【正文】 秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害。 二、信息系統(tǒng)安全等級(jí)劃分 ?（三）第三級(jí)為監(jiān)督保護(hù)級(jí) ? 其主要對(duì)象為涉及國家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序和公共利益造成較大損害。 ?（一）第一級(jí)為自主保護(hù)級(jí) ? 其主要對(duì)象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但 不危害國家安全、社會(huì)秩序和公共利益。 五是部署開展信息安全等級(jí)保護(hù)試點(diǎn)工作。 等級(jí)保護(hù)制度的基本思想 信息安全等級(jí)保護(hù)的工作進(jìn)展 一是 2023年 1月制定出臺(tái)了 《 信息安全等級(jí)保護(hù)管理辦法（試行） 》 。 “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南 ” 。 ? 1995年 2月 18日人大 12次會(huì)議通過并實(shí)施的 《 中華人民共和國警察法 》 第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行 “監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作 ”。LOGO 信息安全等級(jí)保護(hù) 何曉霞 本章內(nèi)容安排 ?信息安全等級(jí)保護(hù)制度 ?信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施 ?信息系統(tǒng)安全等級(jí)確定 ?信息系統(tǒng)安全等級(jí)保護(hù)要求 ?信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估 第一節(jié) 信息安全等級(jí)保護(hù)制度 ?一、信息安全等級(jí)保護(hù)管理 ?二、信息系統(tǒng)安全等級(jí)劃分 ?三、信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn) 一、信息安全等級(jí)保護(hù)管理 信息安全等級(jí)保護(hù)是國家信息安全保障的基本制度、基本策略、基本方法。 ——法律依據(jù)。 2023年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了 《 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》 （ 66號(hào)文件） 2023年 1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了 《 信息安全等級(jí)保護(hù)管理辦法 》 （公通字 [2023]7號(hào)） 政府層面：國家制定統(tǒng)一信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息安全產(chǎn)品的使用分等級(jí)實(shí)行管理，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、指導(dǎo)。 二是 2023年 5月 18日組織召開了國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組第一次會(huì)議。 六是出臺(tái)新的 《 信息安全等級(jí)保護(hù)管理辦法 》 。 ? 本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。 ? 本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對(duì)其進(jìn)行監(jiān)督、檢查。 ? 本級(jí)系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督、檢查。 ?它將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分為五個(gè)等級(jí)，通過規(guī)范、科學(xué)和公正的評(píng)定和監(jiān)督管理， ? 一是為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理法規(guī)的制定和執(zhí)法部門的監(jiān)督、檢查提供依據(jù)； ? 二是為計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品的研制提供技術(shù)支持； ? 三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。 （二） GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 ?GA/T 390 — 2023主要內(nèi)容為： ? （ 1）安全功能技術(shù)要求，包括物理安全、運(yùn)行安全、信息安全。對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 （四） GA/T 389 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 》 ?GA/T 389 — 2023主要內(nèi)容為： ? （ 1）數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求，包括身份鑒別、標(biāo)記與訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)庫安全審計(jì)、客體重用、數(shù)據(jù)庫可信恢復(fù)、隱蔽信道分析、可信路徑、推理控制。 （五） GA/T 387 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 》 ? GA/T 387 — 2023主要內(nèi)容為： ? （ 1）簡單描述了關(guān)于安全等級(jí)劃分、主體、客體、 TCB、密碼技術(shù)、建立網(wǎng)絡(luò)安全的一般要求，以及網(wǎng)絡(luò)安全組成與相互關(guān)系。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實(shí)施。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 》 ?GA/T 391 — 2023主要內(nèi)容為： ? （ 1）簡單描述了信息系統(tǒng)安全管理的內(nèi)涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過程、安全管理組織、人員安全管理、安全管理制度等。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?為確定信息系統(tǒng)的安全保護(hù)等級(jí)，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在四個(gè)定級(jí)要素方面的賦值（分別為系統(tǒng)所屬類型、業(yè)務(wù)信息類型、服務(wù)范圍、依賴程度），然后分別由四個(gè)定級(jí)要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個(gè)定級(jí)指標(biāo)的等級(jí)，再根據(jù)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí)，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級(jí)確定信息系統(tǒng)的安全保護(hù)等級(jí)。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 為安全等級(jí)保護(hù)的每一個(gè)級(jí)別（共五個(gè)級(jí)別）都規(guī)定了要實(shí)現(xiàn)的安全目標(biāo)，以及為了實(shí)現(xiàn)安全目標(biāo)所必須采用的技術(shù)措施和管理手段。 （十） 《 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則 》 ?各單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施力度和遵循情況，不僅需要各單位自身進(jìn)行檢查和評(píng)估，而且需要信息安全監(jiān)管職能部門依法進(jìn)行監(jiān)督、檢查。