1、确定业务信息安全性等级
将信息系统所属类型的赋值(1,2,3)与业务信息类型的赋值(1,2,3)构成一个33矩阵,去掉不合理的交叉点,构成业务信息安全性等级矩阵,如表5所示。
表5 业务信息安全性等级矩阵表
2、确定业务服务保证性等级
将信息系统服务范围的赋值(1,2,3)与业务依赖程度的赋值(1,2,3)构成一个3*3矩阵,构成业务服务保证性取值矩阵,如表6所示。 表6 业务服务保证性取值矩阵表
考虑信息系统服务范围和业务依赖程度两个因素赋值时均没有涉及国家安全利益,因此增加调节因子k,以反映信息系统无法提供服务或无法提供有效服务所造成损失对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度。
调节因子k的取值范围为大于0小于1的数值,可根据信息系统服务的影响程度参照表7进行选取。 表7 调节因子取值表
将调节因子与业务服务保证性取值相乘,根据所得结果,选取相应的业务服务保证性等级。考虑到调节因子为主观选取,存在一定的不确定性,相乘结果与业务服务保证性等级的对应中存在一定的交叠,对这一部分相乘结果,信息系统的相关定级人员可以根据本系统的具体情况适当选择。
由于一级系统没有必要调节,表8列出对业务服务保证性取值为2、3、4的调节结果。
表8 调节后的业务服务保证性等级
3、确定信息系统安全保护等级
业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。
信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统安全保护等级的调整
根据本指南第4、5、6章的步骤和方法,信息系统的运行、使用单位确定的信息系统安全保护等级,信息系统的决策者或上级主管部门可根据系统的特殊需求进行调整,但调整只能调高等级而不能降低等级。
信息系统的安全保护等级和采取的基本安全保护措施是有对应关系的,信息系统的运行、使用单位虽然可以根据系统的特殊安全需求对一些安全保护措施进行增强,但整体上的安全保护水平还是原来的级别,如果考虑系统的特殊需求,需要加强保护,可提升级别,提高整体安全保护水平。
信息系统的决策者或上级主管部门可根据系统的特殊安全需求进行等级调整,可以参考以下因素:
1)上级主管部门在政策和管理方面的特殊要求。
2)预测业务信息可能会随着时间的变化从量变转化为质变。
3)业务依赖程度在将来会进一步提高,或随着信息系统所承载的业务不断完善和稳定,与信息系统并行的手工处理(或老的系统)的业务将有可能取消。
4)信息系统服务范围随着业务的发展,将会有较大的变化。
| 
