【正文】 、遠(yuǎn)期安全工作目標(biāo)和當(dāng)年目標(biāo)、關(guān)鍵和重點(diǎn)的工作，并分析潛在的風(fēng)險(xiǎn)和障礙、所需的資源和預(yù)算，從而進(jìn)行實(shí)施策略選擇，確定當(dāng)年的安全工作計(jì)劃和等級(jí)保護(hù)項(xiàng)目建設(shè)計(jì)劃。電子政務(wù)等級(jí)保護(hù)工作的等級(jí)評(píng)估可以采取以下三種方式：a） 自評(píng)估自評(píng)估是由電子政務(wù)系統(tǒng)的擁有單位組織單位內(nèi)部人員，評(píng)估本單位的電子政務(wù)系統(tǒng)是否滿足電子政務(wù)信息安全等級(jí)保護(hù)的要求。27 / 45圖 52 等級(jí)保護(hù)的運(yùn)行改進(jìn)過程附錄 A 術(shù)語(yǔ)與定義a） 信息資產(chǎn)對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象。g） 風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指人為或自然的威脅利用系統(tǒng)存在的脆弱性，導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。附錄 B 大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)實(shí)施過程示例　大型復(fù)雜電子政務(wù)系統(tǒng)描述大型復(fù)雜電子政務(wù)系統(tǒng)主要是指涉及多個(gè)行政級(jí)別、多種網(wǎng)絡(luò)以及各類繁雜的信息系統(tǒng)等特征的系統(tǒng)，一般具。e） 脆弱性可能被威脅利用對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié)。這一階段的主要工作是對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)和等級(jí)保護(hù)體系的運(yùn)行狀況進(jìn)行持續(xù)監(jiān)控，確保在系統(tǒng)發(fā)生變化、系統(tǒng)的安全風(fēng)險(xiǎn)發(fā)生變化的情況下，能夠及時(shí)調(diào)整系統(tǒng)的安全措施，并在系統(tǒng)或系統(tǒng)的安全風(fēng)險(xiǎn)發(fā)生重大變化時(shí)，進(jìn)行系統(tǒng)的重新定級(jí)和安全措施的調(diào)整，以確保系統(tǒng)得到相應(yīng)的保護(hù)。工程實(shí)施過程中應(yīng)避免因第三方人員進(jìn)場(chǎng)帶來新的安全風(fēng)險(xiǎn)。安全項(xiàng)目規(guī)劃主要包括：a） 將安全措施依據(jù)相關(guān)性，打包成一個(gè)或多個(gè)的安全項(xiàng)目b） 進(jìn)行項(xiàng)目分析1) 對(duì)項(xiàng)目進(jìn)行支持或依賴等相關(guān)性分析；2) 對(duì)項(xiàng)目進(jìn)行緊迫性分析；3) 對(duì)項(xiàng)目進(jìn)行實(shí)施難易程度分析；4) 對(duì)項(xiàng)目進(jìn)行預(yù)期效果分析。如果某些安全措施的成本太高，機(jī)構(gòu)無法承受，可以通過其他措施進(jìn)行彌補(bǔ)。圖 43 系統(tǒng)分域保護(hù)框架示意圖系統(tǒng)分域保護(hù)框架是設(shè)計(jì)解決方案的基礎(chǔ)。當(dāng)一個(gè)問題經(jīng)過框架分析后，所有不可再細(xì)分的子問題組合構(gòu)成了一個(gè)“框架” 。f） 應(yīng)用軟件資產(chǎn)是指為政務(wù)業(yè)務(wù)和管理應(yīng)用而開發(fā)的各類應(yīng)用軟件及其提供的服務(wù)。某一個(gè)安全區(qū)域或多個(gè)安全區(qū)域網(wǎng)絡(luò)支撐平臺(tái)構(gòu)成了該區(qū)域的網(wǎng)絡(luò)基礎(chǔ)實(shí)施。涉及區(qū)域內(nèi)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用軟件層、數(shù)據(jù)層和業(yè)務(wù)流程層面。 安全域劃分原則電子政務(wù)安全區(qū)域的劃分主要依據(jù)電子政務(wù)系統(tǒng)的政務(wù)應(yīng)用功能、資產(chǎn)價(jià)值、資產(chǎn)所面臨的風(fēng)險(xiǎn)，劃分原則如下：a） 系統(tǒng)功能和應(yīng)用相似性原則安全區(qū)域的劃分要以服務(wù)電子政務(wù)應(yīng)用為基本原則，根據(jù)政務(wù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。自下向上的定級(jí)方式從各個(gè)子系統(tǒng)的屬性出發(fā)，通過考慮各個(gè)子系統(tǒng)的實(shí)際情況、所處的環(huán)境、之間的差異性來確定各子系統(tǒng)的安全等級(jí)。 自上向下的定級(jí)方式自上向下的定級(jí)方式是從系統(tǒng)總體等級(jí)向下細(xì)化出子系統(tǒng)等級(jí)的方式。通過對(duì)每一類信息和服務(wù)安全等級(jí)的分析，最終確定系統(tǒng)的安全等級(jí)。對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害。