為確定信息系統(tǒng)的安全保護(hù)等級(jí),首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在4個(gè)定級(jí)要素方面的賦值,然后分別由4個(gè)定級(jí)要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性?xún)蓚€(gè)定級(jí)指標(biāo)的等級(jí),再根據(jù)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí),最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級(jí)確定信息系統(tǒng)的安全保護(hù)等級(jí)。
具體步驟如圖1所示。
圖1確定信息系統(tǒng)系統(tǒng)保護(hù)等級(jí)的步驟具體描述如下:
1)參照4.2.1、4.2.2、4.2.3和4.2.4節(jié)內(nèi)容為信息系統(tǒng)所屬類(lèi)型、業(yè)務(wù)信息類(lèi)型、信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)依賴(lài)程度賦值;
2)根據(jù)6.1和6.2節(jié)內(nèi)容確定兩個(gè)定級(jí)指標(biāo)??業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性的等級(jí),業(yè)務(wù)信息安全性等級(jí)體現(xiàn)信息資產(chǎn)重要性,業(yè)務(wù)服務(wù)保證性等級(jí)體現(xiàn)信息系統(tǒng)服務(wù)重要性;
3)由兩個(gè)定級(jí)指標(biāo)的較高者確定業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級(jí);
4)由信息系統(tǒng)內(nèi)所有業(yè)務(wù)子系統(tǒng)的最高等級(jí),確定信息系統(tǒng)的安全保護(hù)等級(jí)。
值得注意的是,等級(jí)的確定可能不是一個(gè)過(guò)程就可以完成的,可能要經(jīng)過(guò)信息系統(tǒng)劃分、賦值、定級(jí)、調(diào)整、重新賦值、再定級(jí)、再調(diào)整的循環(huán)過(guò)程,通過(guò)不斷反饋和調(diào)整,最終確定出較為適當(dāng)?shù)男畔⑾到y(tǒng)安全保護(hù)等級(jí)。
