信息系统安全保护等级定级指南

表6 业务服务保证性取值矩阵表

业务依赖程度赋值 信息系统服务范围赋值 1 1 2 3 1 2 3

考虑信息系统服务范围和业务依赖程度两个因素赋值时均没有涉及国家安全利益，因此增加调节因子k，以反映信息系统无法提供服务或无法提供有效服务所造成损失对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度。

调节因子k的取值范围为大于0小于1的数值，可根据信息系统服务的影响程度参照表7进行选取。

表7 调节因子取值表

信息系统服务的影响程度 信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失。 信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失。 信息系统无法提供服务或无法提供有效服务会造成局部利益损失。

将调节因子与业务服务保证性取值相乘，根据所得结果，选取相应的业务服务保证性等级。考虑到调节因子为主观选取，存在一定的不确定性，相乘结果与业务服务保证性等级的对应中存在一定的交叠，对这一部分相乘结果，信息系统的相关定级人员可以根据本系统的具体情况适当选择。

由于一级系统没有必要调节，表8列出对业务服务保证性取值为2、3、4的调节结果。

2 2 3 4 3 3 4 4 调节因子k 1.0 ? k ? 0.8 0.8 ? k ? 0.5 0.5 ? k ? 0 — 17 —

表8 调节后的业务服务保证性等级

业务服务保证性取值 2 2 3 3 3 4 4 4 4 6.3

确定信息系统安全保护等级

业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。 信息系统的安全保护等级由各业务子系统的最高等级决定。 7

信息系统安全保护等级的调整

根据本指南第4、5、6章的步骤和方法，信息系统的运行、使用单位确定的信息系统安全保护等级，信息系统的决策者或上级主管部门可根据系统的特殊需求进行调整，但调整只能调高等级而不能降低等级。

信息系统的安全保护等级和采取的基本安全保护措施是有对应关系的，信息系统的运行、使用单位虽然可以根据系统的特殊安全需求对一些安全保护措施进行增强，但整体上的安全保护水平还是原来的级别，如果考虑系统的特殊需求，需要加强保护，可提升级别，提高整体安全保护水平。

信息系统的决策者或上级主管部门可根据系统的特殊安全需求进行等级调整，可以参考以下因素：

1) 上级主管部门在政策和管理方面的特殊要求。

2) 预测业务信息可能会随着时间的变化从量变转化为质变。

— 18 —

l = 业务服务保证性取值 ? k l ? 1.6 2.0 ? l ? 1.4 l ? 1.6 2.6 ? l ? 1.4 3.0 ? l ? 2.4 l ? 1.6 2.6 ? l ? 1.4 3.6 ? l ? 2.4 4.0 ? l ? 3.4 业务服务保证性等级 1 2 1 2 3 1 2 3 4 3) 业务依赖程度在将来会进一步提高，或随着信息系统所承载的业务不断完善和稳定，与

信息系统并行的手工处理（或老的系统）的业务将有可能取消。 4) 信息系统服务范围随着业务的发展，将会有较大的变化。

— 19 —

8 附录

为方便信息系统的主管部门和运营使用单位相关人员确定本单位信息系统的安全保护等级，

本章给出了信息系统定级的两个实例。 8.1

实例1

系统简述：某省政府网站系统ZFWZ，用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息，服务对象主要是省内企业和市民。

ZFWZ系统等级分析：

1、 ZFWZ系统是省政府对社会办公的窗口，其类型为党政机关处理国家事务的信息系统，

其信息系统所属类型赋值为3；

2、 网站信息属公开信息，信息被破坏不会对国家利益和社会利益造成严重损害，其业

务信息类型赋值为1；

3、 查表知ZFWZ系统的业务信息安全性等级为2级，如下表9所示。

表9 业务信息安全性等级矩阵表

信息系统所属类型赋值 业务信息类型赋值 1 1 2 3 1 2 3 2 2 3 4 3 2 3 4 4、 ZFWZ系统为省内企业和市民服务，其系统服务范围赋值为2；

5、 由于没有必须通过网络才能够执行的办事流程，ZFWZ系统对服务实时性和服务质量

要求不高，政务服务工作主要通过网络之外完成，网络仅提供相关信息和表单下载，因此其业务依赖程度赋值应为1；

6、 查表知ZFWZ系统的业务服务保证性取值为2，如下表10所示。

— 20 —