@贝壳儿
3年前 提问
1个回答

简述如何确定一个信息系统的安全保护等级

安全小白成长记
3年前

确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。

侵害国家安全的事项包括以下方面

  • 影响国家政权稳固和国防实力

  • 影响国家统一、民族团结和社会安定

  • 影响国家重要的安全保卫工作

  • 影响国家经济竞争力和科技实力

  • 其他影响国家的事项

侵害社会秩序的事项包括以下方面

  • 影响国家机关社会管理和公共服务的工作秩序

  • 影响各种类型的经济活动秩序

  • 影响各行业的科研、生产秩序

  • 影响公众在法律约束和道德规范下的正常生活秩序等

  • 其他影响社会秩序的事项

影响公共利益的事项包括以下方面

  • 影响社会成员使用公共设施

  • 影响社会成员获取公开信息资源

  • 影响社会成员接受公共服务等方面

  • 其他影响公共利益的事项

影响公民、法人和其他组织的合法权益是指

  • 由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益

信息安全和系统服务安全受到破坏后,可能产生以下危害后果:

  • 影响行使工作职能

  • 导致业务能力下降

  • 引起法律纠纷

  • 导致财务损失

  • 造成社会不良影响

  • 对其他组织和个人造成损失

  • 其他影响

综合判定侵害程度

系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数、业务量、业务性质等不同方面确定。

业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

不同危害后果的三种危害程度描述如下:

一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。

严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。

特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。

作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后,起草《信息系统安全保护等级定级报告》。