等级保护定级方法PPT.ppt

等级保护定级等级保护定级张张 兰兰主题主题定级工作的意义定级工作的意义定级工作的意义定级工作的意义定级的范围定级的范围定级的范围定级的范围信息系统五个安全等级信息系统五个安全等级信息系统五个安全等级信息系统五个安全等级定级要素及与安全保护等级的关系定级要素及与安全保护等级的关系定级要素及与安全保护等级的关系定级要素及与安全保护等级的关系定级一般流程定级一般流程定级一般流程定级一般流程定级的步骤定级的步骤定级的步骤定级的步骤定定定定级级工作的意工作的意工作的意工作的意义义此次定此次定此次定此次定级级工作的重要性工作的重要性工作的重要性工作的重要性此次定此次定此次定此次定级级工作的工作的工作的工作的强强制性制性制性制性此次定此次定此次定此次定级级工作的急迫性工作的急迫性工作的急迫性工作的急迫性此次定此次定此次定此次定级级的范的范的范的范围围（一）（一）（一）（一）电电信、广信、广信、广信、广电电行行行行业业的公用通信网、广播的公用通信网、广播的公用通信网、广播的公用通信网、广播电视传输电视传输网网网网等基等基等基等基础础信息网信息网信息网信息网络络，经营经营性公众互性公众互性公众互性公众互联联网信息服网信息服网信息服网信息服务单务单位、互位、互位、互位、互联联网接入服网接入服网接入服网接入服务单务单位、数据中心等位、数据中心等位、数据中心等位、数据中心等单单位的重要信息系位的重要信息系位的重要信息系位的重要信息系统统。（二）（二）（二）（二）铁铁路、路、路、路、银银行、海关、税行、海关、税行、海关、税行、海关、税务务、民航、民航、民航、民航、电电力、力、力、力、证证券、券、券、券、保保保保险险、外交、科技、外交、科技、外交、科技、外交、科技、发发展改革、国防科技、公安、人事展改革、国防科技、公安、人事展改革、国防科技、公安、人事展改革、国防科技、公安、人事劳动劳动和社会保障、和社会保障、和社会保障、和社会保障、财财政、政、政、政、审计审计、商、商、商、商务务、水利、国土、水利、国土、水利、国土、水利、国土资资源、源、源、源、能源、交通、文化、教育、能源、交通、文化、教育、能源、交通、文化、教育、能源、交通、文化、教育、统计统计、工商行政管理、工商行政管理、工商行政管理、工商行政管理、邮邮政政政政等行等行等行等行业业、部、部、部、部门门的生的生的生的生产产、调调度、管理、度、管理、度、管理、度、管理、办办公等重要信息系公等重要信息系公等重要信息系公等重要信息系统统。（三）市（地）（三）市（地）（三）市（地）（三）市（地）级级以上党政机关的重要网站和以上党政机关的重要网站和以上党政机关的重要网站和以上党政机关的重要网站和办办公信息公信息公信息公信息系系系系统统等。等。等。等。（四）涉及国家秘密的信息系（四）涉及国家秘密的信息系（四）涉及国家秘密的信息系（四）涉及国家秘密的信息系统统（以下（以下（以下（以下简简称称称称“涉密信息涉密信息涉密信息涉密信息系系系系统统”）。）。）。）。信息系信息系信息系信息系统统五个安全等五个安全等五个安全等五个安全等级级等级等级等级等级名称名称名称名称定义定义定义定义 监管方式监管方式监管方式监管方式第一级第一级自主保护级自主保护级息系统受到破坏后，会对公民、法息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公但不损害国家安全、社会秩序和公共利益。共利益。自主保护自主保护第二级第二级指导保护级指导保护级信息系统受到破坏后，会对公民、信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。益造成损害，但不损害国家安全。政府职能部门指导下政府职能部门指导下的自主保护的自主保护第三级第三级监督保护级监督保护级信息系统受到破坏后，会对社会秩信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者序和公共利益造成严重损害，或者对国家安全造成损害。对国家安全造成损害。政府职能部门监督下政府职能部门监督下的严格保护的严格保护第四级第四级强制保护级强制保护级信息系统受到破坏后，会对社会秩信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，序和公共利益造成特别严重损害，或者对国家安全造成严重损害。或者对国家安全造成严重损害。