信息系统安全等级保护定级指南.doc

1信息系统安全等级保护定级指南

为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程

1.1.1制定背景

本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。

本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。

1.1.2国外相关资料分析

本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如：

●FIPS 199 Standards for Security Categorization of Federal Information and Information

Systems（美国国家标准和技术研究所）

●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification

and Accreditation Process Application Manual（美国国防部）

●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防

部）

●Information Assurance Technology Framework3.1（美国国家安全局）

这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。

FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的

潜在影响将信息分类，影响程度可为高、中或低。例如某政府采购系统中，包含合同信息和管理信息，各自的信息分类为：

SC合同信息={(保密性，中)，（完整性，中），（可用性，低）

SC管理信息={(保密性，低)，（完整性，低），（可用性，低）该政府采购系统分类的各项，将是系统中所有信息分类的三性取值中的最高值：SC政府采购系统={(保密性，中)，（完整性，中），（可用性，低）尽管该标准仅将信息系统按照对信息安全三性的安全需求进行了分类，没有明确说明信息系统的安全等级，但从与该标准配套的安全控制措施（SP800-53等）内容来看，最终信息系统的等级是由分类中的较高者决定。

8510.1-M为美国国防部发布的DITSCAP计划提供实施手册，DITSCAP计划的主要目的是保护国防信息基础设施，适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商和机构。在考虑系统的功能、国家和国防的安全要求以及系统的使命的危险程度、系统所处理的数据和用户类型等因素的基础上，DITSCAP 的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别。这四个认证级别是：1级—基本的安全评审，2级—最小分析，3级—详细分析，4级—复杂分析。

8510.1-M提出用于描述系统的7个特征量，互联模式、处理模式、归因性（责任追溯）业务依赖性、信息三性等，根据对这7个特征量赋权值，得出某个信息系统的总的权值，再根据权值所处的区间，确定信息系统的认证级别。

8500.2 没有直接针对信息系统分级，但给出了两种分等级的信息保障需求，一种是按信息保密性分级，DoD定义了三个保密性等级：保密、敏感和公开，另一种是按业务保障分类（Mission Assurance Category）：MACⅠ、MACII和MACIII，由此可以排列出9种组合。保密性分级反映了系统内所处理的信息的重要程度，业务保障类反映了与DoD实现业务目标相关的重要性，业务保障类主要用于满足完整性和可用性方面的需求，其中MACⅠ系统比MACII和MACIII系统要求有更为严格的保护措施。

《信息保障技术框架》（IATF）由美国国家安全局主持编制，其所面向的对象既包括Internet这样的全球信息基础设施，也包括国家信息基础设施，以及作为机构专有资源以实现其业务的本地信息基础设施。IATF为安全机制的强度和实现保证提出了三个强健度等级(SML)，并对资产按其信息价值分为5个等级，威胁环境按其强弱分为7个等级，以矩阵表的方式给出了35种情况下可以选择的强健度等级。信息系统的所有者可以根据其信息价值与可能面临的威胁环境，选择系统安全保护的强健度等级和信息技术产品的评估保证级别

（EAL）。

1.1.3定级指南编制原则

通过分析可以发现上述定级方法分别在不同方面不能满足我国等级保护的需要，具体分析如下：

●FIPS199可能是与我们的需求最为接近的一种信息系统定级方法，它以信息安全保

密性、完整性和可用性需求中的最高者作为信息系统的安全等级，用于美国联邦

政府信息系统的保护可能合适，但我国的等级保护面向国内所有行业，包括那些

生产系统和自动化处理系统，这些系统对信息保密性要求不高，而对业务安全保

障要求非常高，三性取高的定级方法，没有反映出这些系统的安全需求特点，可

能造成对多数系统要求过高而无法实现。

●8510.1-M确定的是用于管理的认证级，各等级之间没有安全保护强度的差别，而

等级保护的定级应当反映保护强度和保护能力的逐级提高。

●8500.2 没有明确提出定级方法，当两种信息保障类别排列出不同组合时，没有给

出信息系统等级如何确定，但它提出两类信息保障的不同需求组合，反映信息系

统不同安全需求的做法值得借鉴。

●IATF提出的是信息系统的强健性等级，不是信息系统安全等级，没有反映信息系

统的安全需求。但它提出了根据信息价值和信息系统面临的威胁环境强度决定信

息系统的保护强度的概念，值得借鉴。

究其原因，上述国外标准和文献资料一般针对特定系统，在特定系统中适用，但不能满足我国在全国范围内、在所有行业内开展等级保护工作的要求。因此必须在对国外资料进行研究和吸收的基础上，探索适合我国国情、简便易行的定级方法。因此，等级保护的定级方法应反映出信息系统对国家安全、经济建设、社会生活重要程度的差异。从这一点出发考虑，信息系统安全保护等级定级的出发点应当是信息系统所承载的业务，或称业务应用的重要性。

此外，我国的等级保护制度针对“涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。”（摘自《实施意见》）。由此可以看出，《定级指南》既要有较大的通用性，也应具备一定的灵活性。因

