【正文】 功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個(gè)人造成較嚴(yán)重?fù)p害。如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。確定對客體的損害程度在針對不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，應(yīng)參照以下的判別基準(zhǔn)。公民、法人和其他組織n影響社會成員獲取公開信息資源；n其他影響社會秩序的事項(xiàng)。影響國家機(jī)關(guān)社會管理和公共服務(wù)的工作秩序；n影響國家經(jīng)濟(jì)競爭力和科技實(shí)力；n影響國家政權(quán)穩(wěn)固和國防實(shí)力；n在進(jìn)行業(yè)務(wù)信息安全分析和系統(tǒng)服務(wù)安全分析時(shí)，充分考慮行業(yè)特點(diǎn)、業(yè)務(wù)應(yīng)用特點(diǎn)等因素，細(xì)化受侵害客體組成及損害程度判定要素，從而確保信息系統(tǒng)定級的合理準(zhǔn)確。二、 相同的業(yè)務(wù)類型信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的業(yè)務(wù)類型，安全需求相近，可以保證遵循相同的安全策略。定級對象承載“相對獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。如果一個(gè)單位的某個(gè)下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個(gè)下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位?；驹瓌t如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級，不必劃分業(yè)務(wù)子系統(tǒng)。ll在調(diào)查過程中，可以得到系統(tǒng)資產(chǎn)的基本信息、主要用途、重要程度、服務(wù)對象等相關(guān)信息。信息系統(tǒng)定級工作流程 編寫定級報(bào)告 系統(tǒng)服務(wù)分析 物理位置分析 系統(tǒng)邊界調(diào)查 定級工作流程信息系統(tǒng)調(diào)查確定定級對象定級要素分析編寫定級報(bào)告協(xié)助定級備案定級依據(jù)標(biāo)準(zhǔn)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)【2003】27（四）涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。信息系統(tǒng)定級定級工作實(shí)施范圍“關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知”對于重要信息系統(tǒng)的范圍規(guī)定如下：（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。注：跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。號文件）《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字【2004】66號文件）《電子政務(wù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南（試行）》（國信辦【2005】25 服務(wù)信息調(diào)查 業(yè)務(wù)類型分析 業(yè)務(wù)信息分析 …… 形成最終報(bào)告信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過一系列的信息系統(tǒng)情況調(diào)查表對信息系統(tǒng)基本情況進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用、服務(wù)范圍、系統(tǒng)結(jié)構(gòu)、管理組織和管理方式等基本情況。調(diào)查工具表通常，信息系統(tǒng)調(diào)查工具表包括系統(tǒng)資產(chǎn)調(diào)查表、系統(tǒng)應(yīng)用調(diào)查表、和管理信息調(diào)查表等。l管理信息調(diào)查表用于明確信息系統(tǒng)的組織結(jié)構(gòu)、隸屬關(guān)系等管理信息。信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫工作，同時(shí)收集信息系統(tǒng)所涉及的一系列l(wèi)確定定級對象一個(gè)單位可能運(yùn)行了比較龐大的信息系統(tǒng)，為了重點(diǎn)保護(hù)重要部分，有效控制信息安全建設(shè)和管理成本，優(yōu)化信息安全資源配置等保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個(gè)較小的、相對獨(dú)立的、具有不同安全保護(hù)等級的定級對象。如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級，信息系統(tǒng)的安全保護(hù)等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。二、 具有信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。三、 相同的物理位置或相似的運(yùn)行環(huán)境信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的物理位置或相似的運(yùn)行環(huán)境意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護(hù)。確定受侵害客體定級對象收到破壞時(shí)所侵害的客體包括國家安全、社會秩序、公眾利益及公民、法人和其他組織的合法權(quán)益。影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定；n其他影響國家安全的事項(xiàng)。影響各種類型的經(jīng)濟(jì)活動秩序；nl影響社會成員接受公共服務(wù)等方面；n由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。l不同危害后果的三種危害程度危害程度描述如下：l受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表作為定級對象的信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。協(xié)助定級備案在完成初步定級報(bào)告后，協(xié)助信息系統(tǒng)管理使用單位進(jìn)行評審與審批，并最終確定定級報(bào)告，完成信息系統(tǒng)備案工作。等級測評是指具有相關(guān)資質(zhì)的、獨(dú)立的第三方評測服務(wù)機(jī)構(gòu)，對信息系統(tǒng)的等級保護(hù)落實(shí)情況與信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)要求之間的符合程度的測試判定。網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》對安全控制測評的描述，使用工作單元方式組織。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。信息系統(tǒng)等級測評安全控制測評 系統(tǒng)整體測評安全技術(shù)測評 安全管理測評安全控制間12工作單元構(gòu)成測評項(xiàng)描述測評目的和測評內(nèi)容，與信息安全等級保護(hù)要求的基本安全控制要求相一致。一般來說，實(shí)施測評時(shí)，面臨的具體測評對象可以是單個(gè)人員、文檔、機(jī)制或者設(shè)備等，也可能是由多個(gè)人員、文檔、機(jī)制或者設(shè)備等構(gòu)成的集合，它們分別需要使用到某個(gè)特定安全控制的功能。在給出整個(gè)工作單元的測評結(jié)論前，需要先給出單項(xiàng)測評實(shí)施過程的結(jié)論。測評方法主要采用訪談、檢查、測試等方法進(jìn)行等級保護(hù)測評。二、 檢查（examine）不同于行政執(zhí)法意義上的監(jiān)督檢查，而是指測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法。滲透性測