根据对信息系统受到破坏的程度来划分,将信息系统的安全保护等级分为以下五级:
|
等 级
|
描 述
|
|
第一级
|
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
|
|
第二级
|
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
|
|
第三级
|
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
|
|
第四级
|
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
|
|
第五级
|
信息系统受到破坏后,会对国家安全造成特别严重损害
|
|
等 级
|
描 述
|
|
第一级信息系统
|
一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。
|
|
第二级信息系统
|
一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
|
|
第三级信息系统
|
一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
|
|
第四级信息系统
|
一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的核心系统。
|
|
第五级信息系统
|
一般适用于国家重要领域、重要部门中的极端重要系统。
|
等级保护定级对象的特征
具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。