信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南〔〕全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)前前言本標(biāo)準(zhǔn)由公安部和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：本標(biāo)準(zhǔn)主要起草人：引引言依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》〔國務(wù)院147號(hào)令〕、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》〔中辦發(fā)[2023]27號(hào)〕、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》〔公通字[2023]66號(hào)〕和《信息安全等級(jí)保護(hù)治理方法》〔公通字[2023]43號(hào)〕，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：——GB/TBBBBB-BBBB信息系統(tǒng)安全等級(jí)保護(hù)根本要求；——GB/TCCCCC-CCCC信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南；——GB/TDDDDD-DDDD信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則。的重要作用和業(yè)務(wù)對(duì)信息系統(tǒng)的依靠程度這兩方面，提出確定信息系統(tǒng)安全保護(hù)等級(jí)的方法。信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)方法，適用于為信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)工作供給指導(dǎo)。標(biāo)準(zhǔn)性引用文件以下文件中的條款通過在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。但凡注日期的引用文件，〔不包括訂正的內(nèi)容〕或均不適用于本標(biāo)準(zhǔn)，然而，鼓舞依據(jù)本版本適用于本標(biāo)準(zhǔn)。GB/T5271.8 8局部：安全GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則術(shù)語和定義GB/T5271.8GB17859-1999確立的以及以下術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1等級(jí)保護(hù)對(duì)象targetofclassifiedsecurity信息安全等級(jí)保護(hù)工作直接作用的具體的信息和信息系統(tǒng)。3.2object受法律保護(hù)的、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系，如國家安全、社會(huì)秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。3.3客觀方面objective對(duì)客體造成侵害的客觀外在表現(xiàn)，包括侵害方式和侵害結(jié)果等。3.4系統(tǒng)效勞systemservice信息系統(tǒng)為支撐其所承載業(yè)務(wù)而供給的程序化過程。定級(jí)原理信息系統(tǒng)安全保護(hù)等級(jí)依據(jù)等級(jí)保護(hù)相關(guān)治理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。其次級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)峻損害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)峻損害，或者對(duì)國家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)峻損害，或者對(duì)國家安全造成嚴(yán)峻損害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)峻損害。信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素打算：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。受侵害的客體等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：公民、法人和其他組織的合法權(quán)益；社會(huì)秩序、公共利益；國家安全。對(duì)客體的侵害程度對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合打算。由于對(duì)客體的侵害是通過對(duì)危害方式、危害后果和危害程度加以描述。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：造成一般損害；造成嚴(yán)峻損害；造成特別嚴(yán)峻損害。定級(jí)要素與等級(jí)的關(guān)系定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1所示。表1定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系一般損害嚴(yán)峻損害特別嚴(yán)峻損害第一級(jí)其次級(jí)其次級(jí)其次級(jí)第三級(jí)第四級(jí)第三級(jí)第四級(jí)第五級(jí)對(duì)客體的侵害程度受侵害的客體對(duì)客體的侵害程度受侵害的客體公民、法人和其他組織的合法權(quán)益社會(huì)秩序、公共利益國家安全定級(jí)的一般流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)效勞安全害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)效勞安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。從系統(tǒng)效勞安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)效勞安全保護(hù)等級(jí)。