一种信息系统安全等级定级划分方法技术方案

本发明专利技术公开了一种信息系统安全等级定级划分方法，包括业务信息安全等级和系统服务安全等级，判定业务信息安全的安全因素有：系统的类型、系统外部用户数量、数据的重要性、个人信息保护、系统安全事故产生的直接经济损失、系统操作安全,系统服务安全因素有：系统服务范围、系统服务对象、系统网络平台、系统可用性、平均无辜故障工作时间和平均修复时间，将因素进行评估赋值，再将评估赋值结果计算得出两个待定等级，选取一个作为最终安全评定等级。本发明专利技术综合统计多种安全因素评估计算并根据计算结果进行等级定级划分，解决传统评估方法中仅仅依靠被保护的单位性质或公司人数而进行信息安全等级划分定位要细致准确。进行信息安全等级划分定位要细致准确。进行信息安全等级划分定位要细致准确。

【技术实现步骤摘要】
一种信息系统安全等级定级划分方法


[0001]本专利技术涉及计算机
，尤其涉及一种信息系统安全等级定级划分方法。

技术介绍

[0002]信息安全等级保护常分为以下五个等级：第一级为自主保护级；第二级为指导保护级；第三级为监督保护级；第四级为强制保护级；第五级为专控保护级。
[0003]以上信息保护等级划分主要是依据信息泄漏的影响深度，并未将业务信息和影响广度加入信息系统安全等级的定级划分，以此导致在划分信息保护等级较为粗略，无法满足现在的信息系统安全等级定级的划分。