政府职能部门的强制政府职能部门的强制监督和检查下的严格监督和检查下的严格保护保护第五级第五级专控保护级专控保护级信息系统受到破坏后，会对国家安信息系统受到破坏后，会对国家安全造成特别严重损害。全造成特别严重损害。政府协助下由主管部政府协助下由主管部门和使用单位实施专门和使用单位实施专门控制和保护门控制和保护定定定定级级的要素的要素的要素的要素等级保护对象受到破坏时所侵害的客体和对客体等级保护对象受到破坏时所侵害的客体和对客体等级保护对象受到破坏时所侵害的客体和对客体等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。造成侵害的程度。造成侵害的程度。造成侵害的程度。等级保护对象受到破坏时所侵害的客体包括以下等级保护对象受到破坏时所侵害的客体包括以下等级保护对象受到破坏时所侵害的客体包括以下等级保护对象受到破坏时所侵害的客体包括以下三个方面：三个方面：三个方面：三个方面：公民、法人和其他组织的合法权益；公民、法人和其他组织的合法权益；公民、法人和其他组织的合法权益；公民、法人和其他组织的合法权益；社会秩序、公共利益；社会秩序、公共利益；社会秩序、公共利益；社会秩序、公共利益；国家安全。国家安全。国家安全。国家安全。等级保护对象受到破坏后对客体造成侵害的程度等级保护对象受到破坏后对客体造成侵害的程度等级保护对象受到破坏后对客体造成侵害的程度等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：归结为以下三种：归结为以下三种：归结为以下三种：造成一般损害；造成一般损害；造成一般损害；造成一般损害；造成严重损害；造成严重损害；造成严重损害；造成严重损害；造成特别严重损害。造成特别严重损害。造成特别严重损害。造成特别严重损害。定级要素与安全保护等级的关系定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定定定定级级一般流程一般流程一般流程一般流程确定作确定作确定作确定作为为定定定定级对级对象的信息系象的信息系象的信息系象的信息系统统；确定确定确定确定业务业务信息安全受到破坏信息安全受到破坏信息安全受到破坏信息安全受到破坏时时所侵害的客体；所侵害的客体；所侵害的客体；所侵害的客体；根据不同的受侵害客体，从多个方面根据不同的受侵害客体，从多个方面根据不同的受侵害客体，从多个方面根据不同的受侵害客体，从多个方面综综合合合合评评定定定定业务业务信息安全被破坏信息安全被破坏信息安全被破坏信息安全被破坏对对客体的侵害程度；客体的侵害程度；客体的侵害程度；客体的侵害程度；依据下表，得到依据下表，得到依据下表，得到依据下表，得到业务业务信息安全等信息安全等信息安全等信息安全等级级；业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定定定定级级一般流程一般流程一般流程一般流程确定系确定系确定系确定系统统服服服服务务安全受到破坏安全受到破坏安全受到破坏安全受到破坏时时所侵害的客体；所侵害的客体；所侵害的客体；所侵害的客体；根据不同的受侵害客体，从多个方面根据不同的受侵害客体，从多个方面根据不同的受侵害客体，从多个方面根据不同的受侵害客体，从多个方面综综合合合合评评定系定系定系定系统统服服服服务务安全被破安全被破安全被破安全被破坏坏坏坏对对客体的侵害程度；客体的侵害程度；客体的侵害程度；客体的侵害程度；依据下表，得到系依据下表，得到系依据下表，得到系依据下表，得到系统统服服服服务务安全等安全等安全等安全等级级；系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定定定定级级一般流程一般流程一般流程一般流程由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。步骤如图3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象定定定定级级的步的步的步的步骤骤定定定定级级的步的步的步的步骤骤信息系信息系信息系信息系统调查统调查信息系信息系信息系信息系统调查统调查工作通工作通工作通工作通过过全面客全面客全面客全面客观观的信息的信息的信息的信息资产调查资产调查表以核表以核表以核表以核查查和和和和访访谈谈的方式完成信息的方式完成信息的方式完成信息的方式完成信息资产调查资产调查工作，即通工作，即通工作，即通工作，即通过过信息系信息系信息系信息系统统的摸底的摸底的摸底的摸底调查调查，全面掌握信息系全面掌握信息系全面掌握信息系全面掌握信息系统统的数量、分布、的数量、分布、的数量、分布、的数量、分布、业务类业务类型、型、型、型、应应用或服用或服用或服用或服务务范范范范围围、系系系系统结统结构等基本情况。