【正文】 資產(chǎn)）（ FIPS199，IATF， DITSCAP， NIST80037）； ? 威脅 （ IATF）； ? 信息被破壞后對(duì)國(guó)家、社會(huì)公共利益和單位或個(gè)人的 影響 （ FIPS199，通用要求，實(shí)施指南）； ? 業(yè)務(wù)對(duì)信息系統(tǒng)的依賴(lài)程度 （ DITSCAP） 決定等級(jí)的主要因素分析 劃分等級(jí)時(shí)應(yīng)考慮以下因素： ? 系統(tǒng)所屬類(lèi)型，即信息系統(tǒng)的安全利益主體。 決定等級(jí)的主要因素分析 系統(tǒng)所屬類(lèi)型 業(yè)務(wù)信息類(lèi)別 系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴(lài)程度程度 業(yè)務(wù)信息安全性 業(yè)務(wù)服務(wù)保證性 決定等級(jí)的主要因素分析 業(yè)務(wù)信息安全性 業(yè)務(wù)服務(wù)保證性 信息系統(tǒng)安全保護(hù)等級(jí) 等級(jí)確定方法 ? 信息系統(tǒng)劃分 ? 等級(jí)確定方法 ? 等級(jí)確定步驟 ? 等級(jí)調(diào)整 信息系統(tǒng)劃分 一個(gè)組織機(jī)構(gòu)內(nèi)可能運(yùn)行一個(gè)或多個(gè)信息系統(tǒng)，這些信息系統(tǒng)的安全保護(hù)等級(jí)可以是相同的，也可以是不同的。 信息系統(tǒng)劃分 信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 ? 等級(jí)調(diào)整 確定信息系統(tǒng)安全保護(hù)等級(jí)的步驟 ?為確定信息系統(tǒng)的安全保護(hù)等級(jí)，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在上述四個(gè)定級(jí)要素方面的賦值，然后分別由四個(gè)定級(jí)要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性?xún)蓚€(gè)定級(jí)指標(biāo)的等級(jí)，再根據(jù)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí)，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級(jí)確定信息系統(tǒng)的安全保護(hù)等級(jí)。 確定業(yè)務(wù)服務(wù)保證性 業(yè)務(wù)服務(wù)保證性等級(jí)矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴(lài)程度 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 業(yè)務(wù)服務(wù)保證性的調(diào)節(jié) 調(diào)節(jié)因子 k 的取值范圍為大于 0小于 1的數(shù)值。 – 預(yù)測(cè)業(yè)務(wù)信息可能會(huì)隨著時(shí)間的變化從量變轉(zhuǎn)化為質(zhì)變。 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 網(wǎng)站信息屬公開(kāi)信息，其業(yè)務(wù)信息類(lèi)型賦值為 1； 省政府為黨政機(jī)關(guān)，其信息系統(tǒng)類(lèi)型賦值為 3； 查表知 ZFWZ系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)為 2級(jí)，如下表所示： 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)信息安全性等級(jí)矩陣 業(yè)務(wù)信息類(lèi)型 信息系統(tǒng)類(lèi)型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 ZFWZ系統(tǒng)為省內(nèi)企業(yè)和市民服務(wù)，其系統(tǒng)服務(wù)范圍賦值為 2； ZFWZ系統(tǒng)對(duì)實(shí)時(shí)性要求不高，沒(méi)有必須通過(guò)網(wǎng)絡(luò)才能夠執(zhí)行的辦事流程。 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 DDZDH系統(tǒng)信息屬企業(yè)專(zhuān)有信息，這些信息被破壞會(huì)對(duì)公眾利益造成嚴(yán)重影響，其業(yè)務(wù)信息類(lèi)型賦值為 2； 電力行業(yè)為國(guó)家重要基礎(chǔ)領(lǐng)域，DDZDH系統(tǒng)為其中的重要信息系統(tǒng)，其信息系統(tǒng)類(lèi)型賦值應(yīng)為 2； 查表知 DDZDH系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)為 3級(jí)，如下表所示： 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)信息安全性等級(jí)矩陣 業(yè)務(wù)信息類(lèi)型 信息系統(tǒng)類(lèi)型 1 2 3 1 1 2 2 2 2 3 3 3 4 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 