確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下：確定作為定級(jí)對(duì)象的信息系統(tǒng)；確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體；依據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度；依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級(jí)；確定系統(tǒng)效勞安全受到破壞時(shí)所侵害的客體；依據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)效勞安全被破壞對(duì)客體的侵害程度；依據(jù)表3，得到系統(tǒng)效勞安全保護(hù)等級(jí)；將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)效勞安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的安全保護(hù)等級(jí)。上述步驟如圖1確定等級(jí)一般流程所示。11、確定定級(jí)對(duì)象所侵害的客體所侵害的客體3、綜合評(píng)定對(duì)客體的侵害程度6、綜合評(píng)定對(duì)客體的侵害程度234、業(yè)務(wù)信息安全等級(jí)7、系統(tǒng)效勞安全等級(jí)8、定級(jí)對(duì)象的安全保護(hù)等級(jí)圖1確定等級(jí)一般流程確定定級(jí)對(duì)象一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較浩大，為了表達(dá)重要局部重點(diǎn)保護(hù)，有效把握信個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下根本特征：具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。假設(shè)一個(gè)單位的某個(gè)下全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。具有信息系統(tǒng)的根本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)當(dāng)是由相關(guān)的和配套的設(shè)備、設(shè)施依據(jù)確定的應(yīng)用目標(biāo)和為定級(jí)對(duì)象。承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。確定受侵害的客體定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。侵害國家安全的事項(xiàng)包括以下方面：影響國家政權(quán)穩(wěn)固和國防實(shí)力；影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；影響國家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益；影響國家重要的安全保衛(wèi)工作；影響國家經(jīng)濟(jì)競爭力和科技實(shí)力；其他影響國家安全的事項(xiàng)。侵害社會(huì)秩序的事項(xiàng)包括以下方面：影響國家機(jī)關(guān)社會(huì)治理和公共效勞的工作秩序；影響各種類型的經(jīng)濟(jì)活動(dòng)秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德標(biāo)準(zhǔn)下的正常生活秩序等；其他影響社會(huì)秩序的事項(xiàng)。影響公共利益的事項(xiàng)包括以下方面：影響社會(huì)成員使用公共設(shè)施；影響社會(huì)成員獵取公開信息資源；影響社會(huì)成員承受公共效勞等方面；其他影響公共利益的事項(xiàng)。其他組織所享有確實(shí)定的社會(huì)權(quán)利和利益。確定作為定級(jí)對(duì)象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先推斷是否侵害國家合法權(quán)益。各行業(yè)可依據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各類信息系統(tǒng)與國家安全、社會(huì)秩序、息系統(tǒng)受到破壞時(shí)所侵害的客體。確定對(duì)客體的侵害程度侵害的客觀方面在客觀方面，對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)信息可能會(huì)有所不同，在定級(jí)過程中，需要分別處理這兩種危害方式。信息安全和系統(tǒng)效勞安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能；導(dǎo)致業(yè)務(wù)力氣下降；引起法律糾紛；導(dǎo)致財(cái)產(chǎn)損失；造成社會(huì)不良影響；對(duì)其他組織和個(gè)人造成損失；-

其他影響。綜合判定侵害程度侵害程度是客觀方面的不同外在表現(xiàn)的綜合表達(dá)以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)展確定。在針對(duì)不同的受侵害客體進(jìn)展侵害程度的推斷時(shí)，應(yīng)參照以下不同的判別基準(zhǔn)：假設(shè)受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為推斷侵害程度的基準(zhǔn)；假設(shè)受侵害客體是社會(huì)秩序、公共利益或國家安全，則應(yīng)以整個(gè)行業(yè)或國家的總體利益作為推斷侵害程度的基準(zhǔn)。不同危害后果的三種危害程度描述如下：一般損害嚴(yán)峻損害嚴(yán)峻損害。特別嚴(yán)峻損害組織和個(gè)人造成格外嚴(yán)峻損害。信息安全和系統(tǒng)效勞安全被破壞后對(duì)客體的侵害程度造成一般損害、嚴(yán)峻損害、特別嚴(yán)峻損害的具體定義。確定定級(jí)對(duì)象的安全保護(hù)等級(jí)依據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。表2業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表一般損害嚴(yán)峻損害特別嚴(yán)峻損害第一級(jí)其次級(jí)其次級(jí)其次級(jí)第三級(jí)第四級(jí)第三級(jí)第四級(jí)第五級(jí)對(duì)相應(yīng)客體的侵害程度業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體公民、法人和其他組織的合法權(quán)益社會(huì)秩序、公共利益國家安全對(duì)相應(yīng)客體的侵害程度業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體公民、法人和其他組織的合法權(quán)益社會(huì)秩序、公共利益國家安全表3系統(tǒng)效勞