构等基本情况。构等基本情况。构等基本情况。定定定定级级的步的步的步的步骤骤定定定定级对级对象分析象分析象分析象分析定定定定级对级对象分析根据信息系象分析根据信息系象分析根据信息系象分析根据信息系统调查结统调查结果和果和果和果和访谈结访谈结果，分析信息系果，分析信息系果，分析信息系果，分析信息系统统管理管理管理管理组织组织机构、机构、机构、机构、业务应业务应用、物理位置和运行用、物理位置和运行用、物理位置和运行用、物理位置和运行环环境等因素，基境等因素，基境等因素，基境等因素，基于科学的系于科学的系于科学的系于科学的系统统拆分原拆分原拆分原拆分原则则明确定明确定明确定明确定级对级对象。象。象。象。信息系信息系信息系信息系统统定定定定级级定定定定级对级对象象象象一个一个一个一个单单位内运行的信息系位内运行的信息系位内运行的信息系位内运行的信息系统统可能比可能比可能比可能比较庞较庞大，大，大，大，为为了了了了体体体体现现重要部分重点保重要部分重点保重要部分重点保重要部分重点保护护，有效控制信息安全建，有效控制信息安全建，有效控制信息安全建，有效控制信息安全建设设成本，成本，成本，成本，优优化信息安全化信息安全化信息安全化信息安全资资源配置的等源配置的等源配置的等源配置的等级级保保保保护护原原原原则则，可将可将可将可将较较大的信息系大的信息系大的信息系大的信息系统统划分划分划分划分为为若干个若干个若干个若干个较较小的、可能小的、可能小的、可能小的、可能具有不同安全保具有不同安全保具有不同安全保具有不同安全保护护等等等等级级的定的定的定的定级对级对象。象。象。象。作作作作为为定定定定级对级对象的信息系象的信息系象的信息系象的信息系统应统应具有如下基本特征：具有如下基本特征：具有如下基本特征：具有如下基本特征：具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全责责任任任任单单位位位位 具有信息系具有信息系具有信息系具有信息系统统的基本要素的基本要素的基本要素的基本要素 承承承承载单载单一或相一或相一或相一或相对对独立的独立的独立的独立的业务应业务应用用用用信息系信息系信息系信息系统统定定定定级级定定定定级对级对象象象象具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全责责任任任任单单位位位位 作作作作为为定定定定级对级对象的信息系象的信息系象的信息系象的信息系统应统应能能能能够够唯一地确定其安唯一地确定其安唯一地确定其安唯一地确定其安全全全全责责任任任任单单位。如果一个位。如果一个位。如果一个位。如果一个单单位的某个下位的某个下位的某个下位的某个下级单级单位位位位负责负责信息系信息系信息系信息系统统安全建安全建安全建安全建设设、运行、运行、运行、运行维护维护等等等等过过程的全部安全程的全部安全程的全部安全程的全部安全责责任，任，任，任，则这则这个下个下个下个下级单级单位可以成位可以成位可以成位可以成为为信息系信息系信息系信息系统统的安全的安全的安全的安全责责任任任任单单位；如果一个位；如果一个位；如果一个位；如果一个单单位中的不同下位中的不同下位中的不同下位中的不同下级单级单位分位分位分位分别别承担信息系承担信息系承担信息系承担信息系统统不同方面的安全不同方面的安全不同方面的安全不同方面的安全责责任，任，任，任，则该则该信息系信息系信息系信息系统统的安全的安全的安全的安全责责任任任任单单位位位位应应是是是是这这些下些下些下些下级单级单位共同所属的位共同所属的位共同所属的位共同所属的单单位。位。位。位。信息系信息系信息系信息系统统定定定定级级定定定定级对级对象象象象具有信息系具有信息系具有信息系具有信息系统统的基本要素的基本要素的基本要素的基本要素 作作作作为为定定定定级对级对象的信息系象的信息系象的信息系象的信息系统应该统应该是由相关的和配套是由相关的和配套是由相关的和配套是由相关的和配套的的的的设备设备、设设施按照一定的施按照一定的施按照一定的施按照一定的应应用目用目用目用目标标和和和和规则组规则组合而合而合而合而成的有形成的有形成的有形成的有形实实体。