系统定级背景.docx

1、信息系统安全等级保护定级指南

为宣贯《信息系统安全等级保护定级指南》（以下简称《定级

指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标

准的主要内容解答标准执行中可能遇到的问题。

1.1 定级指南标准制修订过程

1.1.1 制定背景

本标准是公安部落实  号文件，满足开展等级保护工作所需要

的重要规范性文件之一，是其他标准规范文件的基础。本标准依据

1.1.2 国外相关资料分析

本标准编制前，编制人员收集与信息系统确定等级相关的国外

资料，其中主要是来自美国的标准或文献资料，例如：

 

（美国国家标准和技术研究

所 ）  !"#$"%!&'()*  "+

,--..

*（美国国防部）

  !"#$"%!&''(/-0-1

.（美国国防部）

述的等级在其适用对象、定级方法、划定的等级和定级要素选择方

面各有不同。

 作为美国联邦政府标准，依据 /''/ 年通过的联邦信息

安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和

除已定义为国家安全系统之外的联邦信息系统。根据 ，信

息和信息系统根据信息系统中信息的保密性、完整性和可用性被破

坏的潜在影响将信息分类，影响程度可为高、中或低。例如某政府

采购系统中，包含合同信息和管理信息，各自的信息分类为： 

 合同信息560保密性，中1，（完整性，中），（可用性，低）

 

 管理信息560保密性，低1，（完整性，低），（可用性，低）

  该政府采购系统分类的各项，将是系统中所有信息分类的三性取值

 政府采购系统560保密性，中1，（完整性，中），（可用性，

了分类，没有明确说明信息系统的安全等级，但从与该标准配套的

的安全要求以及系统的使命的危险程度、系统所处理的数据和用户

类型等因素的基础上， "- 的认证任务要求每个系统在四个认证

级别中确定一个适合自身的认证级别。这四个认证级别是： 级—

基本的安全评审，/ 级—最小分析，4 级—详细分析，7 级—复杂分

析。 

&'()* 提出用于描述系统的 8 个特征量，互联模式、处理模

式、归因性（责任追溯）业务依赖性、信息三性等，根据对这 8 个

特征量赋权值，得出某个信息系统的总的权值，再根据权值所处的

区间，确定信息系统的认证级别。  &''(/没有直接针对信息系统

分级，但给出了两种分等级的信息保障需求，一种是按信息保密性

分级，  定义了三个保密性等级：保密、敏感和公开，另一种是

按业务保障分类（*-）：*-Ⅰ、*- 和

的信息的重要程度，业务保障类反映了与  实现业务目标相关的

中 *-Ⅰ 系统比 *- 和 *- 系统要求有更为严格的保护措施。 

健度等级。信息系统的所有者可以根据其信息价值与可能面临的威

胁环境，选择系统安全保护的强健度等级和信息技术产品的评估保

证级别（:-9）。 

它以信息安全保密性、完整性和可用性需求中的最高者作为信息系

统的安全等级，用于美国联邦政府信息系统的保护可能合适，但我

国的等级保护面向国内所有行业，包括那些生产系统和自动化处理

系统，这些系统对信息保密性要求不高，而对业务安全保障要求非

可能造成对多数系统要求过高而无法实现。   

护强度的差别，而等级保护的定级应当反映保护强度和保护能力的

没有反映信息系统的安全需求。但它提出了根据信息价值和信息系

统面临的威胁环境强度决定信息系统的保护强度的概念，值得借鉴。

  究其原因，上述国外标准和文献资料一般针对特定系统，在特定系

统中适用，但不能满足我国在全国范围内、在所有行业内开展等级

保护工作的要求。因此必须在对国外资料进行研究和吸收的基础上，

探索适合我国国情、简便易行的定级方法。因此，等级保护的定级

方法应反映出信息系统对国家安全、经济建设、社会生活重要程度

的差异。从这一点出发考虑，信息系统安全保护等级定级的出发点

应当是信息系统所承载的业务，或称业务应用的重要性。