信息系统安全保护等级定级对象(试用稿)

定级对象
如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。

如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。

信息系统的划分
一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：

1)相同的管理机构
信息系统内的各业务子系统在同一个管理机构的管理控制之下，可以保证遵循相同的安全管理策略。
2)相同的业务类型
信息系统内的各业务子系统具有相同的业务类型，安全需求相近，可以保证遵循相同的安全策略。
3)相同的物理位置或相似的运行环境
信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一的安全保护。

信息系统和业务子系统
按照信息系统的定义，典型的信息系统应由计算机硬件设备（包括服务器设备、客户端设备、打印机及存储器等外围设备）、计算机网络硬件设备（包括交换机、路由器、各种适配器以及通信线路等）、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联，可能存在共用设备或较为频繁的数据交换。

业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元，业务子系统应具有信息系统的全部特点，应该是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体，并且承载确定的业务。

如无特殊说明，本文以下各章节所描述的信息系统指信息系统和业务子系统。