体。体。体。应应避免将某个避免将某个避免将某个避免将某个单单一的系一的系一的系一的系统组统组件，件，件，件，如服如服如服如服务务器、器、器、器、终终端、网端、网端、网端、网络设备络设备等作等作等作等作为为定定定定级对级对象。象。象。象。信息系信息系信息系信息系统统定定定定级级定定定定级对级对象象象象承承承承载单载单一或相一或相一或相一或相对对独立的独立的独立的独立的业务应业务应用用用用 定定定定级对级对象承象承象承象承载载“单单一一一一”的的的的业务应业务应用是指用是指用是指用是指该业务应该业务应用用用用的的的的业务业务流程独立，且与其他流程独立，且与其他流程独立，且与其他流程独立，且与其他业务应业务应用没有数据交用没有数据交用没有数据交用没有数据交换换，且独享所有信息，且独享所有信息，且独享所有信息，且独享所有信息处处理理理理设备设备。定。定。定。定级对级对象承象承象承象承载载“相相相相对对独立独立独立独立”的的的的业务应业务应用是指其用是指其用是指其用是指其业务应业务应用的主要用的主要用的主要用的主要业业务务流程独立，同流程独立，同流程独立，同流程独立，同时时与其他与其他与其他与其他业务应业务应用有少量的数据用有少量的数据用有少量的数据用有少量的数据交交交交换换，定，定，定，定级对级对象可能会与其他象可能会与其他象可能会与其他象可能会与其他业务应业务应用共享一些用共享一些用共享一些用共享一些设备设备，尤其是网，尤其是网，尤其是网，尤其是网络传输设备络传输设备。信息系信息系信息系信息系统统定定定定级级定定定定级对级对象象象象 如果信息系统只承载一项业务只承载一项业务，可以直接为该信息系统确定等级，不不必划分业务子系统必划分业务子系统。如果信息系统承载多项业务承载多项业务，应根据各项业务的性质和特点性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。确定定确定定确定定确定定级对级对象的关象的关象的关象的关键键因素？因素？因素？因素？关键因素是责任主体，即一定要明确责任主体，不属于自己负责的不要定级。多责任主体就需要将定级对象细分，一定要有具体明确的责任主体。建议对于省部级信息网络，在政府大院的由部、省级信息主管确定即可，大院之外，具体分析再定。跨省的统一性信息系统，如果地方只有应用而没有开发、维护等，由部统一定级即可。定定定定级级的步的步的步的步骤骤定定定定级级要素分析要素分析要素分析要素分析定定定定级级要素：信息系要素：信息系要素：信息系要素：信息系统统的安全保的安全保的安全保的安全保护护等等等等级级由两个定由两个定由两个定由两个定级级要素决定：等要素决定：等要素决定：等要素决定：等级级保保保保护对护对象受到破坏象受到破坏象受到破坏象受到破坏时时所侵害所侵害所侵害所侵害的客体和的客体和的客体和的客体和对对客体造成侵害的程度。客体造成侵害的程度。客体造成侵害的程度。客体造成侵害的程度。分析工具：安全定分析工具：安全定分析工具：安全定分析工具：安全定级级知知知知识库识库。分析方法：定分析方法：定分析方法：定分析方法：定级级要素分析要素分析要素分析要素分析时时需分需分需分需分别对业务别对业务信息信息信息信息安全等安全等安全等安全等级级和系和系和系和系统统服服服服务务安全等安全等安全等安全等级进级进行分析，分析行分析，分析行分析，分析行分析，分析内容包括确定受侵害的客体、确定内容包括确定受侵害的客体、确定内容包括确定受侵害的客体、确定内容包括确定受侵害的客体、确定对对客体的侵客体的侵客体的侵客体的侵害程度，从而确定相害程度，从而确定相害程度，从而确定相害程度，从而确定相应应的的的的业务业务信息安全等信息安全等信息安全等信息安全等级级和和和和系系系系统统服服服服务务安全等安全等安全等安全等级级。最后，。最后，。最后，。最后，综综合合合合业务业务信息安全信息安全信息安全信息安全等等等等级级和系和系和系和系统统服服服服务务安全等安全等安全等安全等级级得到信息系得到信息系得到信息系得到信息系统统安全等安全等安全等安全等级级保保保保护护系系系系统统等等等等级级。