【正文】 能、公共服務(wù)職能等國家或社會方面的職能。 定級階段 關(guān)于行業(yè)定級指導(dǎo)意見 公安部 信息安全等級保護評估中心 2020/11/4 15 關(guān)于社會秩序 – 各級政府機構(gòu)的社會管理和公共服務(wù)系統(tǒng)，如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。 國家安全利益體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟安全、社會安全、科技安全和資源環(huán)境安全等方面利益。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。 公安部 信息安全等級保護評估中心 2020/11/4 4 實施階段 等級變更 局部調(diào)整 信息系統(tǒng)定級 總體安全規(guī)劃 安全設(shè)計與實施 安全運行維護 信息系統(tǒng)終止 公安部 信息安全等級保護評估中心 2020/11/4 5 實施指南描述特點 為了便于用戶使用， 《 實施指南 》 分章介紹 5個實施階段，以不同的節(jié)介紹和描述本階段所要進行的主要安全過程，以及該過程所包含的活動，包括活動目標、參與角色，活動中包含的子活動，活動過程參照的等級保護對應(yīng)標準，活動的輸入和輸出等內(nèi)容。公安部 信息安全等級保護評估中心 等級保護實施技術(shù)環(huán)節(jié) 說明 任衛(wèi)紅 2020年 7月 公安部 信息安全等級保護評估中心 2020/11/4 2 根據(jù) 《 管理辦法 》 ，信息安全等級保護的實施工作包括信息系統(tǒng)定級與評審、信息系統(tǒng)安全建設(shè)或者改建、對信息系統(tǒng)定期的等級測評與安全自查、辦理備案手續(xù)并提供相關(guān)材料、接受公安機關(guān)、國家指定的專門部門監(jiān)督檢查、選擇使用符合條件的信息安全產(chǎn)品、選擇符合條件的等級保護測評機構(gòu)等，其中涉及信息系統(tǒng)運營使用單位 /主管部門需要作較多技術(shù)工作的環(huán)節(jié)是系統(tǒng)定級和系統(tǒng)建設(shè)或改建。在每個實施階段中，如果過程具有順序性，將用流程圖的形式表述過程的執(zhí)行方式，如果沒有順序性，則用框圖分別表述每一個階段的過程 。 根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（以下簡稱《定級通知》）要求：各行業(yè)主管部門要根據(jù)行業(yè)特點提出指導(dǎo)本地區(qū)、本行業(yè)定級工作的指導(dǎo)意見。 社會秩序包括社會的政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序。 定級階段 關(guān)于行業(yè)定級指導(dǎo)意見 公安部 信息安全等級保護評估中心 2020/11/4 16 關(guān)于公共利益 – 借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進行進行管理控制都應(yīng)當是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。 – 導(dǎo)致業(yè)務(wù)能力下降，下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標的下降，每個行業(yè)務(wù)都有本行業(yè)關(guān)注的業(yè)務(wù)指標。 – 直接造成人員傷亡，例如醫(yī)療服務(wù)系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。 – 可能對客體造成不同程度損害的系統(tǒng)。 定級階段 關(guān)于定級對象確定 公安部 信息安全等級保護評估中心 2020/11/4 24 系統(tǒng)邊界不應(yīng)出現(xiàn)在服務(wù)器內(nèi)部，服務(wù)器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備一般是網(wǎng)絡(luò) /邊界設(shè)備或終端設(shè)備。 如果無法做到不同等級的信息系統(tǒng)使用不同的終端設(shè)備，則應(yīng)將終端設(shè)備劃分為其他的信息系統(tǒng)，并在服務(wù)器與內(nèi)部用戶終端之間建立邊界保護，對終端通過身份鑒別和訪問控制等措施加以控制。這些具體數(shù)據(jù)即可以為主管部門制定定級指導(dǎo)意見提供參照，也可以作為主管部門審批定級結(jié)果的重要依據(jù)。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。 系統(tǒng)建設(shè)階段 需求分析方法 公安部 信息安全等級保護評估中心 2020/11/4 33 一、 選擇、調(diào)整基本安全要求 《 定級指南 》 在確定信息系統(tǒng)的安全保護等級的同時確定了信息系統(tǒng)在業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個方面的安全保護等級 。 系統(tǒng)建設(shè)階段 需求分析方法 公安部 信息安全等級保護評估中心 2020/11/4 35 一、 選擇、調(diào)整基本安全要求 三類基本要求 – S類 — 業(yè)務(wù)信息安全保護類 — 關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。 系統(tǒng)建設(shè)階段 需求分析方法 公安部 信息安全等級保護評估中心 2020/11/4 36 一、 選擇、調(diào)整基本安全要求 需求分析步驟： – 第一步 根據(jù)其等級從 《 基本要求 》 中選擇相應(yīng)等級的基本安全要求。 – 由于信息系統(tǒng)的業(yè)務(wù)需求、應(yīng)用模式具有特殊性，系統(tǒng)面臨的威脅具有特殊性，基本要求沒有提供所需要的保護措施，例如有關(guān)無線網(wǎng)絡(luò)的接入和防護 《 基本要求 》 中沒有提出專門的要求，需要作為特殊需求。 設(shè)計分為總體安全設(shè)計和詳細安全設(shè)計。 – 要解決等級系統(tǒng)之間的互連問題，因此必須在總體安全設(shè)計中規(guī)定相應(yīng)的安全策略。 系統(tǒng)建設(shè)階段 保護方案設(shè)計 公安部 信息安全等級保護評估中心 2020/11/4 42 總體安全設(shè)計可參照以下步驟完成： – 局域網(wǎng)內(nèi)部抽象處理，劃分為多個具有等級安全域（邊界訪問控制策略相同）。 關(guān)于等級安全域的管理策略 – 從全局角度出發(fā)提出單位的總體安全管理框架和總體安全管理策略，對每個等級安全域提出各自的安全