6.3.2 信息系统安全等级的定级方法
根据标准中提出的定级流程、信息系统破坏后可能损害的客体和对客体的损害程度,可以使用一套定级工作表,通过对工作表中各项要素进行量化评分的方式,客观、科学的确定信息系统安全保护等级,达到提高效率、节省人力、准确定级的目的。
表6-1、表6-2、表6-3是根据《信息安全技术信息系统安全等级保护定级指南》的要求,分别针对定级对象受到破坏时所侵害的国家安全、社会秩序和公众利益、公民,法人和其他组织的合法权益,这三类客体进行量化评分。其中每张定级评分表的纵向标题和横向标题,分别依据《信息安全技术信息系统安全等级保护定级指南》中描述的信息系统遭到破坏时可能损害的三类客体,以及描述的危害后果所设计和制定。定级评分表中纵向标题表示的是系统破坏可能损害的客体,横向标题表示的是对客体的损害后果。
通过这套定级工作表,对系统破坏后客体的损害程度进行量化,量化的方法是分析系统业务情况和系统服务情况,确定系统破坏后损害的客体及外在表现的损害后果,并在相应的客体和损害后果的表格交叉点处对客体的损害程度进行等级评分。分值范围在0—3:
●0分表示对该表中描述的客体没有造成损害;
●1分表示对该表中描述的客体造成一般损害;
●2分表示对该表中描述的客体造成严重损害;
●3分表示对该表中描述的客体造成特别严重损害。
在对客户的损害程度进行等级评分后,依据以下评定方法对表中的分值情况进行综合分析,最终确定量化分值。
●如定级评分表中的分数均为0,则该客体的损害程度为0;
●如定级评分表中的分数不全为0,且最高分的数量不超过30%,则以该最高分为该客体的损害程度(此处30%的阈值是三零卫士根据信息安全管理经验提出的,用户可以根据实际需求调整,如果不设阈值则为国家等级保护标准的最低要求);
表6-1 针对所侵害的国家安全受到破坏时的损害的后果
表6-2 针对所侵害的社会秩序和公众利益、公民受到破坏时的损害的后果
表6-3 针对所侵害的法人和其他组织受到破坏时的损害的后果
●如定级评分表中的分数不全为0,且最高分的数量超过30%,则以该最高分加1为该客体的损害程度,但加1后的定级分数最高不得超过3分(如,已经是3分,则分值定为3)。
根据上述定级方法,可以计算出系统的业务信息安全受到破坏后损害的客体以及对客体的损害程度;采用同样的方法可以计算出系统的服务安全受到破坏后损害的客体以及对客体的损害程度。
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息安全保护等级矩阵表(如表6-4所示),即可得到业务信息安全保护等级。
表6-4 业务信息安全保护等级矩阵表
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务安全保护等级矩阵表(如表6-5所示),即可得到系统服务安全保护等级。
表6-5 系统服务安全保护等级矩阵表
根据《信息安全技术信息系统安全等级保护定级指南》的要求,作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。这样就可以最终确定信息系统的安全保护等级。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