此在编制过程中坚持以下原则：

●满足管理要求原则：《定级指南》所确定的信息系统安全保护等级不是信息系统安

全保障程度等级，因此也不是信息系统的技术能力等级，而是从国家管理的需要

出发，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息

或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级；

●全局性原则：信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统

的管理制度，信息系统安全保护等级的定级也必须从国家层面考虑，体现全局性；

●业务为核心原则：信息系统是为业务应用服务的，信息系统的安全保护等级应当

反映信息系统承载业务的重要性，应以业务为出发点和核心，将信息重要性纳入

业务重要性统筹考虑；

●合理性原则：充分反映出信息系统的主要安全特征，优化结构、降低投资、突出

重点，有效保护。

1.1.4主要编制过程

《信息系统安全保护等级划分准则》初稿于2005年5月完成，其中提出了定级的四个要素：信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度，通过信息系统所属类型和业务数据类型可以确定业务数据安全性等级，通过信息系统服务范围和业务自动化处理程度及调节因子，可以确定业务服务连续性等级。经向业内专家，安全服务企业专家以及部分用户进行了较为广泛的征求意见，根据各方意见，编制小组对文档名称（建议改为定级指南）、形式和内容均进行了多处修改，形成《信息系统安全保护等级分准则定级指南》（以下简称《定级指南》）征求意见稿第1稿。

2005年10月国信办安全组召开定级评审专家组对《定级指南》征求意见稿第1稿进行了专家评审，根据评审意见，编制小组对文稿进行了修改。主要修改为：在信息系统划分中将从业务流程角度划分与从业务类型角度划分两方面合并，补充说明设置调节因子的理由，将第五级的定级方法处理成在四级的基础上根据有关部门的需要另行制定。由此形成定级指南征求意见稿第2稿。

2005年11月编制组分两次向定级评审专家组专家征求对定级指南征求意见稿第2稿的意见，根据专家意见，修改子系统划分方面内容，将信息系统/子系统统称为信息系统，明确定级对象是信息系统，信息系统内可以包含业务子系统，突出根据业务重要性划分信息系统。进一步强调三性作为信息系统重要安全属性在确定定级要素赋值方面的作用，突出信息和服务两个定级指标，将调节因子的赋值方法从定值改为区间赋值，由此形成定级指南征求

意见稿第3稿，即等级保护试点工作中采用的试用版本。

通过2006年1月-10月在全国开展的信息系统基础调查工作和等级保护试点工作，各试点单位将《定级指南》使用过程中发现的问题以书面形式提交公安部。编写组根据试点单位提出的意见，取消调节因子，将四个定级要素改为业务信息类型、业务信息受到破坏影响的客体，系统服务类型和系统服务受到破坏影响的客体,由前两个要素确定业务信息安全性等级，后两个要素确定系统服务安全性等级。为帮助使用者确定定级对象，增加了定级对象三个特征的描述，形成定级指南征求意见稿第4稿。

2007年4月对定级指南征求意见稿第4稿评审专家提出四个要素应分出主次，应当明确体现影响程度等意见。经修改，为区别信息系统本身与信息系统安全受到破坏所影响的客体，在本次修改中提出了等级保护对象、受侵害的客体、客体侵害的客观方面等援引自法律文件中的术语，以更加准确地表达等级差别的内在含义，并将受侵害的客体作为主导要素，侵害的程度作为相关要素，相应地修改了定级步骤。由此形成定级指南征求意见稿第5稿。

2007年5月全国信息安全标准化技术委员会第五工作组组织工作组成员对定级指南征求意见稿第5稿进行了评审，专家主要对法律上“客体”概念与技术标准中的“客体”概念不一致，容易造成混淆，建议更改，但由于没有更合适的概念替代，暂时没有修改，这个概念一直保留到报批稿。

1.2定级原理和定级要素

1.2.1定级原理

等级保护是我国实施信息安全管理的基本制度，信息系统安全保护等级是为行政管理服务的等级，不是纯粹的技术等级。因此《定级指南》确定的等级必须与相关管理文件的规定保持一致。

根据《信息安全等级保护管理办法》，信息系统的5个安全保护等级为：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国

家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

从上述描述可以看出，信息系统的安全保护等级的高低并不决定于信息系统的规模、价值、服务对象等本身因素，而是决定于信息系统被破坏后产生的损害，包括受到侵害的各方利益和损害程度。

如果我们将使信息系统受到破坏的原因称为威胁源，在威胁源、信息系统和受侵害的各方利益之间存在下图所示的关系：

威胁源是安全问题产生的原因，它直接破坏的是信息系统的安全性，但信息系统的安全保护等级并不是根据信息系统本身被破坏的程度而确定的，而是根据对各方利益的侵害程度确定，这是信息系统安全保护等级确定的核心所在。

为了给国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益一个简短的表述方式，借鉴中国刑法理论中描述方式。刑法学中犯罪主体、犯罪对象和犯罪客体三者关系与上面描述的威胁源，信息系统和受侵害的各方利益之间关系非常接近，如下图所示：

图X-1 刑法中的主客体关系

其中的犯罪对象是犯罪主体，例如小偷，偷窃行为作用的直接客体，

例如被小偷偷窃的钱物，但定罪量刑的依据不是对犯罪对象的损害（在偷窃过程中，犯罪对象没有损害），而是对犯罪客体的侵害，是犯罪主体侵害的实际客体。根据刑法学，犯罪客体是指我国刑法所保护的，而为犯罪行为所侵害的社会主义社会关系，刑法所保护的社会关系包括社会主义的国体、政体和国家安全，社会公共安全，社会主义市场经济秩序，公民人身权利和民主权利，社会主义制度下各种财产权利，社会秩序，国防利益和军事利益，国家机关行政和司法秩序直接客体

主体 实质侵害

实际客体

及公务活动等。这样的社会关系与等级保护关注的国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益是相同的。因此在《定级指南》标准中引用了刑法学中的“客体”概念代指信息系统受到破坏后所侵害的不同社会关系。

