【正文】 供服務(wù)或無(wú)法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較小 2 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較大 3 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)使單位無(wú)法完成其業(yè)務(wù)使命。業(yè)務(wù)子系統(tǒng)是信息系統(tǒng)中可以為定級(jí)要素賦值的最小單元，業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點(diǎn) 。 如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)，信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。 ? 系統(tǒng)服務(wù)范圍，包括服務(wù)對(duì)象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。 等級(jí)確定的原則 ? 業(yè)務(wù)為核心原則 ? 信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)的，信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)依據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要性、業(yè)務(wù)對(duì)信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無(wú)法完成，自動(dòng)化程度高。 業(yè)務(wù)依賴程度舉例 賦值 業(yè)務(wù)系統(tǒng)影響 業(yè)務(wù)處理流程的大部分可以通過(guò)手工方式或其他方式替代完成，自動(dòng)化程度低。 2 信息系統(tǒng)因無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)會(huì)對(duì)較大范圍的資產(chǎn)造成損害。 決定信息系統(tǒng)重要性的要素 ?（三）信息系統(tǒng)服務(wù)范圍，包括服務(wù)對(duì)象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ?根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)造成的社會(huì)影響范圍大小，典型的信息系統(tǒng)服務(wù)范圍、賦值和相關(guān)影響如下表所示。 法人和其他組織及公民的專(zhuān)有信息，如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報(bào)、商業(yè)秘密等。 3 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對(duì)國(guó)家安全利益有直接影響。 1 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對(duì)本單位利益有直接影響。從另一個(gè)角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)。 ?業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對(duì)信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)。 一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?信息系統(tǒng)是基于計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索和服務(wù)的人機(jī)系統(tǒng)。 ?由于是已經(jīng)存在的信息系統(tǒng)，工作的重點(diǎn)應(yīng)放在系統(tǒng)定級(jí)階段如何劃分信息系統(tǒng)并確定安全等級(jí)、在安全規(guī)劃設(shè)計(jì)階段如何規(guī)劃設(shè)計(jì)出符合國(guó)家等級(jí)保護(hù)要求的安全改造方案、在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)應(yīng)用的情況下使各類(lèi)安全措施可以順利落實(shí)等方面。 安全等級(jí)保護(hù)實(shí)施的過(guò)程與信息系統(tǒng)生命周期的關(guān)系 安全等級(jí)保護(hù)實(shí)施的過(guò)程與信息系統(tǒng)生命周期的關(guān)系 ?安全等級(jí)保護(hù)的實(shí)施分為： ? 新建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ? 已建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ?兩者在信息系統(tǒng)生命周期中的切入點(diǎn)是不同的。系統(tǒng)終止階段的主要活動(dòng)可能包括對(duì)信息的轉(zhuǎn)移、暫存或清除，對(duì)設(shè)備的遷移或廢棄，對(duì)存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀。安全管理體系的建設(shè)應(yīng)該貫穿信息系統(tǒng)的整個(gè)生命周期，涉及等級(jí)保護(hù)實(shí)施過(guò)程的各個(gè)階段。 （二）安全規(guī)劃設(shè)計(jì)階段 ?安全規(guī)劃設(shè)計(jì)階段通過(guò)安全需求分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與國(guó)家等級(jí)保護(hù)基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程的實(shí)施。 等級(jí)保護(hù)實(shí)施過(guò)程中各類(lèi)角色的職責(zé) ?（五）安全測(cè)評(píng)機(jī)構(gòu) ? 安全測(cè)評(píng)機(jī)構(gòu)的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位的委托或根據(jù)信息安全監(jiān)管機(jī)構(gòu)的委托，協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位或信息安全監(jiān)管機(jī)構(gòu)按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評(píng)估，對(duì)安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行檢查評(píng)估。 等級(jí)保護(hù)實(shí)施過(guò)程中各類(lèi)角色的職責(zé) ?（一）信息系統(tǒng)主管部門(mén) ? 主要責(zé)任： ? 做好下屬單位的等級(jí)保護(hù)監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)； ? 對(duì)下屬單位確定的信息系統(tǒng)安全等級(jí)進(jìn)行審批； ? 督促下屬單位定期進(jìn)行安全狀況檢測(cè)評(píng)估，及時(shí)消除安全隱患和漏洞等。 ?（四）適當(dāng)調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。 第二節(jié) 信息安全等級(jí)保護(hù)實(shí)施 ?一、基本原則 ?二、參與角色和職責(zé) ?三、實(shí)施過(guò)程 ?四、安全等級(jí)保護(hù)與信息系統(tǒng)生命周期的關(guān)系 一、基本原則 ?等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。為了規(guī)范安全等級(jí)保護(hù)的測(cè)評(píng)活動(dòng)， 《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 對(duì)每一特定安全級(jí)別的信息系統(tǒng)從技術(shù)措施和管理措施兩方面提出了測(cè)評(píng)要求。其中，技術(shù)措施的要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)不同層次；管理手段的要求分為安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)行維護(hù)管理五個(gè)不同類(lèi)別。