信息系统安全等级保护定级备案课件

信息系统安全等级保护定级备案信息系统安全等级保护定级备案信息系统安全等级保护定级指南主要内容引言第一部分：等级保护定级概述第二部分：掌握信息系统实际情况第三部分：确定定级对象第四部分：定级方法第五部分：初步定级第六部分：评审、确定与审批第七部分：等级调整第八部分：备案工作第九部分：问题解答信息系统安全等级保护定级指南主要内容引言 为推动我国信息安全等级保护工作的开展，十多年来，在公安部的领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。引言引言 为推动我国信息安全等级保护工作的开展，十多年来，在公安定级政策《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）。引言定级政策引言定级标准《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。《信息系统安全等级保护定级指南》（GB/T22240-2008）信息系统安全等级保护行业定级细则引言定级标准引言信息系统安全保护等级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第一部分等级保护定级概述第一部分：等级保护定级概述信息系统安全保护等级第一部分等级保护定级概述第一部分：等级第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第一部分等级保护定级概述第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损定级的一般流程第一部分等级保护定级概述定级的一般流程第一部分等级保护定级概述行业系统定级工作的指导意见的提出各个行业的职能存在差异信息系统所发挥的作用根据不同行业存在较大差别不同行业的信息系统被破坏后对国家和社会的危害不尽相同各行业主管部门可以从行业整体出发，从宏观上更好的把握本行业内各运营单位信息系统的定级工作第一部分等级保护定级概述行业系统定级工作的指导意见的提出第一部分等级保护定级概述指导意见根据《管理办法》第十条：信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（以下简称《定级通知》）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。第一部分等级保护定级概述指导意见第一部分等级保护定级概述行业定级工作的指导意见的意义：更好的贯彻落实《管理办法》使本行业实施等级保护工作的政策和方针的目的性更加明确有利于本行业制定定级工作的阶段计划有利于统一本行业对定级要素赋值规范第一部分等级保护定级概述行业定级工作的指导意见的意义：第一部分等级保护定级概述认真调查，掌握信息系统实际情况 全面掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，第二部分掌握实际情况第二部分：掌握信息系统实际情况认真调查，掌握信息系统实际情况第二部分掌握实际情况第二部分第三部分确定定级对象定级对象的基本特征定级对象的确定方法科学、合理确定定级对象确定定级对象举例第三部分：确定定级对象第三部分确定定级对象定级对象的基本特征第三部分：确定定级对第三部分确定定级对象定级对象的基本特征：具有唯一确定的安全责任主体

作为定级对象的信息系统应能够唯一地确定其安全责任单位。（具有唯一确定的安全责任单位）具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。第三部分确定定级对象定级对象的基本特征：定级对象的基本特征：承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。第三部分确定定级对象只有同时满足上述三个条件，才可由本单位对信息系统进行定级定级对象的基本特征：第三部分确定定级对象只有同时满足上述三第三部分确定定级对象定级对象的确定方法：从管理机构角度划分从业务类型角度划分从相同的物理位置和相似的运行环境划分第三部分确定定级对象定级对象的确定方法：科学、合理确定定级对象要把握以下几个原则：一是以相对独立的应用系统为定级对象。二是确认负责定级的单位是否具有对所定级系统的安全责任。三是确定定级对象的方法允许多种多样。第三部分确定定级对象科学、合理确定定级对象第三部分确定定级对象确定定级对象举例一、识别和描述定级对象识别基本信息、管理框架、业务种类和业务流程、信息资产、网络结构、软硬件设备、用户类型和分布，描述单位基本信息。二、划分定级对象分析安全管理责任，确定管理边界；分析网络结构和已有内外部边界；分析业务流程和业务间关系；初步划定信息系统，确定定级对象。第三部分确定定级对象确定定级对象举例第三部分确定定级对象三、识别和划分定级对象中的难点影响定级要素赋值产生不同的因素系统所涉及的客体不同系统对客体造成的损害程度不同系统处理的业务类型不同本身运行在不同的网络环境中的系统分不开的系统，按照高级别保护第三部分确定定级对象三、识别和划分定级对象中的难点第三部分确定定级对象四、系统边界的划分注意事项不同信息系统的共用设备一般是网络/边界设备或终端设备。两个信息系统边界存在的共用设备的安全保护等级按两个信息系统安全保护等级较高者确定管理终端与被管理对象相对应，被管理对象属于哪个系统，终端就应属于该信息系统的一部分处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。第三部分确定定级对象四、系统边界的划分注意事项第三部分确定定级对象确定定级对象举例第三部分确定定级对象确定定级对象举例第三部分确定定级对象 受侵害信息系统的安全保护等级由两个要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。受侵害的客体：