“客体”概念定义：受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

将威胁源直接作用的信息系统定义为等级保护对象。由于对客体的侵害是通过对信息系统的破坏实现的，因此保护信息系统才能最终保护客体——社会主义社会关系。

与GB17859中定义的客体相比，《定级指南》对客体定义据有不同的关注点，信息安全等级保护定级的关注点是对社会关系的侵害，信息系统安全保护的关注点是对信息和服务的保护，两者内在相关，概念表述不同，反映了行政管理与技术关注点的不同。

根据《管理办法》对5个等级信息系统的定义，《定义指南》使用客体概念，提出信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度，表示如下：

1.2.2受侵害的客体

等级保护对象受到破坏时所侵害的客体包括三个方面：

a)国家安全；

b)社会秩序和公共利益；

c)公民、法人和其他组织的合法权益。

这三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。

社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。《定级指南》中的社会秩序和公共利益体现了在一定范围的或对不特定群体的利益。

合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，《定级指南》中特指公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。

1.2.3对客体造成侵害的程度

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

a)造成一般损害；

b)造成严重损害；

c)造成特别严重损害。

造成一般损害是指对客体造成一定损害和影响，经采取恢复或弥补措施，可消除部分影响。

造成严重损害是指对客体造成严重损害，经采取恢复或弥补措施，仍产生较大影响。

造成特别严重损害是指对客体造成特别严重损害，后果特别严重，影响重大且无法弥补。

对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象——信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面。

在分析侵害的客观方面时，为区别针对信息系统的破坏程度和对客体的侵害程度，《定级指南》使用了“危害”一词，用于描述对信息系统的破坏，例如危害方式、危害后果、危害程度等。综合评定不同危害方式、不同危害后果所造成的不同危害程度，才可以确定对客体的侵害程度。

1.2.4影响安全保护等级的信息系统元素分析

为分析侵害的客观方面，编制组对含有安全等级的相关国外的文献资料进行了研究，目的是从信息系统本身找出影响安全保护等级的核心元素。

不同定级方法决定出的等级包括信息系统安全等级、认证等级、两种等级的交叉分类以及系统强健度等级等。在不同的方法中，都会涉及到这样三个方面：根据信息系统的哪些元素定级，这些元素的哪些属性决定了系统的安全，这些属性的哪些不同性质决定了重要性的等级差别，以下逐一分析。

1.FIPS199

FIPS199根据信息在保密性、完整性和可用性三个属性被破坏后的安全影响决定信息的安全分类和信息系统的等级。在这里决定系统安全等级的唯一元素是信息，保密性、完整性

和可用性是信息的三个安全属性，信息三性丧失后对机构运行、机构财产和个人的安全影响是决定重要性的因素，根据安全影响大小分成低、中、高三个等级，描述方式为：

表4-1 FIPS199定义的安全影响等级

2.8510.1-M

8510.1-M定级的系统元素比较复杂，从7个方面综合确定信息系统的认证等级，包括系统外部因素，系统的业务，系统中的实体资产，信息等，这些元素的安全属性和重要性没有明确分开，表现为系统互连模式、系统处理、传输、储存数据的方法、业务使命对系统的依赖度、信息敏感性分类、系统完整性要求、系统实时性要求、系统实体的可审查性需求等。

3.8500.2

8500.2主要关注的系统元素是信息和业务（或称使命），对于信息关注其保密性，对于业务则关注其完整性和可用性两个安全属性。信息保密性分为三个等级：秘密、敏感和公开；业务保障分类为三个等级：高完整性和高可用性（MACⅠ）高完整性和中可用性（MACⅡ）和基本的完整性和可用性（MACⅢ），两个等级相互独立，可以构成9种组合，8500.2没有提出信息系统整体等级的概念。

4.IATF

IATF从信息价值和预期对抗的威胁两个元素决定系统的强健度等级，其中信息价值关注的不是三性受到破坏而是对信息保护策略的违背，信息价值的高低取决于造成负面影响的程度，共分五级，分别为：可以忽略、不良影响或较小破坏、一定破坏、严重破坏和十分严重破坏；威胁等级由攻击者能力和攻击者愿冒风险的大小两个方面组合形成，分为7个等级。

在上述定级方法中所体现的主要定级元素有：信息、系统、业务和威胁，在这里可以首先排除威胁。因为威胁本身是一个不定因素，任何系统都有可能面临所有种类和所有等级的威胁，对信息系统的保护也没有必要做到能够对抗所有威胁。因此可以考虑为每个等级的系

统确定一个较为合理的威胁等级（可由威胁主体能力、动机决定）。根据该威胁等级确定该等级系统的技术或管理控制目标，且允许不同的系统根据其所面临威胁的差异性，对保护措施进行适当调整。

实际情况应当是，当某个等级的系统选择了相应等级的保护措施，一般可以对抗相应级别的威胁，但并不能对抗所有的威胁，因此不能说用该等级保护措施保护系统其安全性就高枕无忧。对于系统所有者来讲，安全目标一定是有限的，是考虑了成本与效益的平衡，考虑了更高威胁所造成损失的可接受。因此，威胁可以不作为确定信息系统安全等级所考虑的系统元素，而放在确定保护各级别系统的控制目标和控制措施时考虑。

此外，系统是指通过软件、硬件等组成的有机整体所提供的功能和服务，业务是由信息系统所承载的，对内部或外部用户提供的信息化服务，它们的核心内容都是功能和服务，因此将影响安全等级的一个系统元素确定为服务，信息系统提供的服务，另一个元素为信息。

