文档介绍：附件2
信息系统安全保护等级定级指南
（试用稿）
公安部
二00五年十二月
—10—
范围12
术语和定义12
业务信息(BusinessInformation)12
业务信息安全性(SecurityofBusin统的重要性由以下要素决定：
1）信息系统所属类型，即信息系统资产的安全利益主体。
2）信息系统主要处理的业务信息类别。
3）信息系统服务范围，包括服务对象和服务网络覆盖范围。
4）业务对信息系统的依赖程度。
其中第1、2个要素决定信息系统内信息资产的重要性，第3、4个要素决定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。
定级要素赋值
信息系统所属类型及赋值
信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度，根据
社会影响高低，典型的信息系统所属类型、赋值及其社会影响如表1所示。
表1信息系统所属类型赋值表
信息系统所属类型举例
赋值
信息系统的社会影响
属于一般企事业单位，处理其内部事务的信息
系统。
1
信息系统资产受到破坏会对本单位利
益有直接影响。
属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统，或本身虽属一般企事业单位，但为党政或重要信息系统提供支撑服务的信息系统。
2
信息系统资产受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响。
属于党政机关，处理国家事务的信息系统。
3
信息系统资产受到破坏会对国家安全
利益有直接影响。
业务信息类型及赋值
根据信息系统中业务信息机密性、完整性或可用性被破坏后，对国家安全利益、经济建设、
公共利益或单位利益的影响程度，典型的业务信息类型、赋值及其安全影响如表2所示。
表2业务信息类型赋值表
业务信息类型举例
赋值
业务信息的安全影响
可以对外公开发布的信息，或不对外发布的单位内部一般信息。
1
业务信息机密性、完整庄或可用性被破
坏会对公共利益或本单位经济利益造
成止损害。
法人和其他组织及公民的专有信息，例如内部敏感信息、关键技术数据、科技情报、商业秘密等。
2
业务信息机密性、完整庄或可用性被破坏会对公共利益或本单位经济利益造成严重损害。
涉及国家安全利益，影响国家经济建设的信息。
3
业务信息机密性、完整庄或可用性被破
坏对国家安全利益和国家经济建设造
成损害。

根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务造成的社会影
响范围大小，典型的信息系统服务范围、赋值和相关影响如表3所示。
表3信息系统服务范围赋值表
信息系统服务范围举例
赋值
服务范围的影响
地区范围的服务网络。
1
信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。
省级范围的服务网络。
2
信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。
全国范围的服务网络。
3
信息系统因无法提供服务或无法提供有效服务会对
全国范围的资产造成损害。
业务依赖程度赋值
根据信息系统因完整性和可用性受到破坏，无法提供服务或无法提供有效服务对单位完成其
使命的最大影响程度，典型的业务依赖程度、赋值及相关影响如表4所示。
表4业务依赖程度赋值表
业务依赖程度举例
赋值
业务系统影响
业务处理流程的大部分可以通过手工方式
或其他方式完成，自动化程度低。
1
信息系统无法提供服务或无法提供有效服
务对单位完成其业务使命影口向较小。
业务处埋流程的部分环节可以通过手工方式或其他方式替代完成，自动化程度中。
2
信息系统无法提供服务或无法提供有效服
务对单位完成其业务使命影口向较大。
业务处理流程完全依赖信息系统，手工方
式无法完成，自动化程度高。
3
信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。
5确定信息系统安全保护等级的步骤
为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在4个定级要素方面的
赋值，然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根
据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级，最后由信息系统内
各业务子系统的最高等级确定信息系统的安全保护等级。
具体步骤如图1所示。
图1等级确定图示
图1确定信息系统系统保护等级的步骤具体描述如下：
1）参照421、422、、业务信息类型、信息系统服务范围和业务依赖程度赋值；
2）