3.4.2 信息系统安全保护等级确定

1.业务信息安全保护等级的确定

● 业务信息描述。

描述信息系统处理的主要业务信息等。

● 业务信息受到破坏时所侵害客体的确定。

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

● 信息受到破坏后对侵害客体的侵害程度的确定。

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

● 业务信息安全等级的确定。

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

2.系统服务安全保护等级的确定

● 系统服务描述。

描述信息系统的服务范围、服务对象等。

● 系统服务受到破坏时所侵害客体的确定。

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

● 系统服务受到破坏后对侵害客体的侵害程度的确定。

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

● 系统服务安全等级的确定。

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

3.安全保护等级的确定

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定系统安全保护等级为第几级，如表3.19所示。