定级中的困惑问题解释

【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《定级中的困惑问题解释》，欢迎阅读！

定级中的困惑问题解释



1. 怎样理解一个系统中的业务信息？ 【解释】

通常，在信息系统中的业务信息，是指信息系统中应用系统承载的信息，包括用户输入、处理、传输、存储及输出的信息，以及用于应用系统内部管理（如用户管理等）的信息等。

可以对上述这些信息进行分类和命名，也可以根据应用系统支撑的业务中习惯称谓作为名称。由于应用系统的差异很大，可以根据信息量的大小、信息的重要程度以及安全要求的高低，选择各类信息中的主要信息为代表说明应用系统的业务信息。

在考虑业务信息时，应注意信息系统或应用系统中业务信息的重要性应与其在实际业务环境中的重要性一致，还应特别关注业务信息的完整性要求和安全性要求。



2. 怎样理解一个系统中的系统服务？ 【解释】

在《信息系统安全等级保护定级指南》中，对系统服务（system service）的解释是，信息系统为支撑其所承载业务而提供的程序化过程。

通常是指信息系统中一个应用系统为用户所提供的业务应用的功能的具体实现。一个应用系统的正常运行，不仅需要应用软件，还需要应用系统的支撑环境，因此系统服务的保证不仅与特定的应用软件有关，而且与其运行环境有关。

在考虑系统服务时，应注意应用系统的重要性与其支撑的业务在一个单位整体业务中的重要性一致，还应特别关注应用系统及其支撑环境的可用性要求，也包括业务连续性要求。



3. 一般损害、严重损害、特别严重损害的程度到底怎样判断？ 【解释】

在《信息系统安全等级保护定级指南》中，描述如下：

在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准：

- 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准；

- 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。

不同危害后果的三种危害程度描述如下：

- 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。

- 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

- 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。



4. 我单位将很多应用综合为一个管理系统，是为这个综合管理系统进行定级还是应该分别定级？ 【解释】

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，


优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

贵单位的综合管理系统，如果很大很重要，而且是单位中主要的应用系统，可以划分为若干个较小的分成、可能具有不同安全保护等级的定级对象。但如果综合管理系统仅仅是多个重要或较大应用系统之一，而且综合管理系统的各个应用的重要性差异也不太大，则可以作为一个独立的定级对象。

应注意作为定级对象的信息系统要具有如下基本特征： a) 具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 b) 具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 c) 承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。



6. 我单位的局域网、城域网是否要单独定级？ 【解释】

一般说，起传输作用的基础网络要作为单独的定级对象，如城域网，可以作为一个独立的定级对象考虑。

单位内部的局域网，特别是已经划分的比较小的局域网，如果当某个应用系统作为一个独立的定级对象，在描述边界时已经包括了这个局域网，则不必再作为一个独立的定级对象来考虑。

应注意在考虑定级对象时，不能遗漏了单位内部的局域网、城域网。

7. 下级单位共同所属的单位如何理解？ 【解释】

在要求“具有唯一确定的安全责任单位”中，有以下描述：

作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，而其上级部门仅负有监督、指导责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

这里“共同所属”是指，当一个信息系统的应用覆盖了一个单位中的不同下级单位，这些下级单位属于同一个信息系统的不同应用角色，例如有的单位承担数量录入、有的单位负责数据查询分析，等等。而这些下级单位都有对信息系统数据的安全性负有责任，但又存在一定的差异，即“分别承担信息系统不同方面的安全责任”。



8. 判断客体受侵害的顺序是什么? 【解释】

在《信息系统安全等级保护定级指南》中，对判断客体受侵害顺序的描述如下：


确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

侵害国家安全的事项包括以下方面： - 影响国家政权稳固和国防实力； - 影响国家统一、民族团结和社会安定； - 影响国家对外活动中的政治、经济利益； - 影响国家重要的安全保卫工作； - 影响国家经济竞争力和科技实力； - 其他影响国家安全的事项。 侵害社会秩序的事项包括以下方面：

- 影响国家机关社会管理和公共服务的工作秩序； - 影响各种类型的经济活动秩序； - 影响各行业的科研、生产秩序；

- 影响公众在法律约束和道德规范下的正常生活秩序等； - 其他影响社会秩序的事项。 影响公共利益的事项包括以下方面： - 影响社会成员使用公共设施； - 影响社会成员获取公开信息资源； - 影响社会成员接受公共服务等方面； - 其他影响公共利益的事项。

影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

本文来源：https://www.wddqxz.cn/c9516aa786c24028915f804d2b160b4e777f8123.html