【正文】 過針對定級對象分別進行業(yè)務(wù)信息安全分析和系統(tǒng)服務(wù)安全分析，最終確定信息系統(tǒng)安全等級保護系統(tǒng)等級。在進行業(yè)務(wù)信息安全分析和系統(tǒng)服務(wù)安全分析時，充分考慮行業(yè)特點、業(yè)務(wù)應(yīng)用特點等因素，細化受侵害客體組成及損害程度判定要素，從而確保信息系統(tǒng)定級的合理準(zhǔn)確。定級流程根據(jù)定級流程，在定級要素分析時需對業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級進行分析，分析內(nèi)容包括確定受侵害的客體、確定對客體的侵害程度，從而確定相應(yīng)的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級。最后，綜合業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級得到信息系統(tǒng)安全等級保護系統(tǒng)等級。確定受侵害客體定級對象收到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益及公民、法人和其他組織的合法權(quán)益。l國家安全n影響國家政權(quán)穩(wěn)固和國防實力；n影響國家統(tǒng)一、民族團結(jié)和社會安定；n影響國家對外活動中的政治、經(jīng)濟利益；n影響國家重要的安全保衛(wèi)工作；n影響國家經(jīng)濟競爭力和科技實力；n其他影響國家安全的事項。l社會秩序n影響國家機關(guān)社會管理和公共服務(wù)的工作秩序；n影響各種類型的經(jīng)濟活動秩序；n影響各行業(yè)的科研、生產(chǎn)秩序；n影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；n其他影響社會秩序的事項。l公共利益n影響社會成員使用公共設(shè)施；n影響社會成員獲取公開信息資源；n影響社會成員接受公共服務(wù)等方面；n其他影響公共利益的事項。l公民、法人和其他組織n由法律確認(rèn)的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定信息和信息系統(tǒng)受到破壞時所侵害的客體。確定對客體的損害程度在針對不同的受侵害客體進行侵害程度的判斷時，應(yīng)參照以下的判別基準(zhǔn)。l如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)。l如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。不同危害后果的三種危害程度危害程度描述如下：l一般損害工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。l嚴(yán)重損害工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重損害。受侵害的客體對客體的侵害程度一般損害嚴(yán)重損害特別嚴(yán)重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表1 定級要素與安全保護等級的關(guān)系l特別嚴(yán)重損害工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重損害。確定定級對象的安全保護等級在確定完成受侵害客體以及對客體的侵害程度后，依據(jù)表1分別確定業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級。作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。編寫定級報告根據(jù)定級過程和定級結(jié)果，編寫初步信息系統(tǒng)定級報告。協(xié)助定級備案在完成初步定級報告后，協(xié)助信息系統(tǒng)管理使用單位進行評審與審批，并最終確定定級報告，完成信息系統(tǒng)備案工作。2等級測試工作內(nèi)容等級測評是信息安全等級保護實施中的一個重要環(huán)節(jié)。等級測評是指具有相關(guān)資質(zhì)的、獨立的第三方評測服務(wù)機構(gòu)，對信息系統(tǒng)的等級保護落實情況與信息安全等級保護相關(guān)標(biāo)準(zhǔn)要求之間的符合程度的測試判定。依據(jù)標(biāo)準(zhǔn)《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護定級指南》《電子政務(wù)信息安全等級保護實施指南》《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全等級保護測評指南》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》《信息安全技術(shù)服務(wù)器技術(shù)要求》《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》等級評測內(nèi)容基本內(nèi)容對信息系統(tǒng)安全等級保護狀況進行測試評估，應(yīng)包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。對安全控制測評的描述，使用工作單元方式組織。工作單元分為安全技術(shù)測評和安全管理測評兩大類。安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個層面上的安全控制測評；安全管理測評包括：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評。系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個性。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實施方法和明確的結(jié)果判定方法是很困難的。測評人員應(yīng)根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合標(biāo)準(zhǔn)要求，確定系統(tǒng)整體測評的具體內(nèi)容，在安全控制測評的基礎(chǔ)上，重點考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等，等級測評基本內(nèi)容如圖1所示。信息系統(tǒng)等級測評安全控制測評 系統(tǒng)整體測評安全技術(shù)測評 安全管理測評安全控制間層面間區(qū)域間物理安全