涉及国家秘密的信息系统分级保护

涉及国家秘密的信息系统分级保护

第一章总则

第一条为了加强涉及国家秘密的信息系统（以下简称“涉密信息系统”）的保密管理，确保国家秘密信息安全，依据《中华人民共和国保守国

家秘密法》和相关法规，制定本办法。

第二条涉密信息系统实行分级保护。涉密信息系统分级保护是指，涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密

信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的

保护等级实施监督管理，确保系统和信息安全。

第三条中华人民共和国境内的涉密信息系统分级保护管理适用本办法。

第四条涉密信息系统分级保护管理遵循以下原则：

规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；

明确责任，加强监督。

第五条国家保密工作部门负责全国涉密信息系统分级保护工作的指导、监督和检查；

地方各级保密工作部门负责本行政区域涉密信息系统分级保护工作

的指导、监督和检查；中央和国家机关各部门在其职权范围内，主管

或指导本部门和本系统涉密信息系统得分级保护工作。涉密信息系统

的建设使用单位按照“谁主管、谁负责”的原则，负责本单位涉秘信

息系统分级保护工作的具体实施。

第二章系统分级

第六条涉密信息系统按照所处理信息的最高密级，由低到高划分为秘密、机密和绝密三个等级。绝密级信息系统应限定在封闭、安全可控的独立建筑

群内。

第七条涉密信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家秘密及其密级具体范围的规定，规范信息定密，明确新建涉密信息

