【正文】 秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。 二、信息系統(tǒng)安全等級劃分 ?（三）第三級為監(jiān)督保護級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害。 ?（一）第一級為自主保護級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但 不危害國家安全、社會秩序和公共利益。 五是部署開展信息安全等級保護試點工作。 等級保護制度的基本思想 信息安全等級保護的工作進展 一是 2023年 1月制定出臺了 《 信息安全等級保護管理辦法（試行） 》 。 “要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南 ” 。 ? 1995年 2月 18日人大 12次會議通過并實施的 《 中華人民共和國警察法 》 第二章第六條第十二款規(guī)定，公安機關人民警察依法履行 “監(jiān)督管理計算機信息系統(tǒng)的安全保護工作 ”。LOGO 信息安全等級保護 何曉霞 本章內容安排 ?信息安全等級保護制度 ?信息系統(tǒng)安全等級保護實施 ?信息系統(tǒng)安全等級確定 ?信息系統(tǒng)安全等級保護要求 ?信息系統(tǒng)安全風險評估 第一節(jié) 信息安全等級保護制度 ?一、信息安全等級保護管理 ?二、信息系統(tǒng)安全等級劃分 ?三、信息系統(tǒng)安全等級保護相關標準 一、信息安全等級保護管理 信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。 ——法律依據。 2023年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了 《 關于信息安全等級保護工作的實施意見》 （ 66號文件） 2023年 1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了 《 信息安全等級保護管理辦法 》 （公通字 [2023]7號） 政府層面：國家制定統(tǒng)一信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督、指導。 二是 2023年 5月 18日組織召開了國家信息安全等級保護工作協(xié)調小組第一次會議。 六是出臺新的 《 信息安全等級保護管理辦法 》 。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，國家指定專門部門、專門機構進行專門監(jiān)督、檢查。 ?它將計算機信息系統(tǒng)安全保護等級劃分為五個等級，通過規(guī)范、科學和公正的評定和監(jiān)督管理， ? 一是為計算機信息系統(tǒng)安全等級保護管理法規(guī)的制定和執(zhí)法部門的監(jiān)督、檢查提供依據； ? 二是為計算機信息系統(tǒng)安全產品的研制提供技術支持； ? 三是為安全系統(tǒng)的建設和管理提供技術指導。 （二） GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術要求 》 ?GA/T 390 — 2023主要內容為： ? （ 1）安全功能技術要求，包括物理安全、運行安全、信息安全。對計算機信息系統(tǒng)五個安全保護等級每一級的安全功能技術要求和安全保證技術要求進行詳細描述。 （四） GA/T 389 — 2023《 計算機信息系統(tǒng)安全等級保護數據庫管理系統(tǒng)技術要求 》 ?GA/T 389 — 2023主要內容為： ? （ 1）數據庫管理系統(tǒng)安全技術要求，包括身份鑒別、標記與訪問控制、數據完整性、數據庫安全審計、客體重用、數據庫可信恢復、隱蔽信道分析、可信路徑、推理控制。 （五） GA/T 387 — 2023《 計算機信息系統(tǒng)安全等級保護網絡技術要求 》 ? GA/T 387 — 2023主要內容為： ? （ 1）簡單描述了關于安全等級劃分、主體、客體、 TCB、密碼技術、建立網絡安全的一般要求，以及網絡安全組成與相互關系。 （六） GA/T 391 — 2023《 計算機信息系統(tǒng)安全等級保護管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實施。 （六） GA/T 391 — 2023《 計算機信息系統(tǒng)安全等級保護管理要求 》 ?GA/T 391 — 2023主要內容為： ? （ 1）簡單描述了信息系統(tǒng)安全管理的內涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過程、安全管理組織、人員安全管理、安全管理制度等。 （八） 《 信息系統(tǒng)安全保護等級定級指南 》 ?為確定信息系統(tǒng)的安全保護等級，首先要確定信息系統(tǒng)內各業(yè)務子系統(tǒng)在四個定級要素方面的賦值（分別為系統(tǒng)所屬類型、業(yè)務信息類型、服務范圍、依賴程度），然后分別由四個定級要素確定業(yè)務信息安全性和業(yè)務服務保證性兩個定級指標的等級，再根據業(yè)務信息安全性等級和業(yè)務服務保證性等級確定業(yè)務子系統(tǒng)安全保護等級，最后由信息系統(tǒng)內各業(yè)務子系統(tǒng)的最高等級確定信息系統(tǒng)的安全保護等級。 （九） 《 信息安全技術 ——信息系統(tǒng)安全等級保護基本要求 》 ?《 信息安全技術 ——信息系統(tǒng)安全等級保護基本要求 》 為安全等級保護的每一個級別（共五個級別）都規(guī)定了要實現的安全目標，以及為了實現安全目標所必須采用的技術措施和管理手段。 （十） 《 信息系統(tǒng)安全等級保護測評準則 》 ?