确定受侵害的客体确定受侵害的客体确定受侵害的客体确定受侵害的客体定定定定级对级对象受到破坏象受到破坏象受到破坏象受到破坏时时所侵害的客体包括国家安全、所侵害的客体包括国家安全、所侵害的客体包括国家安全、所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他社会秩序、公众利益以及公民、法人和其他社会秩序、公众利益以及公民、法人和其他社会秩序、公众利益以及公民、法人和其他组织组织的合法的合法的合法的合法权权益。益。益。益。侵害国家安全的事侵害国家安全的事侵害国家安全的事侵害国家安全的事项项包括以下方面：包括以下方面：包括以下方面：包括以下方面：影响国家政影响国家政影响国家政影响国家政权稳权稳固和国防固和国防固和国防固和国防实实力；力；力；力；影响国家影响国家影响国家影响国家统统一、民族一、民族一、民族一、民族团结团结和社会安定；和社会安定；和社会安定；和社会安定；影响国家影响国家影响国家影响国家对对外活外活外活外活动动中的政治、中的政治、中的政治、中的政治、经济经济利益；利益；利益；利益；影响国家重要的安全保影响国家重要的安全保影响国家重要的安全保影响国家重要的安全保卫卫工作；工作；工作；工作；影响国家影响国家影响国家影响国家经济竞经济竞争力和科技争力和科技争力和科技争力和科技实实力；力；力；力；其他影响国家安全的事其他影响国家安全的事其他影响国家安全的事其他影响国家安全的事项项。确定受侵害的客体确定受侵害的客体确定受侵害的客体确定受侵害的客体侵害社会秩序的事侵害社会秩序的事侵害社会秩序的事侵害社会秩序的事项项包括以下方面：包括以下方面：包括以下方面：包括以下方面：影响国家机关社会管理和公共服影响国家机关社会管理和公共服影响国家机关社会管理和公共服影响国家机关社会管理和公共服务务的工作秩序；的工作秩序；的工作秩序；的工作秩序；影响各种影响各种影响各种影响各种类类型的型的型的型的经济经济活活活活动动秩序；秩序；秩序；秩序；影响各行影响各行影响各行影响各行业业的科研、生的科研、生的科研、生的科研、生产产秩序；秩序；秩序；秩序；影响公众在法律影响公众在法律影响公众在法律影响公众在法律约约束和道德束和道德束和道德束和道德规规范下的正常生活秩范下的正常生活秩范下的正常生活秩范下的正常生活秩序等；序等；序等；序等；其他影响社会秩序的事其他影响社会秩序的事其他影响社会秩序的事其他影响社会秩序的事项项。确定受侵害的客体确定受侵害的客体确定受侵害的客体确定受侵害的客体影响公共利益的事影响公共利益的事影响公共利益的事影响公共利益的事项项包括以下方面：包括以下方面：包括以下方面：包括以下方面：影响社会成影响社会成影响社会成影响社会成员员使用公共使用公共使用公共使用公共设设施；施；施；施；影响社会成影响社会成影响社会成影响社会成员获员获取公开信息取公开信息取公开信息取公开信息资资源；源；源；源；影响社会成影响社会成影响社会成影响社会成员员接受公共服接受公共服接受公共服接受公共服务务等方面；等方面；等方面；等方面；其他影响公共利益的事其他影响公共利益的事其他影响公共利益的事其他影响公共利益的事项项。确定受侵害的客体确定受侵害的客体确定受侵害的客体确定受侵害的客体影响公民、法人和其他影响公民、法人和其他影响公民、法人和其他影响公民、法人和其他组织组织的合法的合法的合法的合法权权益是指由法益是指由法益是指由法益是指由法律确律确律确律确认认的并受法律保的并受法律保的并受法律保的并受法律保护护的公民、法人和其他的公民、法人和其他的公民、法人和其他的公民、法人和其他组织组织所享有的一定的社会所享有的一定的社会所享有的一定的社会所享有的一定的社会权权利和利益。利和利益。利和利益。利和利益。确定作确定作确定作确定作为为定定定定级对级对象的信息系象的信息系象的信息系象的信息系统统受到破坏后所侵害受到破坏后所侵害受到破坏后所侵害受到破坏后所侵害的客体的客体的客体的客体时时，应应首先判断是否侵害国家安全，然后首先判断是否侵害国家安全，然后首先判断是否侵害国家安全，然后首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是判断是否侵害社会秩序或公众利益，最后判断是判断是否侵害社会秩序或公众利益，最后判断是判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他否侵害公民、法人和其他否侵害公民、法人和其他否侵害公民、法人和其他组织组织的合法的合法的合法的合法权权益。益。益。益。