根据上述分析，信息系统重要程度可以从信息系统所处理的信息和信息系统所提供的服务两方面来体现，对信息系统的破坏也应从对业务信息安全的破坏和对系统服务安全的破坏两方面来考虑。因此，在《定级指南》中也是分别从这两个方面确定信息系统安全被破坏后所影响的客体及对客体的影响程度。

1.3定级过程和方法

1.3.1定级对象概述

定级工作是信息系统等级保护工作的起点，定级结果直接决定了后续安全保障工作的开展。在定级之前，首先必须明确定级的对象，即，对哪个信息系统进行定级。《定级指南》中指出，作为定级对象的信息系统应当具备以下三个条件：

a)具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，而其上级部门仅负有监督、指导责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

b)具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和

规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。

单台的设备或有单台设备构成的安全域本身无法实现完整的信息系统保护，不能抵御来自内部或外部的攻击，这样的设备或区域必然依靠其所在环境所提供的网络安全和边界防护。因此作为定级对象的信息系统应当是包括信息系统的核心资产——保护目标，以及对保护目标提供保护的所有相关设备和人员——保护机制，只有涵盖了这两部分，才能使信息系统实现其应用目标。

c)承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程、部分业务功能独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。

承载“相对独立”业务应用的信息系统在一个单位的整个信息系统中像一个子系统，其业务功能是相对独立的并明显区别于其他系统的，与其他系统有明确的业务边界和信息交换方式。

上述三个条件给出定级对象确定的原则，在这个原则的基础上，针对不同规模、不同复杂程度、不同隶属关系的信息系统，运营使用单位和服务机构人员可以寻找适合自身的划分方法，以下给出的定级对象的确定方法和定级流程在某些信息系统中得到认可，作为例子，供运营使用单位和有关各方参考。

信息系统定级既可以在新系统建设之初进行，也可在已建成系统中进行。对于新建系统，尽管信息系统尚未建成，但信息系统的运营使用者应首先分析该信息系统处理哪几种主要业务，预计处理的业务信息和服务安全被破坏所侵害的客体、以及根据可能的对信息系统的损害方式判断可能的客体侵害程度等基本信息，由此确定信息系统的安全保护等级。对于已建系统可参照以下流程完成定级工作。

图X-2 定级流程图

以下将根据此流程图详细介绍其中的各个步骤。

1.3.2系统识别和描述

定级人员最初面临的往往不是已划分好的信息系统，而是单位的整个信息系统，或即使只是单位信息系统的一部分，由于等级保护需求不同，也有可能需要对该部分系统进行划分，区别出不同等级的信息系统。

通过系统识别和描述活动，可以了解单位信息系统的全貌，了解需要定级的信息系统与单位其他信息系统的关系。根据用户需求或工作需要，系统识别与描述活动既可以针对单位整个信息系统进行，也可在用户指定的范围内进行。

1.识别单位基本信息

可以采用调查表的方式调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况，以及其上级主管机构（如果有）的信息。

2.识别管理框架

可以采用调查表的方式调查了解目标系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责。特别是当该单位的信息系统存在分布于不同的物理区域的情况时，应了解不同区域系统运行的安全管理责任，一般来说，安全管理职责是进行信息系统划分的首要参考因素，因为具有一定等级的信息系统也应当是一个安全域，应当遵循相同的安全策略，没有统一管理作保证则无法实现统一的安全策略。

3.识别业务种类、流程和服务

可以采用调查表的方式调查了解机构内主要依靠信息系统处理的有多少种业务，哪些业

务是主要业务，哪些业务是支撑型业务，各项业务具体要完成的工作内容和业务流程等。了解单位的职能与这些业务的关联，单位对信息系统完成业务使命的期待或关注点。如果对某个信息系统的主要关注点是其中的信息，该系统可能属于信息处理型系统，如果对信息系统的主要关注点是业务流程的连续，该系统可能属于业务处理型系统，例如多数生产系统属于业务处理型系统，当然也有信息系统两个方面都关注，可以称之为均衡型系统。

调查还应关注每个信息系统的业务流，以及不同信息系统之间的业务关系，因为不同信息系统之间的业务关系和数据关系将对信息系统划分起重要作用，应了解单位内不同业务系统提供的服务在影响履行单位职能方面，影响的区域范围、用户人数、业务量以及对本单位以外机构或个人的影响等方面的差异。

4.识别信息

可以采用调查表的方式调查了解各信息系统所处理的信息特点，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后对单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响。

根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录（流水）数据、系统控制数据或文件等。

了解数据信息还应关注信息系统的数据流，以及不同信息系统之间的数据交换或共享关系。

5.识别网络结构

可以采用调查表的方式调查了解目标信息系统所在单位的网络状况，包括网络覆盖范围（全国、全省或本地区），网络的构成（广域网、城域网或局域网等），内部网段/VLAN划分，网段/VLAN划分与系统的关系，与上级单位、下级单位、外部用户、合作单位等的网络连接方式，与互联网的连接方式。目的是了解目标信息系统自身网络在单位整个网络中的位置，目标信息系统所处的单位内部网络环境和外部环境特点，以及目标信息系统的网络安全保护与单位内部网络环境的安全保护的关系。

6.识别主要的软硬件设备

可以采用调查表的方式调查了解与目标信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。信息系统定级本应仅与信息系统有关，与具体设备没有多大关系，但由于在划分信息系统时，不可避免地会涉及到设备共用问题，调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。

7.识别用户类型和分布

可以采用调查表的方式调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，各类用户可访问的数据信息类型和操作权限。

