GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南




定级分五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害

两个定级要素:

       等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度


等级保护对象受到破坏时所侵害的客体包括3个方面:

    公民、法人和其他组织的合法权益

    社会秩序和公共利益

    国家安全

对客体造成侵害的程度分三种:

    造成一般损害

    造成严重损害

    造成特别严重损害


 一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级


信息系统安全包括   业务信息安全     系统服务安全

1、确定定级对象

     具有唯一确定的安全责任单位     具有信息系统的基本要素     承载单一或者相对独立的业务应用


2、确定业务信息安全受到破坏时所侵害的客体

     先判断是否侵害国家安全,然是是社会秩序、公共利益 ,最后是公民、法人和其他组织的合法权益

3、综合评定对客体的侵害程度  

     对定级对象的破坏  

          

4业务信息安全等级

      判别基准

          如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;

          如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。

    三种危害程度



5、确定系统服务安全受到破坏时所侵害的客体

6、综合评定对客体的侵害程度                   

7 、系统服务安全等级



8、定级对象的安全保护等级

     作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定