GB/T ××××—××××全国信息安全标准化技术委员会××××-××-××实施××××-××-××发布信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system (报批稿)GB/T ×××××—××××中华人民共和国国家标准ICS 35.040L80De 331 GB/T XXXX – XXXX 目 次次目次I前言III引言IIII1范围112规范性性引用文文件13术语和和定义114定级原原理14.1信信息系统统安全保保护等级级14.2信信息系统统安全保保护等级级的定级级要素224.2..1受侵侵害的客客体24.2..2对客客体的侵侵害程度度24.3定定级要素素与等级级的关系系25定级方方法35.1定定级的一一般流程程35.2确确定定级级对象445.3确确定受侵侵害的客客体55.4确确定对客客体的侵侵害程度度65.4..1侵害害的客观观方面665.4..2综合合判定侵侵害程度度65.5确确定定级级对象的的安全保保护等级级76等级变变更8前 言本标准由由公安部部和全国信信息安全全标准化化技术委委员会提提出。
本标准由由全国信信息安全全标准化化技术委委员会归归口本标准起起草单位位:公安安部信息息安全等等级保护护评估中中心本标准主主要起草草人:任任卫红、曲曲洁、马马力、朱朱建平、李李明、李李升、谢谢朝海、毕毕马宁、陈陈雪秀引 言言依据《中中华人民民共和国国计算机机信息系系统安全全保护条条例》(国国务院1147号号令)、《国国家信息息化领导导小组关关于加强强信息安安全保障障工作的的意见》(中中办发[[20003]227号)、《关关于信息息安全等等级保护护工作的的实施意意见》(公公通字[[20004]666号)和和《信息息安全等等级保护护管理办办法》(公通字字[20007]]43号号),制定定本标准准本标准是是信息安安全等级级保护相相关系列列标准之之一与本标准准相关的的系列标标准包括括:——GBB/T BBBBBB--BBBBB信息息系统安安全等级级保护基基本要求求;——GBB/T CCCCCC--CCCCC信息息系统安安全等级级保护实实施指南南;——GBB/T DDDDDD--DDDDD信息息系统安安全等级级保护测测评准则则本标准依依据等级级保护相相关管理理文件,从从信息系系统所承承载的业业务在国国家安全全、经济济建设、社社会生活活中的重要要作用和和业务对对信息系系统的依依赖程度度这两方面面,提出出确定信信息系统统安全保保护等级级的方法法。
7信息系统统安全等级级保护定定级指南南1 范围本标准规规定了信信息系统统安全等等级保护护的定级方法法,适用于于为信息息系统安安全等级级保护的的定级工工作提供供指导2 规范性引引用文件件下列文件件中的条条款通过过在本标标准的引引用而成成为本标标准的条条款凡凡是注日日期的引引用文件件,其随随后所有有的修改改单(不不包括勘勘误的内内容)或或修订版版均不适适用于本本标准,然然而,鼓鼓励根据据本标准准达成协协议的各各方研究究是否使使用这些些文件的的最新版版本凡凡是不注注明日期期的引用用文件,其其最新版版本适用用于本标标准GB/TT 52271..8 信息技技术 词词汇 第第8部分分:安全全 GB1778599-19999 计计算机信信息系统统安全保保护等级级划分准准则3 术语和定定义GB/TT 52271..8和GGB1778599-19999确确立的以以及下列列术语和和定义适适用于本本标准3.1等级保护护对象 tarrgett off cllasssifiied seccuriity信息安全全等级保保护工作作直接作作用的具具体的信息和和信息系系统3.2客体obbjecct受法律保保护的、等级保保护对象象受到破破坏时所侵害的社社会关系系,如国家家安全、社社会秩序序、公共共利益以以及公民民、法人人或其他组组织的合合法权益益。
3.3客观方面面objjecttivee对客体造造成侵害害的客观观外在表表现,包包括侵害方式和和侵害结果果等3.4系统服务务 syysteemservvicee信息系统统为支撑撑其所承承载业务务而提供的程序化化过程4 定级原理理4.1 信息系统统安全保保护等级级根据等级级保护相相关管理理文件,信息系统的安全保护等级分为以下五级:第一级,信信息系统统受到破破坏后,会会对公民民、法人人和其他他组织的的合法权权益造成成损害,但但不损害害国家安安全、社社会秩序序和公共共利益第二级,信信息系统统受到破破坏后,会会对公民民、法人人和其他他组织的的合法权权益产生生严重损损害,或或者对社会会秩序和和公共利利益造成成损害,但但不损害害国家安安全第三级,信信息系统统受到破破坏后,会会对社会会秩序和和公共利利益造成成严重损损害,或或者对国家家安全造造成损害害 第四级,信信息系统统受到破破坏后,会会对社会会秩序和和公共利利益造成成特别严严重损害害,或者者对国家家安全造造成严重重损害第五级,信信息系统统受到破破坏后,会会对国家家安全造造成特别别严重损损害4.2 信息系统统安全保保护等级级的定级级要素信息系统统的安全全保护等等级由两两个定级级要素决决定:等级保保护对象象受到破破坏时所所侵害的的客体和对客体体造成侵侵害的程程度。