8.单位信息系统描述

通过上述调查，可以较为全面地了解单位信息系统的基本信息、管理信息、业务信息、网络信息、设备信息和用户信息等，信息系统描述是信息系统划分和定级的基础，描述信息的准确和详细决定了系统划分是否合理以及定级结果是否准确。

1.3.3信息系统划分

1.3.3.1调查结果分析

1.分析安全管理责任，确定管理边界

在一个单位中，信息系统的业务管理和运行维护可能由不同部门负责，例如科技部门或信息中心负责信息系统所有设备和设施的运行、维护和管理，各业务部门负责其中的业务流程的制定和业务操作，信息系统的安全管理责任不仅指在信息系统的运行、维护和管理方面的责任，承担安全管理责任的不应是科技部门，而应当是该单位。

一个运行在局域网的信息系统，其管理边界比较明确，但对一个跨不同地域运行的信息系统，其管理边界可能有不同情况：如果不同地域运行的信息系统分属不同单位（如上级单位和下级单位）负责运行和管理，上下级单位的管理边界为本地的信息系统，则该信息系统可以划分为两个信息系统；如果不同地域运行的信息系统均由其上级单位直接负责运行和管理，运维人员由上级单位指派，安全责任由上级单位负责，则上级单位的管理边界应包括本地和远程的运行环境。

2.分析网络结构和已有内外部边界

一般单位的信息系统建设和网络布局，一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。

例如政府机构内部一般由三个网络区域组成，政务内网、政务外网和互联网接入网，三个网络相对独立，可以先以已有的网络边界将单位的整个系统划分为三个大的信息系统，然后再分析各信息系统内部的业务特点、业务重要性及不同系统之间的关系，如果内部还存在相对独立的网络结构，业务边界也比较清晰，也可以再进一步将该信息系统细分为更小规模的信息系统。

3.分析业务流程和业务间关系

根据调查结果，分析每个业务流和数据流，不同业务之间的业务关系和数据关系。根据信息系统确定原则，信息系统内所承载的业务是相对独立或单一的,并不意味着该信息系统是孤立的和隔离的，信息系统在边界可以与其他信息系统又数据交换，即,一个系统的数据输出可能是另外一个系统的数据输入，尽管如此，重要的业务流程和系统功能都应在信息系统内部完成，以此反映其相对独立的特性。因此，需要分析数据流在不同业务、不同系统之间的关系，以便正确划分系统。

1.3.3.2系统划分方法

一般来讲试点单位信息系统可以划分为几个作为定级对象的信息系统，如何划分系统是定级之前的主要问题。信息系统的划分没有绝对的对与错，只有合理与不合理，合理地划分信息系统有利于信息系统的保护及安全规划，反之可能给将来的应用和安全保护带来不便，又可能需要重新进行信息系统的划分。由于信息系统的多样性，不同的信息系统在划分过程中所侧重考虑的划分依据会有所不同。通常，在信息系统划分过程中，应当结合信息系统的现状，从信息系统的管理机构、业务特点或物理位置等几个方面考虑对信息系统进行划分，当然也可以根据信息系统的实际情况，选择其他的划分依据，只要最终划分结果合理就可以。

●安全责任单位

依据安全责任单位的不同，划分信息系统。如果信息系统由不同的单位负责运行维护和管理，或者说信息系统的安全责任分属不同机构，则可以根据安全责任单位的不同划分成不同的信息系统。一个运行在局域网的信息系统，其安全责任单位一般只有一个，但对一个跨不同地域运行的信息系统来说，就可能存在不同的安全责任单位，此时可以考虑根据不同地域的信息系统的安全责任单位的不同，划分出不同的信息系统。

●业务特点

根据业务的类型、功能、阶段的不同，对信息系统进行划分。不同类型的业务之间会存在重要程度、环境、用户数量等方面的不同，这些不同会带来安全需求和受破坏后的影响程度的差异，例如，一个是以信息处理为主的系统，其重要性体现在信息的保密性，而另一个是以业务处理为主的系统，其重要性体现在其所提供服务的连续性，因此，可以按照业务类型的不同划分为不同的信息系统。又比如，在整个业务流程中，核心处理系统的功能重要性可能远大于终端处理系统，有需要时，可以将其划分为不同的信息系统。

●分析物理位置的差异

根据物理位置的不同，对信息系统进行划分。物理位置的不同，信息系统面临的安全威胁就不同，不同物理位置之间通信信道的不可信，使不同物理位置的信息系统也不能视为可

以互相访问的一个安全域，即使等级相同可能也需要划分为不同的信息系统分别加以保护，因此，物理位置也可以作为信息系统划分的考虑因素之一。

在进行信息系统的划分过程中，进行分析，可以选择上述三个方面中的一个方面因素作为划分的依据，也可以综合几个方面因素作为划分的依据。同时，还要结合信息系统的现状，避免由于信息系统的划分而引起大量的网络改造和重复建设工作，影响原有系统的正常运行。有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业务面临风险或威胁较大，比如与互联网相连，可能会影响到其它的业务，就应当将其从该信息系统中分离出来，单独作为一个信息系统而实施保护。经过合理划分，一个单位或机构的信息系统最终可能会划分为不同等级的多个信息系统。同时，通过在信息系统划分阶段对各种系统服务业务信息、业务流程的深入分析，明确了各个信息系统之间的边界和逻辑关系以及他们各自的安全需求，有利于信息系统安全保护的实施。

1.3.3.3信息系统描述

这里的信息系统描述就是对信息系统划分结果进行描述，主要描述单位内每个信息系统的管理机构、涵盖的几种业务或业务流程的阶段和所处的地理位置，而不必要描述具体的设备类型和边界。

