更

信息系統(tǒng)是不斷發(fā)展變化的，信息系統(tǒng)的等級也可能在發(fā)展中產(chǎn)生變化，因此需要信

息系統(tǒng)的運(yùn)營使用單位在信息系統(tǒng)出現(xiàn)重大變更時.，密切關(guān)注可能影響等級的信息和服務(wù)，

判斷其安全被破壞后所侵害的客體是否發(fā)生了變化，或者對客體的侵害程度是否發(fā)生了變化,

如果變化較大，則應(yīng)考慮變更等級。等級變更過程與定級過程相同。

1.4定級實(shí)例

1.4.1系統(tǒng)劃分實(shí)例

本節(jié)以一個較為復(fù)雜的單位為例進(jìn)行分析，所選單位內(nèi)有多種業(yè)務(wù)，某些業(yè)務(wù)系統(tǒng)為縱

向覆蓋全國的大系統(tǒng)，分析如何針對這樣的系統(tǒng)劃分信息系統(tǒng)。

例如某證券公司的信息系統(tǒng)，該信息系統(tǒng)所承載的業(yè)務(wù)有多個，該單位在全國遍布多處

分支機(jī)構(gòu)。在總部的信息系統(tǒng)中，總體上形成了辦公和業(yè)務(wù)兩大網(wǎng)絡(luò)區(qū)域，且二者之間相互

隔離。其中，業(yè)務(wù)網(wǎng)承載著集中交易、網(wǎng)上交易、數(shù)據(jù)中心等業(yè)務(wù)；辦公網(wǎng)絡(luò)主要承載著

0A等服務(wù)。核心交易業(yè)務(wù)進(jìn)行了數(shù)據(jù)大集中，數(shù)據(jù)處理中心在總部，處理中心和分支機(jī)構(gòu)

所處理的交易業(yè)務(wù)相對于整個交易業(yè)務(wù)來講，都只是一個階段業(yè)務(wù)。

對于這樣的跨地域大系統(tǒng)，進(jìn)行系統(tǒng)劃分時必須綜合考慮系統(tǒng)劃分方法中的多個方面。

首先，從信息系統(tǒng)的管理機(jī)構(gòu)來考慮，雖然總部和分支機(jī)構(gòu)都處理交易業(yè)務(wù)，但各自管理機(jī)

構(gòu)所承擔(dān)的安全責(zé)任不同，即，總部具體負(fù)責(zé)總部核心交易系統(tǒng)的運(yùn)行、維護(hù)等安全責(zé)任；

而分支機(jī)構(gòu)直接負(fù)責(zé)其所在的系統(tǒng)的運(yùn)行、維護(hù)和安全責(zé)任。所以從管理機(jī)構(gòu)的不同來考慮,

應(yīng)將兩個機(jī)構(gòu)的信息系統(tǒng)進(jìn)行劃分，形成總部信息系統(tǒng)和分支機(jī)構(gòu)信息系統(tǒng)。

然后分析總部業(yè)務(wù)網(wǎng)，總部業(yè)務(wù)網(wǎng)絡(luò)承載著多項(xiàng)業(yè)務(wù)，其中集中交易業(yè)務(wù)和網(wǎng)上交易業(yè)

務(wù)重要程度最高，因此這兩個系統(tǒng)應(yīng)首先單獨(dú)進(jìn)行劃分，分別形成集中交易系統(tǒng)和網(wǎng)上交易

系統(tǒng)。其他業(yè)務(wù)重要程度相近的、并且各自是相對獨(dú)立的，也單獨(dú)形成信息系統(tǒng)。

對于總部辦公網(wǎng)絡(luò)來講，主要為內(nèi)部員工提供公文管理、信息管理、日常辦公、輔助辦

公及郵件收發(fā)等服務(wù)功能，因此可單獨(dú)形成辦公信息系統(tǒng)。

從以上分析可以得出，該單位總部的信息系統(tǒng)可以劃分為：集中交易系統(tǒng)、網(wǎng)上交易系

統(tǒng)、其他系統(tǒng)以及辦公信息系統(tǒng)等。

1.4.2系統(tǒng)定級實(shí)例

實(shí)例1

系統(tǒng)簡述：某省政府網(wǎng)站系統(tǒng)ZFWZ,用于發(fā)布政務(wù)公開信息、地方行政法規(guī)和管理措

施、領(lǐng)導(dǎo)講話、政府辦事流程、新聞發(fā)布、政府公告、舉報投訴、省內(nèi)經(jīng)濟(jì)形勢介紹、電子

表單下載等信息，服務(wù)對象主要是省內(nèi)企業(yè)和市民。

ZFWZ系統(tǒng)等級確定過程：

1、ZFWZ系統(tǒng)是省政府對社會辦公的窗口，其中發(fā)布的信息內(nèi)容代表政府形象和體

現(xiàn)政府的社會管理和社會服務(wù)職能，因此該信息安全被破壞可能對社會秩序造

成一定影響；

2、由于省政府網(wǎng)站的訪問量并不很大，信息被篡改可能造成的不良社會影響不會

很大，因此對社會秩序的侵害程度