【正文】 供服務(wù)或無法提供有效服務(wù)對單位完成其業(yè)務(wù)使命影響較小 2 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)對單位完成其業(yè)務(wù)使命影響較大 3 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)使單位無法完成其業(yè)務(wù)使命。業(yè)務(wù)子系統(tǒng)是信息系統(tǒng)中可以為定級要素賦值的最小單元，業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點 。 如果信息系統(tǒng)承載多項業(yè)務(wù)，應(yīng)根據(jù)各項業(yè)務(wù)的性質(zhì)和特點，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護等級，信息系統(tǒng)的安全保護等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。 ? 系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。 等級確定的原則 ? 業(yè)務(wù)為核心原則 ? 信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)的，信息系統(tǒng)的安全保護等級應(yīng)當(dāng)依據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要性、業(yè)務(wù)對信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成，自動化程度高。 業(yè)務(wù)依賴程度舉例 賦值 業(yè)務(wù)系統(tǒng)影響 業(yè)務(wù)處理流程的大部分可以通過手工方式或其他方式替代完成，自動化程度低。 2 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對較大范圍的資產(chǎn)造成損害。 決定信息系統(tǒng)重要性的要素 ?（三）信息系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ?根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)造成的社會影響范圍大小，典型的信息系統(tǒng)服務(wù)范圍、賦值和相關(guān)影響如下表所示。 法人和其他組織及公民的專有信息，如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報、商業(yè)秘密等。 3 信息系統(tǒng)資產(chǎn)受到破壞會對國家安全利益有直接影響。 1 信息系統(tǒng)資產(chǎn)受到破壞會對本單位利益有直接影響。從另一個角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對國家安全、經(jīng)濟建設(shè)、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。如果信息系統(tǒng)承載多項業(yè)務(wù)，應(yīng)根據(jù)各項業(yè)務(wù)的性質(zhì)和特點，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護等級。 ?業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對信息系統(tǒng)進行劃分所形成的子系統(tǒng)。 一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?信息系統(tǒng)是基于計算機或計算機網(wǎng)絡(luò)，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索和服務(wù)的人機系統(tǒng)。 ?由于是已經(jīng)存在的信息系統(tǒng)，工作的重點應(yīng)放在系統(tǒng)定級階段如何劃分信息系統(tǒng)并確定安全等級、在安全規(guī)劃設(shè)計階段如何規(guī)劃設(shè)計出符合國家等級保護要求的安全改造方案、在安全實施階段如何保證在不影響現(xiàn)有業(yè)務(wù)應(yīng)用的情況下使各類安全措施可以順利落實等方面。 安全等級保護實施的過程與信息系統(tǒng)生命周期的關(guān)系 安全等級保護實施的過程與信息系統(tǒng)生命周期的關(guān)系 ?安全等級保護的實施分為： ? 新建信息系統(tǒng)安全等級保護的實施 ? 已建信息系統(tǒng)安全等級保護的實施 ?兩者在信息系統(tǒng)生命周期中的切入點是不同的。系統(tǒng)終止階段的主要活動可能包括對信息的轉(zhuǎn)移、暫存或清除，對設(shè)備的遷移或廢棄，對存儲介質(zhì)的清除或銷毀。安全管理體系的建設(shè)應(yīng)該貫穿信息系統(tǒng)的整個生命周期，涉及等級保護實施過程的各個階段。 （二）安全規(guī)劃設(shè)計階段 ?安全規(guī)劃設(shè)計階段通過安全需求分析判斷信息系統(tǒng)的安全保護現(xiàn)狀與國家等級保護基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規(guī)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程的實施。 等級保護實施過程中各類角色的職責(zé) ?（五）安全測評機構(gòu) ? 安全測評機構(gòu)的主要責(zé)任是根據(jù)信息系統(tǒng)運營、使用單位的委托或根據(jù)信息安全監(jiān)管機構(gòu)的委托，協(xié)助信息系統(tǒng)運營、使用單位或信息安全監(jiān)管機構(gòu)按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成等級保護建設(shè)的信息系統(tǒng)進行檢查評估，對安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進行檢查評估。 等級保護實施過程中各類角色的職責(zé) ?（一）信息系統(tǒng)主管部門 ? 主要責(zé)任： ? 做好下屬單位的等級保護監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進行等級保護； ? 對下屬單位確定的信息系統(tǒng)安全等級進行審批； ? 督促下屬單位定期進行安全狀況檢測評估，及時消除安全隱患和漏洞等。 ?（四）適當(dāng)調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。 第二節(jié) 信息安全等級保護實施 ?一、基本原則 ?二、參與角色和職責(zé) ?三、實施過程 ?四、安全等級保護與信息系統(tǒng)生命周期的關(guān)系 一、基本原則 ?等級保護的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。為了規(guī)范安全等級保護的測評活動， 《 信息系統(tǒng)安全等級保護測評準(zhǔn)則 》 對每一特定安全級別的信息系統(tǒng)從技術(shù)措施和管理措施兩方面提出了測評要求。