各行各行各行各行业业可根据本行可根据本行可根据本行可根据本行业业务业业务特点，分析各特点，分析各特点，分析各特点，分析各类类信息和信息和信息和信息和各各各各类类信息系信息系信息系信息系统统与国家安全、社会秩序、公共利益与国家安全、社会秩序、公共利益与国家安全、社会秩序、公共利益与国家安全、社会秩序、公共利益以及公民、法人和其他以及公民、法人和其他以及公民、法人和其他以及公民、法人和其他组织组织的合法的合法的合法的合法权权益的关系，益的关系，益的关系，益的关系，从而确定本行从而确定本行从而确定本行从而确定本行业业各各各各类类信息和各信息和各信息和各信息和各类类信息系信息系信息系信息系统统受到破受到破受到破受到破坏坏坏坏时时所侵害的客体。所侵害的客体。所侵害的客体。所侵害的客体。确定确定确定确定对对客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度侵害的客侵害的客侵害的客侵害的客观观方面方面方面方面 在客在客在客在客观观方面，方面，方面，方面，对对客体的侵害外在表客体的侵害外在表客体的侵害外在表客体的侵害外在表现为对现为对定定定定级对级对象的破坏，其危害方式表象的破坏，其危害方式表象的破坏，其危害方式表象的破坏，其危害方式表现为对现为对信息安全的破坏信息安全的破坏信息安全的破坏信息安全的破坏和和和和对对信息系信息系信息系信息系统统服服服服务务的破坏，其中信息安全是指确的破坏，其中信息安全是指确的破坏，其中信息安全是指确的破坏，其中信息安全是指确保信息系保信息系保信息系保信息系统统内信息的保密性、完整性和可用性等，内信息的保密性、完整性和可用性等，内信息的保密性、完整性和可用性等，内信息的保密性、完整性和可用性等，系系系系统统服服服服务务安全是指确保信息系安全是指确保信息系安全是指确保信息系安全是指确保信息系统统可以及可以及可以及可以及时时、有效、有效、有效、有效地提供服地提供服地提供服地提供服务务，以完成，以完成，以完成，以完成预预定的定的定的定的业务业务目目目目标标。由于。由于。由于。由于业务业务信息安全和系信息安全和系信息安全和系信息安全和系统统服服服服务务安全受到破坏所侵害的客体安全受到破坏所侵害的客体安全受到破坏所侵害的客体安全受到破坏所侵害的客体和和和和对对客体的侵害程度可能会有所不同，在定客体的侵害程度可能会有所不同，在定客体的侵害程度可能会有所不同，在定客体的侵害程度可能会有所不同，在定级过级过程中，需要分程中，需要分程中，需要分程中，需要分别处别处理理理理这这两种危害方式。两种危害方式。两种危害方式。两种危害方式。确定确定确定确定对对客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度信息安全和系信息安全和系信息安全和系信息安全和系统统服服服服务务安全受到破坏后，可能安全受到破坏后，可能安全受到破坏后，可能安全受到破坏后，可能产产生生生生以下危害后果：以下危害后果：以下危害后果：以下危害后果：影响行使工作影响行使工作影响行使工作影响行使工作职职能；能；能；能；导导致致致致业务业务能力下降；能力下降；能力下降；能力下降；引起法律引起法律引起法律引起法律纠纷纠纷；导导致致致致财务损财务损失；失；失；失；造成社会不良影响；造成社会不良影响；造成社会不良影响；造成社会不良影响；对对其他其他其他其他组织组织和个人造成和个人造成和个人造成和个人造成损损失；失；失；失；其他影响。其他影响。其他影响。其他影响。综综合判定侵害程度合判定侵害程度合判定侵害程度合判定侵害程度信息安全和系信息安全和系信息安全和系信息安全和系统统服服服服务务安全受到破坏后，可能安全受到破坏后，可能安全受到破坏后，可能安全受到破坏后，可能产产生以生以生以生以下危害后果：下危害后果：下危害后果：下危害后果：侵侵侵侵害害害害程程程程度度度度是是是是客客客客观观方方方方面面面面的的的的不不不不同同同同外外外外在在在在表表表表现现的的的的综综合合合合体体体体现现，因因因因此此此此，应应首首首首先先先先根根根根据据据据不不不不同同同同的的的的受受受受侵侵侵侵害害害害客客客客体体体体、不不不不同同同同危危危危害害害害后后后后果果果果分分分分别别确确确确定定定定其其其其危危危危害害害害程程程程度度度度。