1、前言本標(biāo)準(zhǔn)由公安部和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：公安部信息安全等級(jí)保護(hù)評(píng)估中心。本標(biāo)準(zhǔn)主要起草人：任衛(wèi)紅、曲潔、馬力、朱建平、李明、李升、謝朝海、畢馬寧、陳雪秀。引言依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]

2、66號(hào)）和《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：——GBTBBBBBBBBB信息系統(tǒng)安全等級(jí)保護(hù)基本要求；——GBTCCCCCCCCC信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南；——GBTDDDDDDDDD信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則。本標(biāo)準(zhǔn)依據(jù)等級(jí)保護(hù)相關(guān)管理文件，從信息系統(tǒng)所承載的業(yè)務(wù)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要作用和業(yè)務(wù)對(duì)信息系統(tǒng)的依

3、賴程度這兩方面，提出確定信息系統(tǒng)安全保護(hù)等級(jí)的方法。信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)方法，適用于為信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)工作提供指導(dǎo)。2規(guī)范性引用文件下列文件中的條款通過(guò)在本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用

4、于本標(biāo)準(zhǔn)。GBT5271.8信息技術(shù)詞匯第8部分：安全GB178591999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則3術(shù)語(yǔ)和定義GBT5271.8和GB178591999確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1等級(jí)保護(hù)對(duì)象targetofclassifiedsecurity信息安全等級(jí)保護(hù)工作直接作用的具體的信息和信息系統(tǒng)。3.2表1定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的

5、合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)5定級(jí)方法5.1定級(jí)的一般流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流

6、程如下：a)確定作為定級(jí)對(duì)象的信息系統(tǒng)；b)確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體；c)根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度；d)依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級(jí)；e)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體；f)根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度；g)依據(jù)表3，得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)；h)將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的

7、安全保護(hù)等級(jí)。上述步驟如圖1確定等級(jí)一般流程所示。圖1確定等級(jí)一般流程5.2確定定級(jí)對(duì)象一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級(jí)保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：a)具有唯一確定的安全責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位