安全控制測評(píng)，主要是測評(píng)信息系統(tǒng)安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施和配置情況；系統(tǒng)整體測評(píng)，主要對(duì)信息系統(tǒng)的整體安全性進(jìn)行測評(píng)。 ?（二）同步建設(shè)原則 ? 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 二、參與角色和職責(zé) ?信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)中的 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 ，將參與等級(jí)保護(hù)過程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運(yùn)營、使用單位；主要角色將參與等級(jí)保護(hù)實(shí)施過程的所有活動(dòng) ? 次要角色：是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測評(píng)機(jī)構(gòu)和安全產(chǎn)品供應(yīng)商。 等級(jí)保護(hù)實(shí)施過程中各類角色的職責(zé) ?（三）信息系統(tǒng)安全服務(wù)商 ? 信息系統(tǒng)安全服務(wù)商的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營、使用單位的委托，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營、使用單位完成等級(jí)保護(hù)的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級(jí)、進(jìn)行安全需求分析、進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工等。 三、實(shí)施過程 ?對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的過程劃分為五個(gè)階段 （一）系統(tǒng)定級(jí)階段 ?系統(tǒng)定級(jí)階段通過對(duì)信息系統(tǒng)的調(diào)查和分析進(jìn)行信息系統(tǒng)劃分，確定包括相對(duì)獨(dú)立的信息系統(tǒng)的個(gè)數(shù)，選擇合適的信息系統(tǒng)安全等級(jí)定級(jí)方法，科學(xué)、準(zhǔn)確地確定每個(gè)信息系統(tǒng)的安全等級(jí)。 （三）安全實(shí)施階段 ?安全實(shí)施階段通過安全方案詳細(xì)設(shè)計(jì)、安全產(chǎn)品的采購、安全控制的開發(fā)、安全控制集成、機(jī)構(gòu)和人員的配置、安全管理制度的建設(shè)、人員的安全技能培訓(xùn)等環(huán)節(jié)，將安全規(guī)劃設(shè)計(jì)階段的安全方針和策略，具體落實(shí)到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。安全運(yùn)行維護(hù)階段需要進(jìn)行的安全控制活動(dòng)很多，如運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應(yīng)急預(yù)案等。 四、安全等級(jí)保護(hù)與信息系統(tǒng)生命周期的關(guān)系 ?信息系統(tǒng)生命周期包括五個(gè)階段，即啟動(dòng)準(zhǔn)備階段、設(shè)計(jì) /開發(fā)階段、實(shí)施 /實(shí)現(xiàn)階段、運(yùn)行維護(hù)階段和系統(tǒng)終止階段。 ? 在啟動(dòng)準(zhǔn)備階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)信息系統(tǒng)，確定各個(gè)信息系統(tǒng)的安全等級(jí)，定級(jí)過程也可能在設(shè)計(jì) /開發(fā)階段實(shí)施； ? 在設(shè)計(jì) /開發(fā)階段，應(yīng)該根據(jù)各個(gè)信息系統(tǒng)的安全等級(jí)，進(jìn)行安全需求分析，合理規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、安全保護(hù)措施等，確保各個(gè)信息系統(tǒng)按照國家等級(jí)保護(hù)的要求進(jìn)行規(guī)劃設(shè)計(jì)； ? 在實(shí)施 /實(shí)現(xiàn)階段，應(yīng)在系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的落實(shí)和實(shí)現(xiàn)； ? 在運(yùn)行維護(hù)階段，應(yīng)按照國家等級(jí)保護(hù)的要求進(jìn)行安全維護(hù)和安全管理； ? 在系統(tǒng)終止階段，應(yīng)對(duì)系統(tǒng)的廢棄過程進(jìn)行有效安全管理。信息系統(tǒng)安全等級(jí)的確定是否準(zhǔn)確直接關(guān)系到是否對(duì)信息系統(tǒng)采取了足夠的安全保護(hù)措施，是否能夠?qū)⑿畔⑾到y(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度降到最低。 ?按照信息系統(tǒng)的定義，典型的信息系統(tǒng)應(yīng)由計(jì)算機(jī)硬件設(shè)備（包括服務(wù)器設(shè)備、客戶端設(shè)備、打印機(jī)及存儲(chǔ)器等外圍設(shè)備）、計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備（包括交換機(jī)、路由器、各種適配器以及通信線路等）、安裝于這些硬件設(shè)備上的軟件、所提供的服務(wù)以及相關(guān)的人員構(gòu)成。業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點(diǎn)，是由計(jì)算機(jī)硬件、計(jì)算機(jī)網(wǎng)絡(luò)硬件以及安裝于這些硬件上的軟件、提供的服務(wù)以及相關(guān)人員構(gòu)成的一個(gè)有形實(shí)體，并且承載確定的業(yè)務(wù)。信息系統(tǒng)是進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。根據(jù)社會(huì)影響高低，典型的信息系統(tǒng)所屬類型、賦值及其社會(huì)影響如下表所示。 2 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對(duì)公共利益有直接影響，或?qū)野踩嬗虚g接影響。 業(yè)務(wù)信息類型舉例 賦值 業(yè)務(wù)信息的安全影響 可以對(duì)外公開發(fā)布的信息，或不對(duì)外發(fā)布的單位內(nèi)部一般信息。 涉及國家安全利益，影響國家經(jīng)濟(jì)建設(shè)的信息。 1 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)局部范圍的資產(chǎn)造成損害。 3 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)全國范圍的資產(chǎn)造成損害。 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動(dòng)化程度中。 等級(jí)確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護(hù)等級(jí)既不是信息系統(tǒng)安全保障等級(jí)，也不是信息系統(tǒng)所能達(dá)到的技術(shù)能力等級(jí)，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對(duì)國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級(jí)。 決定等級(jí)的主要因素分析 已在不同分級(jí)方法中出現(xiàn)的作為劃分信息系統(tǒng)安全等級(jí)的因素主要包括： ? 業(yè)務(wù)系統(tǒng)在國家事務(wù)中的重要性 （實(shí)施意見）； ? 資產(chǎn) （包括有形資產(chǎn)和無形資產(chǎn)）（