DDZDH系統(tǒng)為省內(nèi)企業(yè)和市民提供電力支持，其系統(tǒng)服務(wù)范圍賦值為 2； DDZDH系統(tǒng)對(duì)實(shí)時(shí)性要求高，且無(wú)法采用手工作業(yè)替代，其業(yè)務(wù)自動(dòng)化處理程度應(yīng)為 3； 查表知 DDZDH系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為4，如下表所示： 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)服務(wù)保證性等級(jí)矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴(lài)程度 1 1 2 1 1 2 3 2 2 3 4 3 3 4 4 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 考慮到電力系統(tǒng)關(guān)系國(guó)防和國(guó)民經(jīng)濟(jì)命脈，是國(guó)家重要基礎(chǔ)設(shè)施， DDZDH系統(tǒng)調(diào)節(jié)因子可選為 1，查表 12知，調(diào)節(jié)后 DDZDH系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為 4級(jí)； DDZDH系統(tǒng)的安全保護(hù)等級(jí)為 4級(jí)。 安全保護(hù)能力等級(jí)劃分 ?4級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒?lái)自敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣（多地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復(fù)所有功能。 ? 基本管理要求從安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)行維護(hù)管理幾個(gè)方面提出安全要求。 不同安全等級(jí)的信息系統(tǒng)可以選擇的保護(hù)要求組合 安全等級(jí) 信息系統(tǒng)保護(hù)要求的組合 第一級(jí) S1A1G1 第二級(jí) S1A2G2， S2A2G2， S2A1G2 第三級(jí) S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四級(jí) S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4，S4A1G4 基本要求進(jìn)行選擇的過(guò)程 ? 首先，基本要求的選擇由信息系統(tǒng)的安全等級(jí)確定，基本要求包括技術(shù)要求和管理要求。 ? 最后，由于各種原因?qū)疽箜?xiàng)有調(diào)整需求的，應(yīng)針對(duì)需要調(diào)整的基本要求項(xiàng)逐項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析，在保證不降低整體安全保護(hù)強(qiáng)度的前提下，對(duì)基本要求項(xiàng)進(jìn)行調(diào)整，并形成書(shū)面的調(diào)整理由進(jìn)行說(shuō)明。 23:10:5123:10:5123:103/8/2023 11:10:51 PM ? 1以我獨(dú)沈久，愧君相見(jiàn)頻。 2023年 3月 8日星期三 下午 11時(shí) 10分 51秒 23:10: ? 1比不了得就不比，得不到的就不要。 下午 11時(shí) 10分 51秒 下午 11時(shí) 10分 23:10: ? 沒(méi)有失敗，只有暫時(shí)停止成功！。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1不知香積寺，數(shù)里入云峰。 2023年 3月 下午 11時(shí) 10分 :10March 8, 2023 ? 1少年十五二十時(shí)，步行奪得胡馬騎。 23:10:5123:10:5123:103/8/2023 11:10:51 PM ? 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 :10:5123:10:51March 8, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 下午 11時(shí) 10分 51秒 下午 11時(shí) 10分 23:10: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專(zhuān)家告訴 。 2023年 3月 下午 11時(shí) 10分 :10March 8, 2023 ? 1業(yè)余生活要有意義，不要越軌。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1知人者智，自知者明。 下午 11時(shí) 10分 51秒 下午 11時(shí) 10分 23:10: ? 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 8日星期三 下午 11時(shí) 10分 51秒 23:10: ? 1楚塞三湘接，荊門(mén)九派通。 