系统处理信息的最高密级。

已经投入使用的涉密信息系统，使用单位应依照有关法律法规，对系统

中运行的信息进行密级核定，对漏定、错定的进行纠正，同时建立科学

规范的系统信息定密机制和操作程序。

第八条涉密信息系统建设单位在准确定密的基础上，应依据本办法和国家保密标准《涉及国家秘密的信息系统分级保护技术要求》确定系统等级。对

于包含多个安全域的信息系统，各安全域可以分别确定保护等级。

已经投入使用的涉密信息系统，建设使用单位应依据本办法和国家保密

标准《涉及国家秘密的信息系统分级保护技术要求》重新核定系统等级。

第九条涉密信息系统处理信息的密级和应用情况发生变化时，建设使用单位应当根据本办法和有关技术标准的要求，重新确定系统保护等级，并按相

应等级要求调整保护措施。

第三章系统保护

第十条涉密信息系统按照秘密、机密、绝密三级进行保护和管理。

第十一条系统建设使用单位应当依据《涉及国家秘密的信息系统分级保护技术要求》进行系统安全保密方案设计，并结合系统实际进行安全风险分

析，根据分析结果确定所应采取的保护措施，增强分级保护的针对性。

具体步骤如下：

（一）根据系统分级，确定系统保护所须达到的基本要求；

（二）结合系统实际进行安全风险分析，对部分保护要求作适当调整；

（三）按照最终确定的保护要求，采取具体保护措施。

已经投入使用的涉密信息系统，建设适用单位应按照《涉及国家

秘密的信息系统分级保护技术要求》制定系统分级保护方案，补

充、完善保护措施。

第十二条确定为机密级的信息系统，根据系统使用单位的重要性、系统中涉密信息的数量与含量、信息系统的重要程度和使用单位对信息系统的

依赖程度等因素，确定是否选择增强性保护要求。

第十三条涉密信息系统中相同等级的不同安全域，可根据风险分析结果采取不同的保护措施；系统中不同等级的安全域，应当按照相应等级的保

护要求进行保护。

第十四条处理国家秘密信息的单台计算机，应当根据所处理信息的最高密级，按照相应级别涉密信息系统的有关要求进行保护和管理。

第十五条集中处理工作秘密的信息系统，参照秘密级信息系统的有关要求进行保护。

第十六条涉密信息系统投入使用前有关安全风险分析、安全保密方案设计、论证和系统测评等所需经费，由系统建设使用单位在系统规划时按照一

定比例统一纳入系统建设经费预算予以解决。

第四章系统监督

第十七条各级保密工作部门应加强对涉密信息系统建设使用单位系统定级工作的具体指导与监督。

第十八条涉密信息系统建设使用单位必须选择具有相应涉密资质的单位承担或参与涉密信息系统的方案设计与实施、软件开发、综合布线、系统

服务、系统咨询、风险评估、屏蔽室建设、工程监理等。各级保密工

作部门应加强指导与监督。

第十九条涉密信息系统建设使用单位应组织对系统设计方案进行审查论证，各级保密工作部门应当参与方案审查论证，在系统总体安全保密性方面

加强指导，严格把关。

第二十条涉密信息系统建设使用单位在系统工程施工结束后，应向保密工作部门提出申请，由国家保密局授权的系统测评机构对涉密信息系统进行

安全保密测评。

已投入使用的涉密信息系统在完善分级保护措施后，如原系统已做过

系统测评，可只对新增加的保护措施进行测评，否则应对整个系统进

行测评。

第二十一条涉密信息系统建设使用单位在系统投入使用前，应按照涉密信息系统审批管理办法的规定进行审批，通过审批后方可投入使用。保密

工作部门视情节进行核查和抽查。

已通过审批投入使用的涉密信息系统，建设使用单位在按照分级保

护要求完成对系统的整改后，应向保密工作部门备案。保密工作部

门视情节进行核查或抽查。

第二十二条涉密信息系统备案的基本内容包括：涉密信息系统设计实施方案及论证意见、系统集成资质单位情况、系统测评报告、系统审批意见、

系统安全保密组织机构和管理制度等。

第二十三条涉密信息系统建设使用单位应当定期组织对系统的安全保密状况进行自评估。自评估主要检查系统分级保护措施是否符合要求，分

析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态

调整安全策略，适时补充和完善技术与管理措施，以使系统保持与

等级要求相一致的防护水平。各级保密工作部门应加强对自评估的

指导。

第二十四条各级保密工作部门应加强对已投入使用的涉密信息系统的检查和测评。发现系统存在安全隐患或保护措施不符合分级保护管理规范

和技术标准的，应当通知系统使用单位和管理部门限期整改。

（一）对于秘密级、机密级信息系统，每两年至少进行一次保密检

查或系统测评。

（二）对于绝密级信息系统，每年至少进行一次保密检查或系统测

评。

第二十五条保密工作部门对违反本办法规定的行为将进行查处：

（一）对未按分级保护管理要求和技术标准确定系统等级、同步规

划建设系统安全保密设施的，下发整改通知并限期整改。

（二）对涉密信息系统建成后未经保密审批就投入使用的，责令停

止作为涉密信息系统运行，下发整改通知并限期整改。

（三）对在系统测评和日常检查中发现严重泄密隐患和漏洞，接到

保密工作部门整改通知而逾期不改的，通报批评并追求单位

领导责任。

（四）对涉密信息系统发生泄密事件造成严重后果的，追究当事人

的法律责任和单位领导责任。

第五章附则

第二十六条涉密信息系统分级测评准则、分级保护管理规范；由国家保密局另行制定。

第二十七条军队涉密信息系统分级保护管理办法，由解放军保密委员会参照本办法制定。

第二十八条本办法由国家保密局负责解释。

第二十九条本办法自发布之日起施行。

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

信息系统安全等级保护定级报告模版

附件1：《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明： 一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。 二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体 （国家安全；社会秩序和公众利益；公民、法人和其他组织 —9 —

的合法权益）中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。 （二）系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 （三）安全保护等级的确定 —10 —