其中，技術(shù)措施的要求分為物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個不同層次；管理手段的要求分為安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運行維護管理五個不同類別。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護等級定級指南》 中的標(biāo)準(zhǔn)方法，明確確定本單位信息系統(tǒng)的安全等級，一旦等級確定完成，后續(xù)的建設(shè)和運行維護工作，再參考 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護基本要求 》 實施。 （七） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護實施指南 》 ?該標(biāo)準(zhǔn)以信息系統(tǒng)安全等級保護建設(shè)為主要線索，介紹了信息系統(tǒng)的安全等級和保護要求等相關(guān)概念；說明了信息系統(tǒng)安全等級保護實施過程中涉及的角色；信息系統(tǒng)安全等級保護實施的基本原則；信息系統(tǒng)安全等級保護實施的基本過程；信息系統(tǒng)安全等級保護實施的主要階段和主要活動以及與信息系統(tǒng)生命周期之間的關(guān)系；提出了信息系統(tǒng)安全等級保護在信息系統(tǒng)生命周期不同階段的實施要點、實施流程、具體的活動內(nèi)容以及活動的輸入輸出等，并對其進行了詳細(xì)的描述。計算機信息系統(tǒng)的安全等級保護體系從計算機信息系統(tǒng)的管理層面、物理層面、系統(tǒng)層面、網(wǎng)絡(luò)層面、應(yīng)用層面、運行層面對計算機信息系統(tǒng)資源實施保護，作為計算機信息系統(tǒng)安全保護的支撐服務(wù)。 ? （ 3）詳細(xì)描述了網(wǎng)絡(luò)安全技術(shù)要求。 （五） GA/T 387 — 2023《 計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施 ?該標(biāo)準(zhǔn)作為計算機信息系統(tǒng)安全等級保護要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的網(wǎng)絡(luò)系統(tǒng)，主要從對網(wǎng)絡(luò)系統(tǒng)的安全等級進行劃分來說明其技術(shù)要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)的差異。 ?該標(biāo)準(zhǔn)作為計算機信息系統(tǒng)安全等級保護要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全等級進行劃分來說明其技術(shù)要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對數(shù)據(jù)庫管理系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)的差異。 ? （ 3）五個安全等級劃分要求技術(shù)方面細(xì)則。 （二） GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施了 GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 》 。隨后圍繞 GB 17859 — 1999編寫和制定了一系列與信息系統(tǒng)安全等級保護有關(guān)的標(biāo)準(zhǔn)和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級保護實施過程中的活動。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行自主保護，必要時信息安全監(jiān)管職能部門對其進行指導(dǎo)。 二、信息系統(tǒng)安全等級劃分 ?根據(jù) 《 信息系統(tǒng)安全等級保護實施指南 》 的規(guī)定，信息系統(tǒng)可以分為五個安全等級，國家對不同級別的信息和信息系統(tǒng)實行不同強度的監(jiān)管政策。 四是開展了等級保護基礎(chǔ)調(diào)查工作。 社會層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風(fēng)險評估等安全服務(wù)機構(gòu)，依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國家信息安全職能部門的監(jiān)督管理。 2023年，中辦、國辦轉(zhuǎn)發(fā)的 《 國家信息化領(lǐng)導(dǎo)小組 關(guān)于 加強信息安全保障工作的意見 》 （中辦發(fā) [2023]27號）明確指出 “實行信息安全等級保護 ”。 背景 ? 1994年， 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 規(guī)定， “計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定 ” 。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 ? 1999年，強制性國家標(biāo)準(zhǔn)－ 《 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 》 GB 17859）。 用戶層面 ：公民、法人和其他組織應(yīng)當(dāng)按照國家有關(guān)等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級保護工作，服從國家對信息安全等級保護工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。 三是制定了等級保護系列技術(shù)標(biāo)準(zhǔn)。 七是籌備召開全國信息系統(tǒng)定級工作。 二、信息系統(tǒng)安全等級劃分 ?（二）第二級為指導(dǎo)保護級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全。 二、信息系統(tǒng)安全等級劃分 ?（四）第四級為強制保護級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴(yán)重?fù)p害。 二、安全保護等級的劃分 等級 對象 侵害客體 侵害程度 監(jiān)管強度 第一級 合法權(quán)益 損害 自主保護 合法權(quán)益 嚴(yán)重?fù)p害 第二級 一般系統(tǒng) 社會秩序和公共利益 損害 指導(dǎo) 社會秩序和公共利益 嚴(yán)重?fù)p害 第三級 國家安全 損害 監(jiān)督檢查 社會秩序和公共利益 特別嚴(yán)重?fù)p害 第四級 重要系統(tǒng) 國家安全 嚴(yán)重?fù)p害 強制監(jiān)督檢查 第五級 極端重要系統(tǒng) 國家安全 特別嚴(yán)重?fù)p害 專門監(jiān)督檢查 三、信息系統(tǒng)安全等級保護相關(guān)標(biāo)準(zhǔn) ?我國正式頒布的信息系統(tǒng)安全等級保護的強制性國家標(biāo)準(zhǔn)是 GB 17859 —