4.1 决定信息系统重要性的要素 信息系统的重要性由以下要素决定:
1) 信息系统所属类型,即信息系统资产的安全利益主体。 2) 信息系统主要处理的业务信息类别。
3) 信息系统服务范围,包括服务对象和服务网络覆盖范围。 4) 业务对信息系统的依赖程度。
其中第1、2个要素决定信息系统内信息资产的重要性,第3、4个要素决定信息系统所提供
服务的重要性,而信息资产及信息系统服务的重要性决定了信息系统的重要性。 4.2
定级要素赋值
4.2.1 信息系统所属类型及赋值
信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度,根据社会影响高低,典型的信息系统所属类型、赋值及其社会影响如表1所示。
表1 信息系统所属类型赋值表
信息系统所属类型举例 属于一般企事业单位,处理其内部事务的信息系统。 属于重要行业、重要领域和国家基础设施,为国计民生、经济建设等提供重要服务的信息系统,或本身虽属一般企事业单位,但为党政或重要信息系统提供支撑服务的信息系统。 属于党政机关,处理国家事务的信息系统。 3 信息系统资产受到破坏会对国家安全利益有直接影响。
4.2.2 业务信息类型及赋值
根据信息系统中业务信息机密性、完整性或可用性被破坏后,对国家安全利益、经济建设、公共利益或单位利益的影响程度,典型的业务信息类型、赋值及其安全影响如表2所示。
赋值 1 信息系统的社会影响 信息系统资产受到破坏会对本单位利益有直接影响。 2 信息系统资产受到破坏会对公共利益有直接影响,或对国家安全利益有间接影响。 — 13 —
表2 业务信息类型赋值表
业务信息类型举例 可以对外公开发布的信息,或不对外发布的单位内部一般信息。 赋值 1 业务信息的安全影响 业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。 法人和其他组织及公民的专有信息,例如内部敏感信息、关键技术数据、科技情报、商业秘密等。 涉及国家安全利益,影响国家经济建设的信息。 3 2 业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。 业务信息机密性、完整性或可用性被破坏对国家安全利益和国家经济建设造成损害。 4.2.3 信息系统服务范围及赋值
根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务造成的社会影响范围大小,典型的信息系统服务范围、赋值和相关影响如表3所示。
表3 信息系统服务范围赋值表
信息系统服务范围举例 地区范围的服务网络。 赋值 1 服务范围的影响 信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。 省级范围的服务网络。 2 信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。 全国范围的服务网络。 3 信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。
4.2.4 业务依赖程度赋值
根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务对单位完成其使命的最大影响程度,典型的业务依赖程度、赋值及相关影响如表4所示。
— 14 —
表4 业务依赖程度赋值表
业务依赖程度举例 业务处理流程的大部分可以通过手工方式或其他方式完成,自动化程度低。 业务处理流程的部分环节可以通过手工方式或其他方式替代完成,自动化程度中。 业务处理流程完全依赖信息系统,手工方式无法完成,自动化程度高。 5
确定信息系统安全保护等级的步骤
为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在4个定级要素方面的赋值,然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。
具体步骤如图1所示。
1. 赋值 信息系统所属类型 业务信息类型 信息系统服务范围 业务依赖程度 赋值 1 业务系统影响 信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小。 2 信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大。 3 信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。 2. 确定两个指标等级 业务信息安全性取值 选择调节因子 业务服务保证性取值 业务信息安全性等级 业务服务保证性等3 确定业务子系统等级 业务子系统安全保护等级 其它业务子系统 。。。 4. 确定信息系统等级 信息系统安全保护等级 图1 等级确定图示
— 15 —
图1确定信息系统系统保护等级的步骤具体描述如下:
1) 参照4.2.1、4.2.2、4.2.3和4.2.4节内容为信息系统所属类型、业务信息类型、信息系统服
务范围和业务依赖程度赋值;
2) 根据6.1和6.2节内容确定两个定级指标——业务信息安全性等级和业务服务保证性的等
级,业务信息安全性等级体现信息资产重要性,业务服务保证性等级体现信息系统服务重要性;
3) 由两个定级指标的较高者确定业务子系统的安全保护等级;
4) 由信息系统内所有业务子系统的最高等级,确定信息系统的安全保护等级。
值得注意的是,等级的确定可能不是一个过程就可以完成的,可能要经过信息系统划分、赋值、定级、调整、重新赋值、再定级、再调整的循环过程,通过不断反馈和调整,最终确定出较为适当的信息系统安全保护等级。 6 6.1
信息系统安全保护等级的确定方法 确定业务信息安全性等级
将信息系统所属类型的赋值(1,2,3)与业务信息类型的赋值(1,2,3)构成一个3?3矩阵,去掉不合理的交叉点,构成业务信息安全性等级矩阵,如表5所示。
表5 业务信息安全性等级矩阵表
信息系统所属类型赋值 业务信息类型赋值 1 1 2 3 6.2
确定业务服务保证性等级
将信息系统服务范围的赋值(1,2,3)与业务依赖程度的赋值(1,2,3)构成一个3?3矩阵,构成业务服务保证性取值矩阵,如表6所示。
— 16 —
2 2 3 4 3 2 3 4 1 2 3