涉及国家秘密的信息系统分级保护

涉及国家秘密的信息系统分级保护 第一章总则 第一条为了加强涉及国家秘密的信息系统（以下简称“涉密信息系统”）的保密管理，确保国家秘密信息安全，依据《中华人民共和国保守国 家秘密法》和相关法规，制定本办法。 第二条涉密信息系统实行分级保护。涉密信息系统分级保护是指，涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密 信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的 保护等级实施监督管理，确保系统和信息安全。 第三条中华人民共和国境内的涉密信息系统分级保护管理适用本办法。 第四条涉密信息系统分级保护管理遵循以下原则： 规范定密，准确定级；依据标准，同步建设；突出重点，确保核心； 明确责任，加强监督。 第五条国家保密工作部门负责全国涉密信息系统分级保护工作的指导、监督和检查； 地方各级保密工作部门负责本行政区域涉密信息系统分级保护工作 的指导、监督和检查；中央和国家机关各部门在其职权范围内，主管 或指导本部门和本系统涉密信息系统得分级保护工作。涉密信息系统 的建设使用单位按照“谁主管、谁负责”的原则，负责本单位涉秘信 息系统分级保护工作的具体实施。 第二章系统分级 第六条涉密信息系统按照所处理信息的最高密级，由低到高划分为秘密、机密和绝密三个等级。绝密级信息系统应限定在封闭、安全可控的独立建筑 群内。 第七条涉密信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家秘密及其密级具体范围的规定，规范信息定密，明确新建涉密信息 系统处理信息的最高密级。 已经投入使用的涉密信息系统，使用单位应依照有关法律法规，对系统 中运行的信息进行密级核定，对漏定、错定的进行纠正，同时建立科学 规范的系统信息定密机制和操作程序。 第八条涉密信息系统建设单位在准确定密的基础上，应依据本办法和国家保密标准《涉及国家秘密的信息系统分级保护技术要求》确定系统等级。对 于包含多个安全域的信息系统，各安全域可以分别确定保护等级。 已经投入使用的涉密信息系统，建设使用单位应依据本办法和国家保密 标准《涉及国家秘密的信息系统分级保护技术要求》重新核定系统等级。

信息系统安全等级保护测评准则.

目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)

7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A（资料性附录）测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B（资料性附录）关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)

计算机信息系统分级保护实施方案

方案 1系统总体部署 （1）涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vlan，在服务器安全访问控制中间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略（ACL），禁止部门间Vlan互访，允许部门Vlan与服务器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服务器区包含原有应用系统；安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统；终端区分包含所有业务部门。 服务器安全访问控制中间件防护的应用系统有：XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。 防火墙防护的应用系统有：XXX、XXX系统、XXX系统、XXX系统以及XXX系统。 （2）邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110端口，使用SMTP协议以及POP3协议，内网终端使用C/S模式登录邮件系统。 将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组，针对不同的用户组设置安全级别，安全级别分为1-7级，可根据实际需求设置相应的级别。1-7级的安全层次为：1级最低级，7级最高级，由1到7逐级增高。即低密级用户可以向高密级用户发送邮件，高密级用户不得向低密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。 （3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。 2 物理安全防护 总体物理安全防护设计如下： （1）周边环境安全控制 ①XXX侧和XXX侧部署红外对射和入侵报警系统。 ②部署视频监控，建立安防监控中心，重点部位实时监控。 具体部署见下表：