可以通过列表的方式将单位内的信息系统名称列成清单。如果仅列名称还不能确切描述该系统，可用备注加以解释。

1.3.3.4信息系统边界

信息系统划分后就需要确定信息系统的边界（物理边界往往比较容易界定），由于等级化信息系统有可能是单位信息系统的一部分，如果该信息系统与其他系统在网络上是独立的，没有设备共用情况，边界则容易确定，但当不同信息系统之间存在共用设备时，应加以分析。

由于信息系统的边界保护一般在物理边界或网络边界上实现，系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。

两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。例如，一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机，此时防火墙和交换机可以作为两个系统的边界设备，但应满足3级系统的要求。

终端设备一般包括系统管理终端（如服务器和网络设备的管理终端，业务管理终端，安全设备管理终端等），内部用户终端（如办公系统用户的终端，银行系统的业务终端、移动用户终端等）和外部用户终端（如网银用户终端，清算系统中的商业银行终端，证券交易系统的交易客户等）。对于外部用户终端，由于用户和设备一般都不在信息系统的管理边界内，这些终端设备不在信息系统的边界范围内。信息系统的管理终端是与相应被管理设备相对应的，服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中。内部用户终端就比较复杂，内部用户终端往往与多个系统相连，当信息系统进行等级化保护后，应尽可能为不同的信息系统分配不共用的终端设备，以免在终端处形成不同等级信息系统的边界。但如果无法做到不同等级的信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。

处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。1.3.4安全保护等级确定

《定级指南》5.1节中描述的定级一般流程的第一步已在上节中详细说明，本节将重点说明在进行了信息系统识别、描述和划分后，对确定的定级对象进行安全保护等级确定工作的方法。

1.3.4.1确定受侵害的客体

1．国家安全

随着信息化的不断推进，我国国家安全和经济生活已经极大地依赖于信息技术和信息基础设施，尤其是国防、电力、银行、政府机构、电信系统以及运输系统等重要基础设施一旦受到破坏，会对国家安全构成严重威胁。因此在考虑信息系统的信息和服务安全被破坏后，可能对国家安全的影响时，也应从多方面加以考虑。

举例来说，涉及影响国家安全事项的信息系统可能包括：重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。

2．社会秩序

完善社会管理体系，维护良好的社会秩序是建设社会主义和谐社会的重要任务之一，借助信息化手段提高国家机关的社会管理和公共服务水平，提高经济活动效率，更方便地从事科研、生产、生活活动正是维护良好社会秩序的表现。

可能影响到社会秩序的信息系统非常多，包括各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。

3．公共利益

公共利益所包括的范围是非常宽泛的，既可能是经济利益，也可能是包括教育、卫生、环境等各个方面的利益。

借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。

公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。

4．公民、法人和其他组织的合法权益

《定级指南》中的公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。它不同于公共利益，选择客体为公共利益是指受侵害的对象是“不特定的社会成员”，而选择公民、法人和其他组织的合法权益时，受侵害的对象是明确的，就是拥有信息系统的个体或某个单位。

1.3.4.2确定对客体的侵害程度

为了确定对客体的侵害程度，《定级指南》在分析侵害的客观方面时，首先确定对信息系统的危害方式分为两种：对信息系统所处理的业务信息安全的危害以及对系统服务安全的危害。

无论是业务信息安全还是系统服务安全受到破坏后，均可能产生以下危害后果：

-影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。

-导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有

本行业关注的业务指标。

-引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体

曝光等形式。

-导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、

客户关系损失等导致的间接经济损失。

-直接造成人员伤亡。

-对其他组织的间接影响。

-造成社会不良影响，包括在社会风气、执政信心等方面的影响。

上述几类影响不一定是独立的，有时也会是相关的，例如人员伤亡可能引发法律纠纷，进而可能造成资金的赔偿，业务能力下降既可能影响管理职能的履行，同时也可能造成单位收入的下降。

但上述危害后果中，多数系统一般主要关注其中的一种后果，例如银行系统一般关注业务能力下降的影响，党政系统主要关注管理职能的履行等，而将其他后果作为参考。

《定级指南》给出了信息系统所处理的业务信息安全和系统服务安全被破坏后所产生的三种危害程度的描述，其中包括了不同的危害后果：

一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。

严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。

信息系统被破坏所产生的直接危害后果和危害程度一般是可以准确描述的，例如哪些管理职能不能履行、业务能力下降的百分比、人员的伤亡程度、财产损失的大致数目等，但从这些具体的危害程度得出对受侵害客体的侵害程度，一个单位从本单位角度是无法准确判断的，一般需要各行业给出相应的政策，或制定对危害程度的综合评定方法，从而给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义，使信息系统的运营使用单位能够据此得出相应的判断。

针对不同的受侵害客体，《定级指南》给出了不同判别基准的参照：

-如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体

利益作为判断侵害程度的基准；

-如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。

1.3.4.3确定信息系统的安全保护等级

应全面考虑该信息系统中服务和信息，选取最能够体现该系统重要性的信息和服务进行分析。分别分析不同业务信息和系统服务安全受破坏时所侵害的客体，以及综合评定对客体的侵害程度后，分别计算不同业务信息和系统服务所需要的安全保护等级，并将其最高者作为该信息系统的安全保护等级。

1.3.5定级报告形成

在确定信息系统的安全保护等级之后，需要将定级结果形成《信息系统安全等级保护定级报告》（以下简称《定级报告》），将定级分析过程和定级结果文档化,《定级报告》是定级工作完成的标志。如果试点单位内部有多个试点信息系统，可以完成一份《定级报告》，其中分别描述几个系统的定级过程和定级结果，也可以分开形成几份《定级报告》。