公民、法人和其他组织的合法权益；社会秩序、公共利益；三是国家安全。对客体的侵害程度：

一般损害；严重损害；特别严重损害。第四部分定级方法第四部分：定级方法 受侵害信息系统的安全保护等级由两个要素决定：等级保护对象受业务信息安全和系统服务安全信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，而信息系统安全包括业务信息安全和系统服务安全两方面，因此定级也应由这两方面决定。对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。第四部分定级方法业务信息安全和系统服务安全第四部分定级方法信息安全

信息安全是指确保信息系统内信息的保密性、完整性和可用性等；系统服务安全 系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标；由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。第四部分定级方法信息安全第四部分定级方法第四部分定级方法确定受侵害的客体：受侵害的客体指等级保护对象(即定级对象)受到破坏时所侵害的客体。包括以下三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。第四部分定级方法确定受侵害的客体：第四部分定级方法对客体的侵害程度：在客观方面，对客体的侵害外在表现为对定级对象的破坏。危害方式表现为对信息安全的破坏和对信息系统服务的破坏。客体侵害的客观方面-危害方式：对信息安全的破坏：信息系统内信息的保密性、完整性和可用性。对信息系统服务的破坏：信息系统可以及时、有效地提供服务，以完成预定的业务目标。第四部分定级方法对客体的侵害程度：确定业务信息安全等级第四部分定级方法业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级确定业务信息安全等级第四部分定级方法业务信息安全被破坏时所确定系统服务安全等级第四部分定级方法系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级确定系统服务安全等级第四部分定级方法系统服务安全被破坏时所信息安全和系统服务安全受到破坏的后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财务损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。

第四部分定级方法信息安全和系统服务安全受到破坏的后果：第四部分定级方法第四部分定级方法综合判定侵害程度： 根据不同的受侵害客体、不同危害后果分别确定其危害程度。造成一般损害造成严重损害造成特别严重损害第四部分定级方法综合判定侵害程度：第四部分定级方法安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5第四部分定级方法安全保护等级信息系统基本保护要求的组合第一定级的一般流程确定作为定级对象的信息系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全保护等级；第五部分初步定级第五部分：初步确定安全保护等级定级的一般流程第五部分初步定级第五部分：初步确定安全保护等确定系统服务安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全保护等级；将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。第六部分定级工作总结确定系统服务安全受到破坏时所侵害的客体；第六部分定级工作总定级的一般流程第六部分定级工作总结定级的一般流程第六部分定级工作总结特别注意 起传输作用的基础网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。第五部分初步定级特别注意第五部分初步定级信息系统等级对照表第五部分初步定级等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益合法权益损害自主保护第二级合法权益严重损害指导损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查信息系统等级对照表第五部分初步定级等级对象侵害客体侵害程度信息系统等级评审信息系统等级的确定与审批第六部分评审、确定与审批第六部分：等级评审、确定与审批信息系统等级评审第六部分评审、确定与审批第六部分：等级评审定级报告定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告要在信息系统备案时一并提交。信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。第六部分评审、确定与审批定级报告第六部分评审、确定与审批定级报告的撰写信息系统描述简述确定该信息系统为定级对象的理由。包括：该信息系统所承载业务的主管单位和部门，该信息系统具有信息系统的基本要素（有主机、网络及相关配套设施构成的人机系统），该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包含哪些功能等。第六部分评审、确定与审批定级报告的撰写第六部分评审、确定与审批信息系统安全保护等级的确定业务信息安全保护等级的确定。第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据项有哪些等。第二步：确定业务信息受到破坏后所侵害的客体第三步：确定对客体的侵害程度第四步：查表确定业务信息安全等级第六部分评审、确定与审批信息系统安全保护等级的确定第六部分评审、确定与审批系统服务安全保护等级的确定第一步：简要描述系统的服务范围、服务对象、服务要求等等。第二步：确定系统服务受到破坏后所侵害的客体第三步：确定对客体的侵害程度第四步：查表确定系统服务安全等级信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。定级报告模板第六部分评审、确定与审批系统服务安全保护等级的确定第六部分评审、确定与审批调整的对象：信息系统的运行、使用单位确定的信息系统安全保护等级 调整的主体：信息系统的决策者或上级主管部门 调整的原则：只能调高等级而不能降低等级

第七部分等级调整第七部分：等级调整调整的对象：信息系统的运行、使用单位确定的信息系统安全保护等等级调整的参考因素上级主管部门在政策和管理方面的特殊要求。预测信息安全受到破坏后的受侵害客体和对客体的侵害程度可能会有较大的变化。预测系统服务受到破坏后的受侵害客体和对客体的侵害程度随着业务的发展会有较大的变化。第七部分等级调整等级调整的参考因素第七部分等级调整《管理办法》第十四条中规定：已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。第八部分备案工作第八部分：备案的工作步骤《管理办法》第十四条中规定：第八部分备案工作第八部分：备案所需提交的材料 保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：《信息系统安全等级保护定级报告》（纸制盖章和电子版）《信息系统安全等级保护备案表》

（纸制盖章和电子版）第八部分备案工作所需提交的材料 第八部分备案工作 保护等级为三级(含)以上的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：系统拓扑结构及说明系统安全组织机构和管理制度系统安全保护设施设计实施方案或者改建实施方案使用的信息安全产品清单及其认证、销售许可证明测评后符合系统安全保护等级的技术检测评估报告信息系统安全保护等级专家评审意见信息系统安全保护等级专家评审意见《信息系统安全等级保护备案表》（纸制盖章和电子版）《信息系统安全等级保护定级报告》（纸制盖章和电子版第八部分备案工作 保护等级为三级(含)以上的信息系统运营、使用单位到属地、保审核 依据受理备案规定，公安网监部门需要对接收的备案材料进行审核，具体审核内容是：备案符合性审查 是否按照备案要求填写了相应的表格和文档并提供相应的电子数据文档。备案表完整性审查 备案表中表一、表二、表三所列内容是否填写完整，表四中所要求的附件内容是否齐全。定级准确性审查 提交备案的各个信息系统安全保护等级定级是否准确。第八部分备案工作审核 第八部分备案工作第九部分问题解答常见问题

问题解答第九部分问题解答常见问题问题解答谢谢！

谢谢！生活中的辛苦阻挠不了我对生活的热爱。12月-2212月-22Friday,December23,2022人生得意须尽欢，莫使金樽空对月。14:56:3014:56:3014:5612/23/20222:56:30PM做一枚螺丝钉，那里需要那里上。12月-2214:56:3014:56Dec-2223-Dec-22日复一日的努力只为成就美好的明天。14:56:3014:56:3014:56Friday,December23,2022安全放在第一位，防微杜渐。12月-2212月-2214:56:3014:56:30December23,2022加强自身建设，增强个人的休养。2022年12月23日2:56下午12月-2212月-22精益求精，追求卓越，因为相信而伟大。23十二月20222:56:30下午14:56:3012月-22让自己更加强大，更加专业，这才能让自己更好。十二月222:56下午12月-2214:56December23,2022这些年的努力就为了得到相应的回报。2022/12/2314:56:3014:56:3023December2022科学，你是国力的灵魂；同时又是社会发展的标志。2:56:30下午2:56下午14:56:3012月-22每天都是美好的一天，新的一天开启。12月-2212月-2214:5614:56:3014:56:30Dec-22相信命运，让自己成长，慢慢的长大。2022/12/2314:56:30Friday,December23,2022爱情，亲情，友情，让人无法割舍。12月-222022/12/2314:56:3012月-22谢谢大家！生活中的辛苦阻挠不了我对生活的热爱。12月-2212月-22信息系统安全等级保护定级备案信息系统安全等级保护定级备案信息系统安全等级保护定级指南主要内容引言第一部分：等级保护定级概述第二部分：掌握信息系统实际情况第三部分：确定定级对象第四部分：定级方法第五部分：初步定级第六部分：评审、确定与审批第七部分：等级调整第八部分：备案工作第九部分：问题解答信息系统安全等级保护定级指南主要内容引言 为推动我国信息安全等级保护工作的开展，十多年来，在公安部的领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。引言引言 为推动我国信息安全等级保护工作的开展，十多年来，在公安定级政策《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）。引言定级政策引言定级标准《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。《信息系统安全等级保护定级指南》（GB/T22240-2008）信息系统安全等级保护行业定级细则引言定级标准引言信息系统安全保护等级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第一部分等级保护定级概述第一部分：等级保护定级概述信息系统安全保护等级第一部分等级保护定级概述第一部分：等级第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第一部分等级保护定级概述第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损定级的一般流程第一部分等级保护定级概述定级的一般流程第一部分等级保护定级概述行业系统定级工作的指导意见的提出各个行业的职能存在差异信息系统所发挥的作用根据不同行业存在较大差别不同行业的信息系统被破坏后对国家和社会的危害不尽相同各行业主管部门可以从行业整体出发，从宏观上更好的把握本行业内各运营单位信息系统的定级工作第一部分等级保护定级概述行业系统定级工作的指导意见的提出第一部分等级保护定级概述指导意见根据《管理办法》第十条：信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（以下简称《定级通知》）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。第一部分等级保护定级概述指导意见第一部分等级保护定级概述行业定级工作的指导意见的意义：更好的贯彻落实《管理办法》使本行业实施等级保护工作的政策和方针的目的性更加明确有利于本行业制定定级工作的阶段计划有利于统一本行业对定级要素赋值规范第一部分等级保护定级概述行业定级工作的指导意见的意义：第一部分等级保护定级概述认真调查，掌握信息系统实际情况 全面掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，第二部分掌握实际情况第二部分：掌握信息系统实际情况认真调查，掌握信息系统实际情况第二部分掌握实际情况第二部分第三部分确定定级对象定级对象的基本特征定级对象的确定方法科学、合理确定定级对象确定定级对象举例第三部分：确定定级对象第三部分确定定级对象定级对象的基本特征第三部分：确定定级对第三部分确定定级对象定级对象的基本特征：具有唯一确定的安全责任主体