信息安全等级保护介绍

国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

涉密信息系统分级保护

龙源期刊网 https://www.wendangku.net/doc/0312611786.html, 涉密信息系统分级保护 作者：魏刚 来源：《电子技术与软件工程》2016年第21期 摘要随着我国信息化建设的快速发展，信息安全的问题越来越受到人们的关注，涉密信 息系统的安全性保障更是引起了国家的高度重视。本文针对当前涉密信息系统分级保护中存在的问题进行分析，并进一步提出解决问题的方案，以求提高涉密信息分级保护的效率与质量。 【关键词】涉密信息系统分级保护 最近几年我国信息化建设发展速度较快，涉密机械能系逐渐被运用到各行各业，例如：网络自动化办公、通信领域与信息管理等等方面。涉密信息系统顾名思义涉及到很多的保密信息与数据，需要采取数据加密的方式要加强对信息的保护与保密。目前，涉密信息系统在信息传输与通信方面采取的主要加密方式是利用密码保护，目的为了防止破密，目前通常使用的加密软件主要是加密软盘与硬件加密，随着国家高度重视信息系统的安全性，涉密信息系统分级保护相关的研究已经成为网络安全研究的主要领域。 1 人为因素 涉密信息系统所面临的人为因素破坏主要是黑客攻击与病毒入侵，这些方面是专业技术人员利用自己过硬的计算机技术与通信技术破坏涉密信息系统，进而非法取得涉密信息系统内部的保密文件，并且利用这些保密文件获取更多的非法利益。网络信息操作系统系统服务必然存在一定的安全漏洞，而这些漏洞无疑为专业技术较强的不法分子提供了窃取涉密信息的机会。例如：电磁泄密，涉密信息系统频繁的进行信息传输与交互时，在传输通道上被植入了“后门”，电磁信号被人为的记录下来，不法分子利用专业的技术可以将信源信息进恢复，进而掌握电磁信号所反映的整体信息，进而达到窃密的目的。涉密信息系必然有硬件的支持，机房是涉密信息系统的主要硬件阵地，机房建设必须到国家规定的防御标准。另外，如果涉密信息系统储存设备受到了损坏，必须及时维修，而且维修必须在指定的地点，必须全程监控。针对涉密信息系统报废的相关设备，要将硬盘、内存等等一切涉及到涉密信息设备拆除，然后统一进行消磁处理之后再进行销毁。 涉密信息系统人员管理方面，涉密信息系统的管理人员也是导致信息涉密的主要途径，如果对涉密信息系统的管理不够妥善或者个人行为的泄密都会造成不可估量的严重后果。针对涉密信息系统管理人员的问题，需要加强培训，增强管理人员的管理意识与责任感。还需要制定相关奖惩措施，而且可以涉及到国家层面上的法律法规来对相关不法行为的约束。 2 涉密信息系统安全域的划分

信息系统等级保护测评工作方案

XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月

目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)

2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准

计算机信息系统分级保护方案完整篇.doc

计算机信息系统分级保护方案1 方案详细设计 1系统总体部署 （1）XX公司涉密信息系统的组网模式为：服务器区、安全管理区、终端区共同连接至核心交换机上，组成类似于星型结构的网络模式，参照TCP/IP网络模型建立。核心交换机上配置三层网关并划分Vlan，在服务器安全访问控制中间件以及防火墙上启用桥接模式，核心交换机、服务器安全访问控制中间件以及防火墙上设置安全访问控制策略（ACL），禁止部门间Vlan互访，允许部门Vlan 与服务器Vlan通信。核心交换机镜像数据至入侵检测系统以及网络安全审计系统；服务器区包含XX公司原有应用系统；安全管理区包含网络防病毒系统、主机监控与审计系统、windows域控及WSUS补丁分发系统、身份认证系统；终端区分包含所有业务部门。 服务器安全访问控制中间件防护的应用系统有：XXX系统、XXX系统、XXX 系统、XXX系统以及XXX系统、。 防火墙防护的应用系统有：XXX、XXX系统、XXX系统、XXX系统以及XXX系统。 （2）邮件系统的作用是：进行信息的驻留转发，实现点到点的非实时通信。完成集团内部的公文流转以及协同工作。使用25、110端口，使用SMTP协议以及POP3协议，内网终端使用C/S模式登录邮件系统。

将内网用户使用的邮件账号在服务器群组安全访问控制中间件中划分到不同的用户组，针对不同的用户组设置安全级别，安全级别分为1-7级，可根据实际需求设置相应的级别。1-7级的安全层次为：1级最低级，7级最高级，由1到7逐级增高。即低密级用户可以向高密级用户发送邮件，高密级用户不得向低密级用户发送，保证信息流向的正确性，防止高密数据流向低密用户。 （3）针对物理风险，采取红外对射、红外报警、视频监控以及门禁系统进行防护。针对电磁泄射，采取线路干扰仪、视频干扰仪以及红黑电源隔离插座进行防护。 2 物理安全防护 总体物理安全防护设计如下： （1）周边环境安全控制 ①厂区XXX侧和XXX侧部署红外对射和入侵报警系统。 ②部署视频监控，建立安防监控中心，重点部位实时监控。 具体部署见下表： （2）要害部门部位安全控制 增加电子门禁系统，采用智能IC卡和口令相结合的管理方式。具体防护措施如下表所示： 表1-2 要害部门部位安全建设