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 中的標(biāo)準(zhǔn)方法，明確確定本單位信息系統(tǒng)的安全等級(jí)，一旦等級(jí)確定完成，后續(xù)的建設(shè)和運(yùn)行維護(hù)工作，再參考 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 實(shí)施。 （七） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 ?該標(biāo)準(zhǔn)以信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)為主要線索，介紹了信息系統(tǒng)的安全等級(jí)和保護(hù)要求等相關(guān)概念；說(shuō)明了信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中涉及的角色；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本原則；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本過(guò)程；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的主要階段和主要活動(dòng)以及與信息系統(tǒng)生命周期之間的關(guān)系；提出了信息系統(tǒng)安全等級(jí)保護(hù)在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)、實(shí)施流程、具體的活動(dòng)內(nèi)容以及活動(dòng)的輸入輸出等，并對(duì)其進(jìn)行了詳細(xì)的描述。計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)保護(hù)體系從計(jì)算機(jī)信息系統(tǒng)的管理層面、物理層面、系統(tǒng)層面、網(wǎng)絡(luò)層面、應(yīng)用層面、運(yùn)行層面對(duì)計(jì)算機(jī)信息系統(tǒng)資源實(shí)施保護(hù)，作為計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的支撐服務(wù)。 ? （ 3）詳細(xì)描述了網(wǎng)絡(luò)安全技術(shù)要求。 （五） GA/T 387 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的網(wǎng)絡(luò)系統(tǒng)，主要從對(duì)網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)進(jìn)行劃分來(lái)說(shuō)明其技術(shù)要求，即主要說(shuō)明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)的差異。 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的數(shù)據(jù)庫(kù)管理系統(tǒng)，主要從對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全等級(jí)進(jìn)行劃分來(lái)說(shuō)明其技術(shù)要求，即主要說(shuō)明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)的差異。 ? （ 3）五個(gè)安全等級(jí)劃分要求技術(shù)方面細(xì)則。 （二） GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施了 GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 。隨后圍繞 GB 17859 — 1999編寫(xiě)和制定了一系列與信息系統(tǒng)安全等級(jí)保護(hù)有關(guān)的標(biāo)準(zhǔn)和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中的活動(dòng)。 ? 本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門(mén)對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查。 ? 本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時(shí)信息安全監(jiān)管職能部門(mén)對(duì)其進(jìn)行指導(dǎo)。 二、信息系統(tǒng)安全等級(jí)劃分 ?根據(jù) 《 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 的規(guī)定，信息系統(tǒng)可以分為五個(gè)安全等級(jí)，國(guó)家對(duì)不同級(jí)別的信息和信息系統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)管政策。 四是開(kāi)展了等級(jí)保護(hù)基礎(chǔ)調(diào)查工作。 社會(huì)層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開(kāi)展相應(yīng)工作，并接受?chē)?guó)家信息安全職能部門(mén)的監(jiān)督管理。 2023年，中辦、國(guó)辦轉(zhuǎn)發(fā)的 《 國(guó)家信息化領(lǐng)導(dǎo)小組 關(guān)于 加強(qiáng)信息安全保障工作的意見(jiàn) 》 （中辦發(fā) [2023]27號(hào)）明確指出 “實(shí)行信息安全等級(jí)保護(hù) ”。 背景 ? 1994年， 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 規(guī)定， “計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定 ” 。開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障，是信息安全保障工作中國(guó)家意志的體現(xiàn)。 ? 1999年，強(qiáng)制性國(guó)家標(biāo)準(zhǔn)－ 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 GB 17859）。 用戶層面 ：公民、法人和其他組織應(yīng)當(dāng)按照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開(kāi)展等級(jí)保護(hù)工作，服從國(guó)家對(duì)信息安全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。 三是制定了等級(jí)保護(hù)系列技術(shù)標(biāo)準(zhǔn)。 七是籌備召開(kāi)全國(guó)信息系統(tǒng)定級(jí)工作。 二、信息系統(tǒng)安全等級(jí)劃分 ?（二）第二級(jí)為指導(dǎo)保護(hù)級(jí) ? 其主要對(duì)象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成一定損害，但不損害國(guó)家安全。 二、信息系統(tǒng)安全等級(jí)劃分 ?（四）第四級(jí)為強(qiáng)制保護(hù)級(jí) ? 其主要對(duì)象為涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。 二、安全保護(hù)等級(jí)的劃分 等級(jí) 對(duì)象 侵害客體 侵害程度 監(jiān)管強(qiáng)度 第一級(jí) 合法權(quán)益 損害 自主保護(hù) 合法權(quán)益 嚴(yán)重?fù)p害 第二級(jí) 一般系統(tǒng) 社會(huì)秩序和公共利益 損害 指導(dǎo) 社會(huì)秩序和公共利益 嚴(yán)重?fù)p害 第三級(jí) 國(guó)家安全 損害 監(jiān)督檢查 社會(huì)秩序和公共利益 特別嚴(yán)重?fù)p害 第四級(jí) 重要系統(tǒng) 國(guó)家安全 嚴(yán)重?fù)p害 強(qiáng)制監(jiān)督檢查 第五級(jí) 極端重要系統(tǒng) 國(guó)家安全 特別嚴(yán)重?fù)p害 專(zhuān)門(mén)監(jiān)督檢查 三、信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn) ?我國(guó)正式頒布的信息系統(tǒng)安全等級(jí)保護(hù)的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)是 GB 17859 —