作为定级对象的信息系统应能够唯一地确定其安全责任单位。（具有唯一确定的安全责任单位）具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。第三部分确定定级对象定级对象的基本特征：定级对象的基本特征：承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。第三部分确定定级对象只有同时满足上述三个条件，才可由本单位对信息系统进行定级定级对象的基本特征：第三部分确定定级对象只有同时满足上述三第三部分确定定级对象定级对象的确定方法：从管理机构角度划分从业务类型角度划分从相同的物理位置和相似的运行环境划分第三部分确定定级对象定级对象的确定方法：科学、合理确定定级对象要把握以下几个原则：一是以相对独立的应用系统为定级对象。二是确认负责定级的单位是否具有对所定级系统的安全责任。三是确定定级对象的方法允许多种多样。第三部分确定定级对象科学、合理确定定级对象第三部分确定定级对象确定定级对象举例一、识别和描述定级对象识别基本信息、管理框架、业务种类和业务流程、信息资产、网络结构、软硬件设备、用户类型和分布，描述单位基本信息。二、划分定级对象分析安全管理责任，确定管理边界；分析网络结构和已有内外部边界；分析业务流程和业务间关系；初步划定信息系统，确定定级对象。第三部分确定定级对象确定定级对象举例第三部分确定定级对象三、识别和划分定级对象中的难点影响定级要素赋值产生不同的因素系统所涉及的客体不同系统对客体造成的损害程度不同系统处理的业务类型不同本身运行在不同的网络环境中的系统分不开的系统，按照高级别保护第三部分确定定级对象三、识别和划分定级对象中的难点第三部分确定定级对象四、系统边界的划分注意事项不同信息系统的共用设备一般是网络/边界设备或终端设备。两个信息系统边界存在的共用设备的安全保护等级按两个信息系统安全保护等级较高者确定管理终端与被管理对象相对应，被管理对象属于哪个系统，终端就应属于该信息系统的一部分处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。第三部分确定定级对象四、系统边界的划分注意事项第三部分确定定级对象确定定级对象举例第三部分确定定级对象确定定级对象举例第三部分确定定级对象 受侵害信息系统的安全保护等级由两个要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。受侵害的客体：

公民、法人和其他组织的合法权益；社会秩序、公共利益；三是国家安全。对客体的侵害程度：

一般损害；严重损害；特别严重损害。第四部分定级方法第四部分：定级方法 受侵害信息系统的安全保护等级由两个要素决定：等级保护对象受业务信息安全和系统服务安全信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，而信息系统安全包括业务信息安全和系统服务安全两方面，因此定级也应由这两方面决定。对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。第四部分定级方法业务信息安全和系统服务安全第四部分定级方法信息安全