4.2.1 受侵害的的客体等级保护护对象受受到破坏坏时所侵侵害的客客体包括括以下三三个方面面:a) 公民、法法人和其其他组织织的合法法权益;;b) 社会秩序序、公共共利益;;c) 国家安全全4.2.2 对客体的的侵害程程度对客体的的侵害程程度由客客观方面面的不同同外在表表现综合合决定由由于对客客体的侵侵害是通通过对等等级保护护对象的的破坏实实现的,因此,对对客体的的侵害外外在表现现为对等等级保护护对象的的破坏,通通过危害害方式、危危害后果果和危害害程度加加以描述述等级保护护对象受受到破坏坏后对客客体造成成侵害的程度归结结为以下下三种::a) 造成一般般损害;b) 造成严重重损害;;c) 造成特别别严重损损害4.3 定级要素素与等级级的关系系定级要素素与信息息系统安安全保护护等级的的关系如如表1所所示表1 定定级要素素与安全全保护等等级的关关系受侵害的的客体对客体的的侵害程程度一般损害害严重损害害特别严重重损害公民、法法人和其其他组织织的合法法权益第一级第二级第二级社会秩序序、公共共利益第二级第三级第四级国家安全全第三级第四级第五级5 定级方法法5.1 定级的一一般流程程信息系统统安全包包括业务务信息安安全和系系统服务务安全,与与之相关关的受侵侵害客体体和对客客体的侵侵害程度度可能不不同,因因此,信信息系统统定级也也应由业务信信息安全全和系统统服务安安全两方方面确定定。
从业务信信息安全全角度反反映的信信息系统统安全保保护等级级称业务务信息安安全保护护等级从系统服服务安全全角度反反映的信信息系统统安全保保护等级级称系统统服务安安全保护护等级确定信息息系统安安全保护护等级的的一般流流程如下下:a) 确定作为为定级对对象的信信息系统统;b) 确定业务务信息安全全受到破破坏时所所侵害的的客体;;c) 根据不同同的受侵侵害客体体,从多多个方面面综合评评定业务务信息安安全被破破坏对客客体的侵侵害程度度;d) 依据表22,得到到业务信信息安全全保护等等级;e) 确定系统统服务安安全受到到破坏时时所侵害害的客体体;f) 根据不同同的受侵侵害客体体,从多多个方面面综合评评定系统统服务安安全被破破坏对客客体的侵侵害程度度;g) 依据表33,得到到系统服服务安全全保护等等级;h) 将业务信信息安全全保护等等级和系统服服务安全全保护等等级的较较高者确确定为定级对对象的安安全保护护等级上述步骤骤如图11确定等级级一般流流程所示示3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象图1确定定等级一般般流程5.2 确定定级级对象一个单位位内运行行的信息息系统可可能比较较庞大,为为了体现现重要部部分重点点保护,有有效控制制信息安安全建设设成本,优优化信息息安全资资源配置置的等级级保护原原则,可可将较大大的信息息系统划划分为若若干个较较小的、可可能具有有不同安安全保护护等级的的定级对对象。
作为定级级对象的的信息系系统应具具有如下下基本特特征:a) 具有唯一一确定的的安全责责任单位位作为定级级对象的的信息系系统应能能够唯一一地确定定其安全全责任单单位如如果一个个单位的的某个下下级单位位负责信信息系统统安全建建设、运运行维护护等过程程的全部部安全责责任,则则这个下下级单位位可以成成为信息息系统的的安全责责任单位位;如果果一个单单位中的的不同下下级单位位分别承承担信息息系统不不同方面面的安全全责任,则则该信息息系统的的安全责责任单位位应是这这些下级级单位共共同所属属的单位位b) 具有信息息系统的的基本要要素作为定级级对象的的信息系系统应该该是由相相关的和和配套的的设备、设设施按照照一定的的应用目目标和规规则组合合而成的的有形实实体应应避免将将某个单单一的系系统组件件,如服服务器、终终端、网网络设备备等作为为定级对对象c) 承载单一一或相对对独立的的业务应应用定级对象象承载“单一”的业务务应用是是指该业业务应用用的业务务流程独独立,且且与其他他业务应应用没有有数据交交换,且且独享所所有信息息处理设设备定定级对象象承载“相对独独立”的业务务应用是是指其业业务应用用的主要要业务流流程独立立,同时时与其他他业务应应用有少少量的数数据交换换,定级级对象可可能会与与其他业业务应用用共享一一些设备备,尤其其是网络络传输设设备。
5.3 确定受侵侵害的客客体定级对象象受到破破坏时所所侵害的的客体包包括国家家安全、社社会秩序序、公众众利益以以及公民民、法人人和其他他组织的的合法权权益侵害国家家安全的的事项包包括以下下方面::- 影响国家家政权稳稳固和国国防实力力;- 影响国家家统一、民民族团结结和社会会安定;;- 影响国家家对外活活动中的的政治、经经济利益益;- 影响国家家重要的的安全保保卫工作作;- 影响国家家经济竞竞争力和和科技实实力;- 其他影响响国家安安全的事事项侵害社会会秩序的的事项包包括以下下方面::- 影响国家家机关社社会管理理和公共共服务的的工作秩秩序;- 影响各种种类型的的经济活活动秩序序;- 影响各行行业的科科研、生生产秩序序;- 影响公众众在法律律约束和和道德规规范下的的正常生生活秩序序等;- 其他影响响社会秩秩序的事事项影响公共共利益的的事项包包括以下下方面::- 影响社会会成员使使用公共共设施;;- 影响社会会成员获获取公开开信息资资。