信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度決定,從另一個角度看,信息系統重要程度越高,其遭到破壞后對國家安全、經濟建設、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度也越高。
一、決定信息系統重要性的要素
信息系統的重要性由以下要素決定:
1)信息系統所屬類型,即信息系統資產的安全利益主體。
2)信息系統主要處理的業務信息類別。
3)信息系統服務范圍,包括服務對象和服務網絡覆蓋范圍。
4)業務對信息系統的依賴程度。
其中第1、2個要素決定信息系統內信息資產的重要性,第3、4個要素決定信息系統所提供服務的重要性,而信息資產及信息系統服務的重要性決定了信息系統的重要性。
二、定級要素賦值
1、信息系統所屬類型及賦值
信息系統所屬類型在較大程度上決定了信息系統受到破壞后對其社會價值的影響程度,根據社會影響高低,典型的信息系統所屬類型、賦值及其社會影響如表1所示。
表1 信息系統所屬類型賦值表
|
信息系統所屬類型舉例 |
賦值 |
信息系統的社會影響 |
| 屬于一般企事業單位,處理其內部事務的信息系統。 | 1 | 信息系統資產受到破壞會對本單位利益有直接影響。 |
| 屬于重要行業、重要領域和國家基礎設施,為國計民生、經濟建設等提供重要服務的信息系統,或本身雖屬一般企事業單位,但為黨政或重要信息系統提供支撐服務的信息系統。 | 2 | 信息系統資產受到破壞會對公共利益有直接影響,或對國家安全利益有間接影響。 |
| 屬于黨政機關,處理國家事務的信息系統。 | 3 | 信息系統資產受到破壞會對國家安全利益有直接影響。 |
2、業務信息類型及賦值
根據信息系統中業務信息機密性、完整性或可用性被破壞后,對國家安全利益、經濟建設、公共利益或單位利益的影響程度,典型的業務信息類型、賦值及其安全影響如表2所示。
表2 業務信息類型賦值表
| 業務信息類型舉例 | 賦值 | 業務信息的安全影響 |
| 可以對外公開發布的信息,或不對外發布的單位內部一般信息。 | 1 | 業務信息機密性、完整性或可用性被破壞會對公共利益或本單位經濟利益造成一定損害。 |
| 法人和其他組織及公民的專有信息,例如內部敏感信息、關鍵技術數據、科技情報、商業秘密等。 | 2 | 業務信息機密性、完整性或可用性被破壞會對公共利益或本單位經濟利益造成嚴重損害。 |
| 涉及國家安全利益,影響國家經濟建設的信息。 | 3 | 業務信息機密性、完整性或可用性被破壞對國家安全利益和國家經濟建設造成損害。 |
信息系統服務范圍及賦值
根據信息系統因完整性和可用性受到破壞,無法提供服務或無法提供有效服務造成的社會影響范圍大小,典型的信息系統服務范圍、賦值和相關影響如表3所示。
表3 信息系統服務范圍賦值表
| 信息系統服務范圍舉例 | 賦值 | 服務范圍的影響 |
| 地區范圍的服務網絡。 | 1 | 信息系統因無法提供服務或無法提供有效服務會對局部范圍的資產造成損害。 |
| 省級范圍的服務網絡。 | 2 | 信息系統因無法提供服務或無法提供有效服務會對較大范圍的資產造成損害。 |
| 全國范圍的服務網絡。 |
3 |
信息系統因無法提供服務或無法提供有效服務會對全國范圍的資產造成損害。 |
業務依賴程度賦值
據信息系統因完整性和可用性受到破壞,無法提供服務或無法提供有效服務對單位完成其使命的最大影響程度,典型的業務依賴程度、賦值及相關影響如表4所示。
表4 業務依賴程度賦值表
| 業務依賴程度舉例 | 賦值 | 業務系統影響 |
| 業務處理流程的大部分可以通過手工方式或其他方式完成,自動化程度低。 | 1 | 信息系統無法提供服務或無法提供有效服務對單位完成其業務使命影響較小。 |
| 業務處理流程的部分環節可以通過手工方式或其他方式替代完成,自動化程度中。 | 2 | 信息系統無法提供服務或無法提供有效服務對單位完成其業務使命影響較大。 |
| 業務處理流程完全依賴信息系統,手工方式無法完成,自動化程度高。 | 3 | 信息系統無法提供服務或無法提供有效服務使單位無法完成其業務使命。 |