信息安全是指确保信息系统内信息的保密性、完整性和可用性等；系统服务安全 系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标；由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。第四部分定级方法信息安全第四部分定级方法第四部分定级方法确定受侵害的客体：受侵害的客体指等级保护对象(即定级对象)受到破坏时所侵害的客体。包括以下三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。第四部分定级方法确定受侵害的客体：第四部分定级方法对客体的侵害程度：在客观方面，对客体的侵害外在表现为对定级对象的破坏。危害方式表现为对信息安全的破坏和对信息系统服务的破坏。客体侵害的客观方面-危害方式：对信息安全的破坏：信息系统内信息的保密性、完整性和可用性。对信息系统服务的破坏：信息系统可以及时、有效地提供服务，以完成预定的业务目标。第四部分定级方法对客体的侵害程度：确定业务信息安全等级第四部分定级方法业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级确定业务信息安全等级第四部分定级方法业务信息安全被破坏时所确定系统服务安全等级第四部分定级方法系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级确定系统服务安全等级第四部分定级方法系统服务安全被破坏时所信息安全和系统服务安全受到破坏的后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财务损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。

第四部分定级方法信息安全和系统服务安全受到破坏的后果：第四部分定级方法第四部分定级方法综合判定侵害程度： 根据不同的受侵害客体、不同危害后果分别确定其危害程度。造成一般损害造成严重损害造成特别严重损害第四部分定级方法综合判定侵害程度：第四部分定级方法安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5第四部分定级方法安全保护等级信息系统基本保护要求的组合第一定级的一般流程确定作为定级对象的信息系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全保护等级；第五部分初步定级第五部分：初步确定安全保护等级定级的一般流程第五部分初步定级第五部分：初步确定安全保护等确定系统服务安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全保护等级；将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。第六部分定级工作总结确定系统服务安全受到破坏时所侵害的客体；第六部分定级工作总定级的一般流程第六部分定级工作总结定级的一般流程第六部分定级工作总结特别注意 起传输作用的基础网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。第五部分初步定级特别注意第五部分初步定级信息系统等级对照表第五部分初步定级等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益合法权益损害自主保护第二级合法权益严重损害指导损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查信息系统等级对照表第五部分初步定级等级对象侵害客体侵害程度信息系统等级评审信息系统等级的确定与审批第六部分评审、确定与审批第六部分：等级评审、确定与审批信息系统等级评审第六部分评审、确定与审批第六部分：等级评审定级报告定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告要在信息系统备案时一并提交。信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。第六部分评审、确定与审批定级报告第六部分评审、确定与审批定级报告的撰写信息系统描述简述确定该信息系统为定级对象的理由。包括：该信息系统所承载业务的主管单位和部门，该信息系统具有信息系统的基本要素（有主机、网络及相关配套设施构成的人机系统），该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包含哪些功能等。第六部分评审、确定与审批定级报告的撰写第六部分评审、确定与审批信息系统安全保护等级的确定业务信息安全保护等级的确定。第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据项有哪些等。第二步：确定业务信息受到破坏后所侵害的客体第三步：确定对客体的侵害程度第四步：查表确定业务信息安全等级第六部分评审、确定与审批信息系统安全保护等级的确定第六部分评审、确定与审批系统服务安全保护等级的确定第一步：简要描述系统的服务范围、服务对象、服务要求等等。第二步：确定系统服务受到破坏后所侵害的客体第三步：确定对客体的侵害程度第四步：查表确定系统服务安全等级信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。定级报告模板第六部分评审、确定与审批系统服务安全保护等级的确定第六部分评审、确定与审批调整的对象：信息系统的运行、使用单位确定的信息系统安全保护等级 调整的主体：信息系统的决策者或上级主管部门 调整的原则：只能调高等级而不能降低等级

第七部分等级调整第七部分：等级调整调整的对象：信息系统的运行、使用单位确定的信息系统安全保护等等级调整的参考因素上级主管部门在政策和管理方面的特殊要求。预测信息安全受到破坏后的受侵害客体和对客体的侵害程度可能会有较大的变化。预测系统服务受到破坏后的受侵害客体和对客体的侵害程度随着业务的发展会有较大的变化。第七部分等级调整等级调整的参考因素第七部分等级调整《管理办法》第十四条中规定：已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应