技术实现思路

[0004]本专利技术的目的是为了解决现有技术中存在的缺点，而提出了一种信息系统安全等级定级划分方法。
[0005]本专利技术提出的一种信息系统安全等级定级划分方法，包括将系统受损时造成的影响深度、影响广度和定级对象的特性划分为两模块：业务信息安全等级和系统服务安全等级，判定业务信息安全的因素有：A1.系统的类型；B1.系统外部用户数量；C1.数据的重要性；D1. 个人信息保护；E1.系统安全事故产生的直接经济损失；F1.系统操作安全,系统服务安全因素有：A2.系统服务范围；B2.系统服务对象； C3.系统网络平台；D2.系统可用性；E2.平均无辜故障工作时间；F2. 平均修复时间，将业务信息安全的因素内容和系统服务安全的因素内容分别进行评估赋值，再将评估赋值结果经过内部赋值法进行计算得出两个待定等级，最后从待定等级中选取一个作为最终安全评定等级。
[0006]作为本专利技术再进一步的方案：所述A1中赋值为1的因素内容为：政务管理、行政办公和人力资源管理；A1中赋值为2的因素内容为：公众服务、资产管理、质量安全管理和项目管理；A1中赋值为3的因素内容为：业务管理和财务管理；A1中赋值为4的因素内容为：运营生产；
[0007]所述B1中赋值为1的因素内容为：系统外部用户数量为0至49； B1中赋值为2的因素内容为：系统外部用户数量为50至499；B1中赋值为3的因素内容为：系统外部用户数量为500至4999；B1中赋值为4的因素内容为：系统外部用户数量大于或等于5000；
[0008]所述C1中赋值为1的因素内容为：数据为内部信息且已公开的数据；C1中赋值为2的因素内容为：数据涉及尚未公布的会计决算及财务预算信息、合同信息、经营活动分析信息、资产运作、尚未公布的人事任命通知；C1中赋值为3的因素内容为：数据涉及支付资金等信息；
[0009]所述D1中赋值为1的因素内容为：数据包含0至49条公民信息； D1中赋值为2的因素内容为：数据包含50至499条；D1中赋值为3 的因素内容为：数据包含500至4999条公民信息；D1中赋值为4的因素内容为：数据不低于5000条公民信息；
[0010]所述E1中赋值为1的因素内容为：直接经济损失小于3亿；E1 中赋值为2的因素内
容为：直接经济损失不低于3亿且不足30亿； E1中赋值为3的因素内容为：直接经济损失不低于30亿；
[0011]所述F1中赋值为1的因素内容为：系统操作失误对现场人员无影响；F1中赋值为2的因素内容为：系统操作失误会导致现场人员受伤。
[0012]作为本专利技术再进一步的方案：所述A2中赋值为1的因素内容为：系统因无法提供服务对本单位或一个站点造成损害；A2中赋值为2 的因素内容为：系统因无法提供服务对不低于两家单位或不低于两处站点造成损害；
[0013]所述B2中赋值为1的因素内容为：系统服务对象涵盖内部本单位员工或一个站点群体；B2中赋值为2的因素内容为：系统服务对象涵盖多家单位员工或多个站点群体；
[0014]所述C2中赋值为1的因素内容为：局域网；C2中赋值为2的因素内容为：城域网；C2中赋值为3的因素内容为：广域网；
[0015]所述D2中赋值为1的因素内容为：系统可用度不低于99％且不足99.95％；D2中赋值为2的因素内容为：系统可用性不低于99.95％且不足99.99％；D2中赋值为3的因素内容为：系统可用性不低于 99.99％；
[0016]所述E2中赋值为1的因素内容为：MTBF为5000至8000h；E2 中赋值为2的因素内容为：MTBF为8000至10000h；E2中赋值为3 的因素内容为：MTBF不小于10000h；
[0017]所述F2中赋值为1的因素内容为：MTTR在2h至1h；F2中赋值为2的因素内容为：MTTR在1h至30min；F2中赋值为3的因素内容为：MTTR应不大于30min。
[0018]作为本专利技术再进一步的方案：每个所述安全因素存在多个因素内容时，因素赋值取最大值；h表示小时，min表示分钟，E1中经济均以相同货币单位进行统计。
[0019]作为本专利技术再进一步的方案：所述业务信息安全等级划分如下：信息系统在A1、B1、C1、D1、E1和F1的评估赋值相加，从1级至5 级按顺序对应分值为6至8、9至11、12至14、15至17以及18至 20。
[0020]作为本专利技术再进一步的方案：所述系统服务安全等级划分如下：信息系统在A2、B2、C2、D2、E2和F2的评估赋值相加，从1级至5 级按顺序对应分值为6至8、9与10、12与13、14与15以及16。
[0021]作为本专利技术再进一步的方案：所述信息系统安全等级与系统服务安全得出的待定等级的数值不一致时，取二者间的最大值作为本次评估的信息系统安全等级。
[0022]作为本专利技术再进一步的方案：所述公民信息由身份证号、住址、联系方式、姓名和工作单位组成。
[0023]本专利技术中的有益效果为：本专利技术通过将影响深度、影响广度和定级对象的特性划分为业务信息安全等级和系统服务安全等级，并综合统计多种安全因素评估计算并根据计算结果进行等级定级划分，解决传统评估方法中仅仅依靠被保护的单位性质或公司人数而进行信息安全等级划分定位要细致准确；定级对象的特性，结合定级对象自身的特性，即数据的重要性、系统可靠性、系统可用性、系统维护性和系统安全性等因素对系统的影响，经过分级赋值便于得到细致的划分，进而得出较为精确的定级划分。
附图说明
[0024]图1为本专利技术提出的一种信息系统安全等级定级划分方法的安全保护等级确定流
程图；
[0025]图2为本专利技术提出的一种信息系统安全等级定级划分方法的业务信息安全因素框图；
[0026]图3为本专利技术提出的一种信息系统安全等级定级划分方法的系统服务安全因素框图。
具体实施方式
[0027]下面详细描述本专利的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本专利，而不能理解为对本专利的限制。
[0028]在本专利的描述中，需要理解的是，术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种信息系统安全等级定级划分方法，其特征在于：包括将系统受损时造成的影响深度、影响广度和定级对象的特性划分为两模块：业务信息安全等级和系统服务安全等级，判定业务信息安全的安全因素有：A1.系统的类型；B1.系统外部用户数量；C1.数据的重要性；D1.个人信息保护；E1.系统安全事故产生的直接经济损失；F1.系统操作安全,系统服务安全的安全因素有：A2.系统服务范围；B2.系统服务对象；C3.系统网络平台；D2.系统可用性；E2.平均无辜故障工作时间；F2.平均修复时间，将业务信息安全的因素内容和系统服务安全的因素内容分别进行评估赋值，再将评估赋值结果经过内部赋值法进行计算得出两个待定等级，最后从待定等级中选取一个作为最终安全评定等级。2.根据权利要求1所述的一种信息系统安全等级定级划分方法，其特征在于：所述A1中赋值为1的因素内容为：行政办公和人力资源管理；A1中赋值为2的因素内容为：质量安全管理和项目管理；A1中赋值为3的因素内容为：业务管理和财务管理；A1中赋值为4的因素内容为：运营生产；所述B1中赋值为1的因素内容为：系统外部用户数量为0至49；B1中赋值为2的因素内容为：系统外部用户数量为50至499；B1中赋值为3的因素内容为：系统外部用户数量为500至4999；B1中赋值为4的因素内容为：系统外部用户数量大于或等于5000；所述C1中赋值为1的因素内容为：数据为内部信息且已公开的数据；C1中赋值为2的因素内容为：数据涉及尚未公布的会计决算及财务预算信息、合同信息、经营活动分析信息、资产运作、尚未公布的人事任命通知；C1中赋值为3的因素内容为：数据涉及支付资金等信息；所述D1中赋值为1的因素内容为：数据包含0至49条公民信息；D1中赋值为2的因素内容为：数据包含50至499条；D1中赋值为3的因素内容为：数据包含500至4999条公民信息；D1中赋值为4的因素内容为：数据不低于5000条公民信息；所述E1中赋值为1的因素内容为：直接经济损失小于3亿；E1中赋值为2的因素内容为：直接经济损失不低于3亿且不足30亿；E1中赋值为3的因素内容为：直接经济损失不低于30亿；所述F1中赋...

【专利技术属性】
技术研发人员：于百勇，杨旭，唐德浩，
申请(专利权)人：南京地铁集团有限公司，
类型：发明
国别省市：