信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如： ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems（美国国家标准和技术研究所） ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual（美国国防部） ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防 部） ●Information Assurance Technology Framework3.1（美国国家安全局） 这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

信息系统等级保护建设方案详细

边界接入平台终端安全保护系统 建设方案 2009年6月5日

文件修改记录

目录 1项目建设的必要性 (5) 1.1政策必要性 (5) 1.2整体安全需要 (5) 1.3合规性需要 (6) 2法规、政策和技术依据 (7) 2.1信息安全等级保护有关法规、政策、文件 (7) 2.1.1《中华人民共和国计算机信息系统安全保护条例》（国务院147号令） (7) 2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）. 7 2.1.3《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） (8) 2.1.4《信息安全等级保护管理办法》（公通字[2007]43号） (9) 2.1.5信息安全等级保护技术标准体系及其关系 (9) 3终端安全防护系统功能介绍 (14) 3.1终端安全防护系统（前置服务器版）功能介绍 (14) 3.1.1强身份认证功能 (14) 3.1.2多用户强制访问控制 (14) 图3.1.3 用户权限控制示意图 (15) 3.1.3应用系统安全封装 (17) 3.1.4自主访问控制 (17) 图3.1.4 文件保密柜示意图 (17) 3.1.5数据保密性保护 (17) 3.1.6系统完整性保护 (18) 3.1.7行为审计监控 (18) 3.1.8边界保护控制 (18) 3.2终端安全防护系统（PC版）功能介绍 (19) 3.2.1强身份认证功能 (19) 3.2.2强制访问控制 (20) 图3.2.2 用户权限控制示意图 (21) 3.2.3自主访问控制 (22) 图3.2.3 文件保密柜示意图 (22) 3.2.4数据保密性保护 (23) 3.2.5系统完整性保护 (23) 3.2.6行为审计监控 (23) 3.2.7边界保护控制 (24)

分级保护涉密信息精选文档

分级保护涉密信息精选 文档 TTMS system office room 【TTMS16H-TTMS2A-TTMS8Q8-

分级保护涉密信息 一个计算机信息系统是否属于涉密信息系统，主要是看其系统里面的信息是否有涉及国家秘密的信息，不论其中的涉密信息是多还是少，只要是有（即存储、处理或传输了涉密信息），这个信息系统就是涉密信息系统。 但并非所有的涉密系统都是高安全等级的计算机信息系统；也并非所有的高安全等级的计算机信息系统都是涉密信息系统。 比如，一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施，达到了较高的安全等级，但由于其中没有涉及国家秘密的信息，就不能算是涉密信息系统；而有一些党政机关的涉密网，范围很小，只在一间或几间房内的若干台计算机联网，采取了较封闭的物理安全措施，与外界，虽然没有采用更多的安全保密技术，系统安全等级并不是很高，但由于管理严密、安全可控，系统中又运行了国家秘密信息，这些系统就属于涉密信息系统。 ——将涉密系统按照涉密程度分为绝密级、机密级、秘密级，实行分级保护。 分级保护针对的是涉密信息系统，根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。 国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》