对对不不不不同同同同危危危危害害害害后后后后果果果果确确确确定定定定其其其其危危危危害害害害程程程程度度度度所所所所采采采采取取取取的的的的方方方方法法法法和和和和所所所所考考考考虑虑的的的的角角角角度度度度可可可可能能能能不不不不同同同同，例例例例如如如如系系系系统统服服服服务务安安安安全全全全被被被被破破破破坏坏坏坏导导致致致致业业务务能能能能力力力力下下下下降降降降的的的的程程程程度度度度可可可可以以以以从从从从信信信信息息息息系系系系统统服服服服务务覆覆覆覆盖盖盖盖的的的的区区区区域域域域范范范范围围、用用用用户户人人人人数数数数或或或或业业务务量量量量等等等等不不不不同同同同方方方方面面面面确确确确定定定定，业业务务信信信信息息息息安安安安全全全全被被被被破破破破坏坏坏坏导导致致致致的的的的财财物物物物损损失失失失可可可可以以以以从从从从直直直直接接接接的的的的资资金金金金损损失失失失大大大大小小小小、间间接接接接的的的的信信信信息息息息恢恢恢恢复复复复费费用等方面用等方面用等方面用等方面进进行确定。行确定。行确定。行确定。综综合判定侵害程度合判定侵害程度合判定侵害程度合判定侵害程度在在在在针对针对不同的受侵害客体不同的受侵害客体不同的受侵害客体不同的受侵害客体进进行侵害程度的判断行侵害程度的判断行侵害程度的判断行侵害程度的判断时时，应应参照以下不同的判参照以下不同的判参照以下不同的判参照以下不同的判别别基准：基准：基准：基准：如果受侵害客体是公民、法人或其他如果受侵害客体是公民、法人或其他如果受侵害客体是公民、法人或其他如果受侵害客体是公民、法人或其他组织组织的合法的合法的合法的合法权权益，益，益，益，则则以本人或本以本人或本以本人或本以本人或本单单位的位的位的位的总总体利益作体利益作体利益作体利益作为为判断侵害程判断侵害程判断侵害程判断侵害程度的基准；度的基准；度的基准；度的基准；如果受侵害客体是社会秩序、公共利益或国家安全，如果受侵害客体是社会秩序、公共利益或国家安全，如果受侵害客体是社会秩序、公共利益或国家安全，如果受侵害客体是社会秩序、公共利益或国家安全，则应则应以整个行以整个行以整个行以整个行业业或国家的或国家的或国家的或国家的总总体利益作体利益作体利益作体利益作为为判断侵害程判断侵害程判断侵害程判断侵害程度的基准。度的基准。度的基准。度的基准。综综合判定侵害程度合判定侵害程度合判定侵害程度合判定侵害程度不同危害后果的三种危害程度描述如下：不同危害后果的三种危害程度描述如下：不同危害后果的三种危害程度描述如下：不同危害后果的三种危害程度描述如下：一般一般损损害：工作害：工作职职能受到局部影响，能受到局部影响，业务业务能力有所降低但不能力有所降低但不影响主要功能的影响主要功能的执执行，出行，出现较轻现较轻的法律的法律问题问题，较较低的低的资产损资产损失，有限的社会不良影响，失，有限的社会不良影响，对对其他其他组织组织和个人造成和个人造成较较低低损损害。害。严严重重损损害：工作害：工作职职能受到能受到严严重影响，重影响，业务业务能力能力显显著下降且著下降且严严重影响主要功能重影响主要功能执执行，出行，出现较严现较严重的法律重的法律问题问题，较较高的高的资产资产损损失，失，较较大范大范围围的社会不良影响，的社会不良影响，对对其他其他组织组织和个人造成和个人造成较较严严重重损损害。害。特特别严别严重重损损害：工作害：工作职职能受到特能受到特别严别严重影响或重影响或丧丧失行使能力，失行使能力，业务业务能力能力严严重下降且或功能无法重下降且或功能无法执执行，出行，出现现极其极其严严重的法律重的法律问题问题，极高的，极高的资产损资产损失，大范失，大范围围的社会不良影响，的社会不良影响，对对其他其他组组织织和个人造成非常和个人造成非常严严重重损损害。害。综综合判定侵害程度合判定侵害程度合判定侵害程度合判定侵害程度 信信息息安安全全和和系系统统服服务务安安全全被被破破坏坏后后对对客客体体的的侵侵害害程程度度，由由对对不不同同危危害害结结果果的的危危害害程程度度进进行行综综合合评评定定得得出出。由由于于各各行行业业信信息息系系统统所所处处理理的的信信息息种种类类和和系系统统服服务务特特点点各各不不相相同同，信信息息安安全全和和系系统统服服务务安安全全受受到到破破坏坏后后关关注注的的危危害害结结果果、危危害害程程度度的的计计算算方方式式均均可可能能不不同同，各各行行业业可可根根据据本本行行业业信信息息特特点点和和系系统统服服务务特特点点，制制定定危危害害程程度度的的综综合合评评定定方方法法，并并给给出出侵侵害害不不同同客客体体造造成成损损害害、严严重重损损害害、特特别别严严重重损损害的具体定害的具体定义义。