《定级报告》一般包括以下几部分：

●定级依据

包括与本次信息系统定级相关的法规、标准、规范和文件等，例如《管理办法》、《定级指南》、本行业的安全管理规定等确定信息系统安全保护等级所需依据的文件。

●信息系统划分

详细描述信息系统的管理机构和管理职责、网络结构和对外边界、承载业务种类、处理的主要信息等。如果定级范围内划分出多个作为定级对象的信息系统，应描述划分结果、划分方法和理由。

●信息系统描述

描述定级信息系统的边界，包括外部边界和与其他系统相连的内部边界，定级系统的边界设备，系统内的主要设备，系统承载的业务应用。

●安全等级确定

针对每一个定级信息系统详细描述定级过程，描述其中重要的业务信息和系统服务安全受破坏时所侵害的客体的分析过程，以及综合评定对客体的侵害程度的过程，给出赋值结果和理由。分别确定业务信息的安全保护等级和系统服务的安全保护等级，选择其中最高的结果作为该定级信息系统的安全保护等级。

●定级结果

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门，潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备，设施构成的，是按照一定的应用目标和新闻信息进行采集，加工，存储，发布，检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房，数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布，采集系统，网友报料，论坛，视频发布系统等模块功能。 二、信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻，发布潜江市各项政府公告及政策，收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定

侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。 （二）系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定

信息系统安全等级保护测评准则.

目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)

7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A（资料性附录）测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B（资料性附录）关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 （一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 （三）该信息系统业务主要包含：等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。 侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如： ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems（美国国家标准和技术研究所） ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual（美国国防部） ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防 部） ●Information Assurance Technology Framework3.1（美国国家安全局） 这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的

信息安全等级保护定级指南

附件2 信息系统安全保护等级定级指南 （试用稿） 公安部 二〇〇五年十二月

目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息（Business Information） (11) 2.2 业务信息安全性（Security of Business Information） (11) 2.3 业务服务保证性（Assurance of Business Service） (11) 2.4 信息系统（Information System） (11) 2.5 业务子系统（Business Subsystem） (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21)

信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息（Business Information） 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性（Security of Business Information） 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性（Assurance of Business Service） 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统（Information System） 基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统（Business Subsystem） 由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。 如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告 一、XX平台系统描述 （一）2014年8月，XX正式上线，XX隶属于北京XX科技有限公司，该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台，将出借人和借款人衔接，为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构，也是为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络，资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中，将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑，统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 （三）该系统业务主要包含：用户身份安全信息、业务平台数据、购买服务等业务，并新增加了法务审核，风险控制等等业

务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方支付平台的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 业务处理系统以内部财务结算模式，负责各类买入转让还款的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下： 二、XX平台系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业，XX为旗下借贷平台主要是通过线上平台，将出借人和借款人衔接，为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务，解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、

信息系统安全等级

附件乐3：乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统（HIS）、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理，对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总，为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担，医院始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督，网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码成为信息表现的载体，二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性，需要不定时进行对该系统进行程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响医疗、办公正常秩序和正常行使工作职能，导致业务能力下降，从某种角度可侵害患者、医院和医院职工的合法权益，造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后，会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，所侵害的客体是公民、医院和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为：可以对患者、法人和医院职工的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起医患法律纠纷等）。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为：患者、医院和医院职工的合法权益造成一般损害，即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内，有两个出口， 第一个出口处部署了流控设备和控制网关，再通过 Extreme6808三层交换机接入教育网，在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备，该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、 法人和其他组织的合法权益。

侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害，会对公民、 法人和其他组织的合法权益造成影响和损害，可以表 现为:影响正常工作的开展，导致业务能力下降，泄 露公民隐私，有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知，业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求， 出现上述两个侵害客体时，优先考虑社会秩序和公共利 益，另外一个不做考虑。

信息系统安全等级保护定级报告模板

附件3： 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。 二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息

安全等级。 （二）系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 （三）安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

信息安全等级保护管理制度

信息安全等级保护 管理制度 1

?更多资料请访问.(.....) ?更多资料请访问.(.....) 2

关于开展保险业信息系统安全等级保护定级工作的通知 保监厅发〔〕45号 各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照<关于开展全国重要信息系统安全等级保护定级工作的通知>(公信安〔〕861号)要求,中国保监会将在保险行业 3

内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式 各单位应按照”准确定级、严格审批、及时备案、认真整改、科学测评”的要求和”自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。 保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。 各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。 各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。 二、定级工作安排及定级范围 (一)定级工作安排 为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。 保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 4

信息系统安全等级保护定级报告

附件2: 《信息系统安全等级保护定级报告》 一、易财经描述 （一）该系统于 2018年投入运营，开发服务商为广州致仪计算机软件科技有限公司。目前该信息系统由广州致仪计算机软件科技有限公司技术部负责运行维护。广州致仪计算机软件科技有限公司技术部是该系统业务的主管部门，广州致仪计算机软件科技有限公司总经办为该信息系统定级的责任单位。 （二）该信息系统部署在阿里云云服务器ECS。由主机服务器、网络设备、防火墙设备、存储系统及其相关的配套的设备、设施构成的，是按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 易财经服务器mysql数据库由2台阿里云云服务器ECS E5互为备份，同时接入校园网络中心机房。实现校内、校外全天侯工作的功能。该系统的外部网部络和内部网络部分都是等级保护定级的范围和对象。 （三）该信息系统目前承载的主要业务包括：系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。系统针对业务的