23:10:5123:10:5123:103/8/2023 11:10:51 PM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 2023年 3月 下午 11時(shí) 10分 :10March 8, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 LOGO LOGO ? 靜夜四無(wú)鄰，荒居舊業(yè)貧。 ? 其次，可以根據(jù)信息系統(tǒng)保護(hù)要求的組合對(duì)技術(shù)要求進(jìn)行調(diào)整。 基本要求的選擇 ?不同安全等級(jí)的信息系統(tǒng)，對(duì)業(yè)務(wù)信息的安全性要求和業(yè)務(wù)服務(wù)的連續(xù)性要求是有差異的；即使相同安全等級(jí)的信息系統(tǒng)，對(duì)業(yè)務(wù)信息的安全性要求和業(yè)務(wù)服務(wù)的連續(xù)性要求也有差異。 ?信息系統(tǒng)等級(jí)保護(hù)的安全基本要求分為技術(shù)要求和管理要求兩大類(lèi)。 安全保護(hù)能力等級(jí)劃分 ?2級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒?lái)自小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開(kāi)可獲或特定開(kāi)發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍小（局部性）等）以及其他相當(dāng)危害程度（無(wú)意失誤、設(shè)備故障等）威脅的能力，并在威脅發(fā)生后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。 例 2系統(tǒng)定級(jí) 系統(tǒng)簡(jiǎn)述： 系統(tǒng)簡(jiǎn)述：某省電力集團(tuán)公司的省級(jí)電力實(shí)時(shí)監(jiān)控系統(tǒng)，主要用于調(diào)度自動(dòng)化控制系統(tǒng)和能量管理系統(tǒng)（ SCADA/EMS） DDZDH，負(fù)責(zé)省級(jí)超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集。 – 信息系統(tǒng)服務(wù)范圍隨著業(yè)務(wù)的發(fā)展，將會(huì)有較大的變化。 信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。 3 屬于黨政機(jī)關(guān)，處理國(guó)家事務(wù)的信息系統(tǒng) 業(yè)務(wù)信息類(lèi)型賦值 表 2：業(yè)務(wù)信息類(lèi)型賦值表 業(yè)務(wù)信息類(lèi)型賦值 業(yè)務(wù)信息的影響 1 業(yè)務(wù)信息被破壞或泄漏會(huì)對(duì)公共利益或單位經(jīng)濟(jì)利益造成一定損害 2 業(yè)務(wù)信息被破壞或泄漏會(huì)對(duì)公共利益或單位經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害 3 業(yè)務(wù)信息被破壞或泄漏會(huì)對(duì)國(guó)家安全利益和國(guó)家經(jīng)濟(jì)建設(shè)造成損害 業(yè)務(wù)信息類(lèi)型舉例 典型的業(yè)務(wù)信息類(lèi)型 業(yè)務(wù)信息類(lèi)型賦值 業(yè)務(wù)信息類(lèi)型 1 可以對(duì)外公開(kāi)發(fā)布的數(shù)據(jù)信息，或單位內(nèi)不對(duì)外發(fā)布的一般信息 2 法人和其他組織及公民的專(zhuān)有信息 3 涉及國(guó)家安全利益，影響國(guó)家經(jīng)濟(jì)建設(shè)的信息 確定業(yè)務(wù)信息安全性 業(yè)務(wù)信息安全性等級(jí)矩陣 業(yè)務(wù)信息類(lèi)型 信息系統(tǒng)類(lèi)型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 信息系統(tǒng)服務(wù)范圍賦值 表 3：信息系統(tǒng)服務(wù)范圍賦值表 信息系統(tǒng)服務(wù)范圍賦值 服務(wù)范圍的影響 1 信息系統(tǒng)因無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)會(huì)對(duì)局部范圍的資產(chǎn) 有影響 2 信息系統(tǒng)因無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)會(huì)對(duì)局部范圍的資產(chǎn) 造成損害 3 信息系統(tǒng)因無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)會(huì)對(duì) 全國(guó)范圍的造成損害 信息系統(tǒng)服務(wù)范圍舉例 典型的信息系統(tǒng)服務(wù)范圍 信息系統(tǒng) 服務(wù)范圍賦值 信息系統(tǒng)服務(wù)范圍類(lèi)型 1 地區(qū)范圍的服務(wù)網(wǎng)絡(luò) 2 省級(jí)范圍的服務(wù)網(wǎng)絡(luò) 3 全國(guó)范圍的服務(wù)網(wǎng)絡(luò) 業(yè)務(wù)依賴(lài)程度賦值 表 4：業(yè)務(wù)依賴(lài)程度賦值表 業(yè)務(wù)依賴(lài) 程度賦值 業(yè)務(wù)影響 1 信息系統(tǒng)無(wú)法提