6.3.1 确定信息系统安全保护等级的一般流程
信息系统安全等级应由从业务信息安全角度反映的业务信息安全保护等级和从系统服务安全角度反映的系统服务安全保护等级两方面确定。
确定信息系统安全保护等级的一般流程如图6-5所示:
●确定作为定级对象的信息系统;
●确定业务信息安全受到破坏时所侵害的客体;
●根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
●依据业务信息安全保护等级矩阵表,得到业务信息安全保护等级;
●确定系统服务安全受到破坏时所侵害的客体;
●根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
●依据系统服务安全保护等级矩阵表,得到系统服务安全保护等级;
●将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。对客体造成损害后,可能产生以下危害:
●影响行使工作职能;
●导致业务能力下降;
图6-5 确定等级一般流程图
●引起法律纠纷;
●导致财产损失;
●造成社会不良影响;
●对其他组织和个人造成损失;
●其他影响。
对客体的侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