BMB20《涉及国家秘密的信息系统分级保护管理规范》。 国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。 ——对涉密信息系统采取技术保护。修订草案规定：涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。涉密信息系统投入使用前，应当经设区的市级以上保密行政管理部门检查合格。 ——对涉密信息系统中应当遵守的保密行为做了严格规范，修订草案规定：不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络；不得在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换；不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息；不得擅自涉密信息系统的安全技术程序、管理程序；不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃；不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。 根据国家保密局在《涉及国家秘密的信息系统分级保护测评指南》中对具体的技术及管理指标都有明确的要求，我就涉密信息系统分级关键部位简要阐述: 一、硬件隔离 首先涉密单位的涉密设备，包括计算机终端，传真集，IP电话，复印机及移动存储设备等禁止接触除涉密网络以外的任何设备和网络。其次，涉密单位应该禁止一切无线传输设备，比如无线鼠标、键盘等外设还有笔记本无线及蓝牙等连网模块。 二、安保产品的选择

信息系统安全等级

附件乐3：乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统（HIS）、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理，对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总，为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担，医院始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督，网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码成为信息表现的载体，二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》） （一）业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性，需要不定时进行对该系统进行程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响医疗、办公正常秩序和正常行使工作职能，导致业务能力下降，从某种角度可侵害患者、医院和医院职工的合法权益，造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后，会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后，所侵害的客体是公民、医院和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为：可以对患者、法人和医院职工的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起医患法律纠纷等）。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为：患者、医院和医院职工的合法权益造成一般损害，即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。

信息系统安全等级保护测评准则

信息系统安全等级保护测评准则

目录 1 范围1 2 规范性引用文件1 3 术语和定义1 4 总则2 4.1 测评原则2 4.2 测评内容2 4.2.1基本内容2 4.2.2工作单元3 4.2.3测评强度4 4.3 结果重用4 4.4 使用方法4 5 第一级安全控制测评5 5.1安全技术测评5 5.1.1物理安全5 5.1.2网络安全7 5.1.3 主机系统安全9 5.1.4 应用安全11 5.1.5 数据安全13 5.2 安全管理测评15 5.2.1 安全管理机构15 5.2.2 安全管理制度17 5.2.3 人员安全管理17 5.2.4 系统建设管理19 5.2.5 系统运维管理23 6 第二级安全控制测评27 6.1 安全技术测评27 6.1.1 物理安全27 6.1.2 网络安全33 6.1.3 主机系统安全37 6.1.4 应用安全42 6.1.5 数据安全47 6.2 安全管理测评50 6.2.1 安全管理机构50 6.2.2 安全管理制度52 6.2.3 人员安全管理54 6.2.4 系统建设管理56 6.2.5 系统运维管理61 7 第三级安全控制测评69 7.1 安全技术测评69 7.1.1 物理安全69 7.1.2 网络安全76

7.1.3 主机系统安全82 7.1.4 应用安全90 7.1.5 数据安全97 7.2 安全管理测评99 7.2.1 安全管理机构99 7.2.2 安全管理制度104 7.2.3 人员安全管理106 7.2.4 系统建设管理109 7.2.5 系统运维管理115 8 第四级安全控制测评126 8.1 安全技术测评126 8.1.1 物理安全126 8.1.2 网络安全134 8.1.3 主机系统安全140 8.1.4 应用安全149 8.1.5 数据安全157 8.2 安全管理测评160 8.2.1 安全管理机构160 8.2.2 安全管理制度164 8.2.3 人员安全管理166 8.2.4 系统建设管理169 8.2.5 系统运维管理176 9 第五级安全控制测评188 10 系统整体测评188 10.1 安全控制间安全测评188 10.2 层面间安全测评189 10.3 区域间安全测评189 10.4 系统结构安全测评190 附录A（资料性附录）测评强度190 A.1测评方式的测评强度描述190 A.2信息系统测评强度191 附录B（资料性附录）关于系统整体测评的进一步说明196 B.1区域和层面196 B.1.1区域196 B.1.2层面197 B.2信息系统测评的组成说明199 B.3系统整体测评举例说明200 B.3.1被测系统和环境概述200 B.3.1安全控制间安全测评举例201 B.3.2层面间安全测评举例201 B.3.3区域间安全测评举例202 B.3.4系统结构安全测评举例202

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 （一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。 （二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 （三）该信息系统业务主要包含：等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 （一）业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。 侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 （二）系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —