3.3.4 复杂系统定级方法

对于包括多个子系统的复杂电子政务系统，定级可以包括系统总体安全等级和各子系统的安全等级。系统总体定级和各子系统定级可以分别采用自上向下的定级方式和自下向上的

定级方式，也可以综合两种方式进行。

3.3.4.1 自上向下的定级方式

自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。首先依据系统的整体情况，根据定级规则对电子政务系统进行总体定级，然后根据系统总体安全等级，对子

系统采用同一等级或适当降低等级，从而确定子系统等级。自上向下定级方式是从整体系统的属性出发，向下细分，通过考虑整体系统的使命、整体业务框架、业务特性、安全要求、系统在国家层面的定位等，来把握系统整体的安全等级。自上向下的定级方式包含如下步骤：

a） 确定整体系统的等级，即总体定级

1) 对整体系统识别的主要信息或服务分别分析其保密性、完整性和可用性的等级，得到一个列表；

2) 按照系统定级规则，计算得到整体系统的保密性、完整性和可用性的初始安全等级，和初始的总体定级；

3) 对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审，评审时要考虑系统在政务机构履行其职能中所起的作用、系统的使命、整体业务框架、系统在国家层面的定位，以及本系统的外部环境等因素。对于等级不合适的部分进行调整，最后确定系统的最终安全等级。

b） 确定各子系统的等级

1) 从总体等级出发，对子系统采用相同等级或适当降低等级，从而确定子系统等级；

2) 也可以对各子系统识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级，按照系统定级规则确定各子系统等级；

3) 把上述的两种定级结果进行比较，最终确定各子系统的等级。

3.3.4.2 自下向上的定级方式

自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性，根据定级规则对各子系统进行定级，然后以各子系统的安全等级为基础，

综合考虑，得到系统总体的安全等级。自下向上的定级方式从各个子系统的属性出发，通过考虑各个子系统的实际情况、所处的环境、之间的差异性来确定各子系统的安全等级。