差异分别提供联机处理和批量处理两种方式。 二、易财经系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包括：系统管理、组织管理、课程管理、排课管理、知识库管理、排课管理、考练测评、论文管理、实训中心、资讯管理、法规库管理、资源库、订单管理、积分优惠卷系统等等。 2、业务信息受到破坏时所侵害客体的确定（根据实际描述） 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定（根据实际描述） 上述结果的程度表现为严重损害，即工作职能受到严重

信息系统安全等级保护基本要求

信息系统安全等级保护基本要求 1 范围 本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导分等级的信息系统的安全建设和监督管理。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3 术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4 信息系统安全等级保护概述 信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA-AAAA。 不同等级的安全保护能力 不同等级的信息系统应具备的基本安全保护能力如下： 第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。 第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。 第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰

信息系统安全等级保护定级指南

前言 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：公安部信息安全等级保护评估中心。 本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T BBBBB-BBBB信息系统安全等级保护基本要求； ——GB/T CCCCC-CCCC信息系统安全等级保护实施指南； ——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。 本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。 信息系统安全等级保护定级指南 1 范围 本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB17859-1999 计算机信息系统安全保护等级划分准则 3 术语和定义 GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。 3.1 等级保护对象 target of classified security 信息安全等级保护工作直接作用的具体的信息和信息系统。 3.2 客体object

信息系统安全等级保护基本要求

蓝色部分是操作系统安全等级划分，红色部分是四级操作系统关于网络部分的要求:） 《信息系统安全等级保护基本要求》 中华人民共和国国家标准GB/T 22239-2008 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于 加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字 [2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南； ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。 本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了 信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准，本标准、GB/T20269-2006、 GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。 本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础 上，根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求，基 本安全要求包括基本技术要求和基本管理要求，本标准适用于指导不同安全保护等级信息系统的安全建设和监督 管理。 在本标准文本中，黑体字表示较低等级中没有出现或增强的要求。 信息系统安全等级保护基本要求 1范围 本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导 分等级的信息系统的安全建设和监督管理。 2规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单 （不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文 件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4信息系统安全等级保护概述 4.1信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共 利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA- AAAA。 4.2不同等级的安全保护能力

《xx系统网络安全等级保护定级报告》

xx系统 网络安全等级保护定级报告 一、xx系统描述 （一）xx系统于20xx年x月x日上线，由xx公司（以下简称“本公司”）自主研发和维护。xx公司为xx系统定级的责任单位。 （二）xx系统通过APP客户端为国内K12院校及培训机构师生提供基于移动互联网方式的智慧教育及管理服务，提供教学资源、测试习题、教学管理、在线课程等内容和工具为学校解决智慧教学的核心需求。目前该系统由本公司运维部负责运维工作，本公司是该信息系统业务的主要负责机构，该信息系统业务主要包含：用户信息管理、平台内容管理、课堂教学管理、在线课程学习、数据采集分析、增值服务购买支付等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方支付平台的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。 （三）业务处理系统以学校内部集中结构模式，负责各学校教学环节的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集分析、业务处理逻辑的实现等。xx系统选用了阿里云提供的IAAS服务，核心业务区与外界网络互联的边界设备采用了阿里云的云防火墙（高级版），核心业务区部署

了x台阿里云ECS服务器，每台ECS服务器安装了云安全中心（企业版），xx系统使用阿里云的RDS数据库作为业务数据中心，同时配备了数据库审计（高级版），运维区部署了运维终端和日志审计服务，核心业务区的运维操作只能由该运维终端进行，日志审计服务可记录不少于6个月的原始操作日志供回溯分析。 二、xx系统安全保护等级的确定 （一）业务信息安全保护等级的确定 1、业务信息描述 xx公司是为国内学校提供智慧化教学解决方案的教育高科技企业，旗下的xx系统主要通过提供教学资源、测试习题、教学管理、在线课程等内容和工具满足学校教学核心需求，业务信息包含：用户信息（用户名、手机号码等）、学校班级信息、教学活动数据信息、在线课程信息、服务购买支付信息等。xx多

信息系统安全等级保护定级备案相关表格

附件1：《信息系统安全等级保护定级报告》模版 信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。 二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统 安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 —9 —

4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。 （二）系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 （三）安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较咼者决定，最终确定XXX系统安全保护等级为第几级。 —10 —

信息安全技术-信息系统安全等级保护实施指南

信息安全技术信息系统安全等级保护实施指南 前言 本标准的附录 A 是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：公安部信息安全等级保护评估中心。 本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、 刘静、罗峥。 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147 号令）、《国家信息化领导小 组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）、《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号）和《信息安全等级保护管理办法》（公通字[2007]43 号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；— — GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。 在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关 信息安全等级保护的标准开展工作。 在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的方法，确定信息系统安全保护等级。 在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照 GB17859-1999 、 GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。 GB17859-1999、 GB/T BBBB-BBBB、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB17859-1999是基础性标准， GB/T20269-2006、 GB/T20270-2006和 GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息 系统的最基本安全要求，是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T BBBB-BBBB出发，在保证信息系统满足基本安全要求的基础 上，逐步提高对信息系统的保护水平，最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006 等标准的要求。 除本标准和上述提到的标准外，在信息系统安全等级保护实施过程中，还可参照和使用 GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。 信息系统安全等级保护实施指南 1范围 本标准规定了信息系统安全等级保护实施的过程，适用于指导信息系统安全等级保护的实施。