带你读《网络安全等级保护2.0定级测评实施与运维》——3.3 初步确定安全保护等级

3.3  初步确定安全保护等级

3.3.1  定级方法概述

定级对象的安全主要包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级；从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。

定级方法的流程如图 3-2 所示。

图 3-2　定级方法的流程示意图

具体流程如下。

1．确定受到破坏时所侵害的客体

（1）确定业务信息安全受到破坏时所侵害的客体。

（2）确定系统服务安全受到破坏时所侵害的客体。

2．综合评定对客体的侵害程度

（1）根据不同的受侵害客体，评定业务信息安全被破坏时对客体的侵害程度。

（2）根据不同的受侵害客体，评定系统服务安全被破坏时对客体的侵害程度。

3．确定安全保护等级

（1）确定业务信息安全保护等级。

（2）确定系统服务安全保护等级。

（3）将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象

的安全保护等级。

3.3.2  确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

1．侵害国家安全的事项

（1）影响国家政权稳固和领土主权、海洋权益完整。

（2）影响国家统一、民族团结和社会稳定。

（3）影响国家社会主义市场经济秩序和文化实力。

（4）其他影响国家安全的事项。

2．侵害社会秩序的事项

（1）影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩

序、医疗卫生秩序。

（2）影响公共场所的活动秩序、公共交通秩序。

（3）影响人民群众的生活秩序。

（4）其他影响社会秩序的事项。

3．侵害公共利益的事项

（1）影响社会成员使用公共设施。

（2）影响社会成员获取公开数据资源。

3.3.3  确定对客体的侵害程度

1．侵害的客观方面

在客观方面，对客体的侵害外在表现为对定级对象的破坏，其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏。其中业务信息安全是指确保信息系统中信息的保密性、完整性和可用性等；系统服务安全是指确保定级对象可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏时所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种侵害方式。业务信息安全和系统服务安全受到破坏后，可能产生以下侵害后果。

（1）影响行使工作职能。

（2）导致业务能力下降。

（3）引起法律纠纷。

（4）导致财产损失。

（5）造成社会不良影响。

（6）对其他组织和个人造成损失。

（7）其他影响。

2．综合评定侵害程度

侵害程度是客观方面的不同外在表现的综合体现，因此，首先根据不同受侵害客体、不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同，例如，系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定；业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的评定时，可以参照以下不同的判别基准。

（1）如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准。

（2）如果受侵害客体是社会秩序、公共利益或国家安全，则以整个行业或国家的总体利益作为判断侵害程度的基准。不同侵害后果的 3 种侵害程度描述如下。

（1）一般损害：工作职能受到局部影响、业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题、较低的财产损失、有限的社会不良影响，对其他组织和个人造成较低损害。

（2）严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题、较高的财产损失、较大范围的社会不良影响，对其他组织和个人造成较高损害。

（3）特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降或功能无法执行，出现极其严重的法律问题、极高的财产损失、大范围的社会不良影响，对其他组织和个人造成非常高的损害。

对客体的侵害程度由对不同危害后果的侵害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同，业务信息安全和系统服务安全受到破坏后关注的侵害后果、侵害程度的计算方式均可能不同。各行业可根据本行业的信息特点和系统服务特点制定侵害程度的综合评定方法，并给出一般损害、严重损害、特别严重损害的具体定义。

3.3.4  初步确定等级度

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，通过表3-2 可得到业务信息安全保护等级。

表 3-2　业务信息安全保护等级矩阵表

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，通过表3-3 可得到系统服务安全保护等级。

定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

3.5  等级变更

当等级保护对象所处理的业务信息和系统服务范围发生变化，可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时，需根据标准要求重新确定定级对象和安全保护等级。