综综合判定侵害程度合判定侵害程度合判定侵害程度合判定侵害程度 信信息息安安全全和和系系统统服服务务安安全全被被破破坏坏后后对对客客体体的的侵侵害害程程度度，由由对对不不同同危危害害结结果果的的危危害害程程度度进进行行综综合合评评定定得得出出。由由于于各各行行业业信信息息系系统统所所处处理理的的信信息息种种类类和和系系统统服服务务特特点点各各不不相相同同，信信息息安安全全和和系系统统服服务务安安全全受受到到破破坏坏后后关关注注的的危危害害结结果果、危危害害程程度度的的计计算算方方式式均均可可能能不不同同，各各行行业业可可根根据据本本行行业业信信息息特特点点和和系系统统服服务务特特点点，制制定定危危害害程程度度的的综综合合评评定定方方法法，并并给给出出侵侵害害不不同同客客体体造造成成损损害害、严严重重损损害害、特特别别严严重重损损害的具体定害的具体定义义。对对于定于定于定于定级级的具体建的具体建的具体建的具体建议议部省部省部省部省级级系系系系统统不要低于不要低于不要低于不要低于3 3级级，而且定，而且定，而且定，而且定级级不是要全部定不是要全部定不是要全部定不是要全部定级级，只是只是只是只是对对重要信息系重要信息系重要信息系重要信息系统统定定定定级级。定定定定级级的步的步的步的步骤骤撰写定撰写定撰写定撰写定级报级报告告告告具体根据定具体根据定具体根据定具体根据定级过级过程和定程和定程和定程和定级结级结果，通果，通果，通果，通过过相相相相应应模版模版模版模版(见见附件附件附件附件)撰写撰写撰写撰写满满足行足行足行足行业业要求、信息系要求、信息系要求、信息系要求、信息系统统使用使用使用使用单单位要求以及公安要求的初步信息位要求以及公安要求的初步信息位要求以及公安要求的初步信息位要求以及公安要求的初步信息系系系系统统定定定定级报级报告。告。告。告。经验经验丰富的丰富的丰富的丰富的单单位位位位积积累了安全定累了安全定累了安全定累了安全定级级知知知知识库识库,库库的定的定的定的定级报级报告模版告模版告模版告模版库库中中中中积积累了大量行累了大量行累了大量行累了大量行业业、业务业务系系系系统统的定的定的定的定级报级报告模版，告模版，告模版，告模版，信息系信息系信息系信息系统统安全等安全等安全等安全等级级保保保保护护定定定定级报级报告告告告一、一、一、一、XXXXXX信息系信息系信息系信息系统统描述描述描述描述 简简述确定述确定述确定述确定该该系系系系统为统为定定定定级对级对象的理由。从三方面象的理由。从三方面象的理由。从三方面象的理由。从三方面进进行行行行说说明：明：明：明：一是描述承担信息系一是描述承担信息系一是描述承担信息系一是描述承担信息系统统安全安全安全安全责责任的相关任的相关任的相关任的相关单单位或部位或部位或部位或部门门，说说明明明明本本本本单单位或部位或部位或部位或部门对门对信息系信息系信息系信息系统统具有信息安全保具有信息安全保具有信息安全保具有信息安全保护责护责任，任，任，任，该该信息信息信息信息系系系系统为统为本本本本单单位或部位或部位或部位或部门门的定的定的定的定级对级对象；二是象；二是象；二是象；二是该该定定定定级对级对象是否具象是否具象是否具象是否具有信息系有信息系有信息系有信息系统统的基本要素，描述基本要素、系的基本要素，描述基本要素、系的基本要素，描述基本要素、系的基本要素，描述基本要素、系统统网网网网络结络结构、构、构、构、系系系系统边统边界和界和界和界和边边界界界界设备设备；三是；三是；三是；三是该该定定定定级对级对象是否承象是否承象是否承象是否承载载着着着着单单一或一或一或一或相相相相对对独立的独立的独立的独立的业务业务，业务业务情况描述。情况描述。情况描述。情况描述。信息系信息系信息系信息系统统安全等安全等安全等安全等级级保保保保护护定定定定级报级报告告告告二二二二、XXXXXX信信信信息息息息系系系系统统安安安安全全全全保保保保护护等等等等级级确确确确定定定定（定定定定级级方方方方法法法法参参参参见见国国国国家家家家标标准准准准信信信信息息息息系系系系统统安安安安全全全全等等等等级级保保保保护护定定定定级级指指指指南南南南 （一）（一）业务业务信息安全保信息安全保护护等等级级的确定的确定1 1、业务业务信息描述信息描述描述信息系描述信息系统处统处理的主要理的主要业务业务信息等。信息等。2 2、业务业务信息受到破坏信息受到破坏时时所侵害