各單位對信息系統(tǒng)安全等級保護的實施力度和遵循情況，不僅需要各單位自身進行檢查和評估，而且需要信息安全監(jiān)管職能部門依法進行監(jiān)督、檢查。安全控制測評，主要是測評信息系統(tǒng)安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施和配置情況；系統(tǒng)整體測評，主要對信息系統(tǒng)的整體安全性進行測評。 ?（二）同步建設原則 ? 信息系統(tǒng)在新建、改建、擴建時應當同步規(guī)劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。 二、參與角色和職責 ?信息系統(tǒng)安全等級保護系列標準中的 《 信息安全技術 ——信息系統(tǒng)安全等級保護實施指南 》 ，將參與等級保護過程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運營、使用單位；主要角色將參與等級保護實施過程的所有活動 ? 次要角色：是指信息系統(tǒng)安全服務商、信息安全監(jiān)管機構、安全測評機構和安全產品供應商。 等級保護實施過程中各類角色的職責 ?（三）信息系統(tǒng)安全服務商 ? 信息系統(tǒng)安全服務商的主要責任是根據信息系統(tǒng)運營、使用單位的委托，按照等級保護的管理規(guī)范和技術標準，協(xié)助信息系統(tǒng)運營、使用單位完成等級保護的相關工作，可能包括確定其信息系統(tǒng)的安全等級、進行安全需求分析、進行信息系統(tǒng)的規(guī)劃設計、建設施工等。 三、實施過程 ?對信息系統(tǒng)實施等級保護的過程劃分為五個階段 （一）系統(tǒng)定級階段 ?系統(tǒng)定級階段通過對信息系統(tǒng)的調查和分析進行信息系統(tǒng)劃分，確定包括相對獨立的信息系統(tǒng)的個數，選擇合適的信息系統(tǒng)安全等級定級方法，科學、準確地確定每個信息系統(tǒng)的安全等級。 （三）安全實施階段 ?安全實施階段通過安全方案詳細設計、安全產品的采購、安全控制的開發(fā)、安全控制集成、機構和人員的配置、安全管理制度的建設、人員的安全技能培訓等環(huán)節(jié)，將安全規(guī)劃設計階段的安全方針和策略，具體落實到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。安全運行維護階段需要進行的安全控制活動很多，如運行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應急預案等。 四、安全等級保護與信息系統(tǒng)生命周期的關系 ?信息系統(tǒng)生命周期包括五個階段，即啟動準備階段、設計 /開發(fā)階段、實施 /實現階段、運行維護階段和系統(tǒng)終止階段。 ? 在啟動準備階段，應該仔細分析和合理劃分各個信息系統(tǒng)，確定各個信息系統(tǒng)的安全等級，定級過程也可能在設計 /開發(fā)階段實施； ? 在設計 /開發(fā)階段，應該根據各個信息系統(tǒng)的安全等級，進行安全需求分析，合理規(guī)劃設計網絡結構、應用系統(tǒng)、安全保護措施等，確保各個信息系統(tǒng)按照國家等級保護的要求進行規(guī)劃設計； ? 在實施 /實現階段，應在系統(tǒng)建設的同時，同步進行安全措施的落實和實現； ? 在運行維護階段，應按照國家等級保護的要求進行安全維護和安全管理； ? 在系統(tǒng)終止階段，應對系統(tǒng)的廢棄過程進行有效安全管理。信息系統(tǒng)安全等級的確定是否準確直接關系到是否對信息系統(tǒng)采取了足夠的安全保護措施，是否能夠將信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度降到最低。 ?按照信息系統(tǒng)的定義，典型的信息系統(tǒng)應由計算機硬件設備（包括服務器設備、客戶端設備、打印機及存儲器等外圍設備）、計算機網絡硬件設備（包括交換機、路由器、各種適配器以及通信線路等）、安裝于這些硬件設備上的軟件、所提供的服務以及相關的人員構成。業(yè)務子系統(tǒng)應具有信息系統(tǒng)的全部特點，是由計算機硬件、計算機網絡硬件以及安裝于這些硬件上的軟件、提供的服務以及相關人員構成的一個有形實體，并且承載確定的業(yè)務。信息系統(tǒng)是進行等級確定和等級保護管理的最終對象。根據社會影響高低，典型的信息系統(tǒng)所屬類型、賦值及其社會影響如下表所示。 2 信息系統(tǒng)資產受到破壞會對公共利益有直接影響，或對國家安全利益有間接影響。 業(yè)務信息類型舉例 賦值 業(yè)務信息的安全影響 可以對外公開發(fā)布的信息，或不對外發(fā)布的單位內部一般信息。 涉及國家安全利益，影響國家經濟建設的信息。 1 信息系統(tǒng)因無法提供服務或無法提供有效服務會對局部范圍的資產造成損害。 3 信息系統(tǒng)因無法提供服務或無法提供有效服務會對全國范圍的資產造成損害。 業(yè)務處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動化程度中。 等級確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護等級既不是信息系統(tǒng)安全保障等級，也不是信息系統(tǒng)所能達到的技術能力等級，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經濟建設、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴重性角度確定的信息系統(tǒng)應達到的安全等級。 決定等級的主要因素分析 已在不同分級方法中出現的作為劃分信息系統(tǒng)安全等級的因素主要包括： ? 業(yè)務系統(tǒng)在國家事務中的重要性 （實施意見）； ? 資產 （包括有形資產和無形資產）（