等級保護工作如何做系統定級

確定信息系統安全保護等級的一般流程如下：

• 確定受侵害的客體

  定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。

  侵害國家安全的事項包括以下方面：影響國家政權穩固和國防實力；影響國家統一、民族團結和社會安定；影響國家對外活動中的政治、經濟利益；影響國家重要的安全保衛工作；影響國家經濟競爭力和科技實力；其他影響國家安全的事項。

  侵害社會秩序的事項包括以下方面：影響國家機關社會管理和公共服務的工作秩序；影響各種類型的經濟活動秩序；影響各行業的科研、生產秩序；影響公眾在法律約束和道德規范下的正常生活秩序等；其他影響社會秩序的事項。

  影響公共利益的事項包括以下方面：影響社會成員使用公共設施；影響社會成員獲取公開信息資源；影響社會成員接受公共服務等方面；其他影響公共利益的事項。

  影響公民、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。

  確定作為定級對象的信息系統受到破壞后所侵害的客體時，應首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權益。

  各行業可根據本行業業務特點，分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關系，從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。

• 確定對客體的侵害程度

  侵害的客觀方面。在客觀方面，對客體的侵害外在表現為對定級對象的破壞，其危害方式表現為對信息安全的破壞和對信息系統服務的破壞，其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等，系統服務安全是指確保信息系統可以及時、有效地提供服務，以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。

  信息安全和系統服務安全受到破壞后，可能產生以下危害后果：影響行使工作職能；導致業務能力下降；引起法律糾紛；導致財產損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。

• 綜合判定侵害程度

  侵害程度是客觀方面的不同外在表現的綜合體現，因此，應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍、用戶人數或業務量等不同方面確定，業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。

  在針對不同的受侵害客體進行侵害程度的判斷時，應參照以下不同的判別基準：

  如果受侵害客體是公民、法人或其他組織的合法權益，則以本人或本單位的總體利益作為判斷侵害程度的基準；

  如果受侵害客體是社會秩序、公共利益或國家安全，則應以整個行業或國家的總體利益作為判斷侵害程度的基準。

  不同危害后果的三種危害程度描述如下：

  一般損害：工作職能受到局部影響，業務能力有所降低但不影響主要功能的執行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害。

  嚴重損害：工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。

  特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業務能力嚴重下降且或功能無法執行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。

  信息安全和系統服務安全被破壞后對客體的侵害程度，由對不同危害結果的危害程度進行綜合評定得出。由于各行業信息系統所處理的信息種類和系統服務特點各不相同，信息安全和系統服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同，各行業可根據本行業信息特點和系統服務特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。

• 確定信息系統安全保護等級

  根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度，即可得到業務信息安全保護等級。

  

  作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。

回答所涉及的環境：聯想天逸510S、Windows 10。