2 對(duì)電子政務(wù)系統(tǒng)中信息的未授權(quán)泄漏會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度的負(fù)面影響。b） 安全等級(jí)第二級(jí)對(duì)電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度的負(fù)面影響，包括：1) 對(duì)政務(wù)機(jī)構(gòu)運(yùn)行帶來中等程度的負(fù)面影響，政務(wù)機(jī)構(gòu)還可以履行其基本的政務(wù)職能，但效率有較大程度的降低；2) 對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員造成一定程度的經(jīng)濟(jì)損失；3) 對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員的形象或名譽(yù)造成一定程度的負(fù)面影響；4) 造成輕微的人身傷害。電子政務(wù)完整性目標(biāo)包括兩個(gè)方面：1) 電子政務(wù)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息完整性保護(hù)；2) 電子政務(wù)系統(tǒng)本身的完整性保護(hù)。 子系統(tǒng)識(shí)別與描述子系統(tǒng)的識(shí)別與描述可參照 系統(tǒng)整體識(shí)別與描述。依據(jù)其所服務(wù)的目標(biāo)用戶可分為以下幾類系統(tǒng)：1) 政 務(wù) 機(jī) 構(gòu) 對(duì) 公 民 的 電 子 政 務(wù) 系 統(tǒng)2) 政 務(wù) 機(jī) 構(gòu) 對(duì) 企 業(yè) 的 電 子 政 務(wù) 系 統(tǒng)3) 政 務(wù) 機(jī) 構(gòu) 對(duì) 政 務(wù) 機(jī) 構(gòu) 的 電 子 政 務(wù) 系 統(tǒng)4) 政 務(wù) 機(jī) 構(gòu) 對(duì) 公 務(wù) 員 的 電 子 政 務(wù) 系 統(tǒng)b） 按 系 統(tǒng) 功 能 類 型 劃 分根 據(jù) 系 統(tǒng) 的 功 能 類 型 或 提 供 的 服 務(wù) 類 型 劃 分 子 系 統(tǒng) 。b） 等級(jí)確定進(jìn)行系統(tǒng)整體定級(jí)和子系統(tǒng)分別定級(jí)，形成系統(tǒng)的定級(jí)列表，作為后續(xù)階段工作的基礎(chǔ)。c） 涉密系統(tǒng)與其它系統(tǒng)的互聯(lián)互通，按照國(guó)家保密部門的有關(guān)規(guī)定執(zhí)行。c） 實(shí)施人員實(shí)施人員是政務(wù)機(jī)構(gòu)中實(shí)施信息安全等級(jí)保護(hù)的具體工作人員。e） 系統(tǒng)廢棄階段，要按照所建立的等級(jí)保護(hù)體系的要求，對(duì)廢棄過程進(jìn)行有效的安全管理。如果系統(tǒng)只發(fā)生部分變化，例如發(fā)現(xiàn)新的系統(tǒng)漏洞，這些改變不涉及系統(tǒng)的信息資產(chǎn)和威脅狀況的根本改變，則只需要調(diào)整和改進(jìn)相應(yīng)的安全措施。b） 等級(jí)確定完成電子政務(wù)系統(tǒng)總體定級(jí)和子系統(tǒng)的定級(jí)。b） 安全措施需要滿足系統(tǒng)安全保護(hù)要求，對(duì)抗系統(tǒng)所面臨的風(fēng)險(xiǎn)。b） 目標(biāo)5 / 45目標(biāo)是指電子政務(wù)系統(tǒng)的業(yè)務(wù)目標(biāo)和安全目標(biāo)，電子政務(wù)等級(jí)保護(hù)要保障業(yè)務(wù)目標(biāo)和安全目標(biāo)的實(shí)現(xiàn)。a） 安全策略安全策略是為了指導(dǎo)和規(guī)范電子政務(wù)信息安全工作而制定的安全方針、管理制度、規(guī)范標(biāo)準(zhǔn)、操作流程和記錄模板等文檔的總和。系統(tǒng)遭到破壞后可能對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，可能對(duì)國(guó)家安全造成較大損害。參照國(guó)家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。b） “誰主管誰負(fù)責(zé)、誰運(yùn)營(yíng)誰負(fù)責(zé)”原則電子政務(wù)等級(jí)保護(hù)要貫徹“誰主管誰負(fù)責(zé)、誰運(yùn)營(yíng)誰負(fù)責(zé)”的原則，由各主管部門和運(yùn)營(yíng)單位依照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定電子政務(wù)系統(tǒng)的安全等級(jí)并按照相關(guān)要求組織實(shí)施安全保障。要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。因此，組織編制《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》 ，規(guī)范電子政務(wù)信息安全等級(jí)保護(hù)工作的基本思路和實(shí)施方法，指導(dǎo)我國(guó)電子政務(wù)建設(shè)中的信息安全保障工作，對(duì)搞好電子政務(wù)信息安全保障具有十分重要的現(xiàn)實(shí)意義。電子政務(wù)作為國(guó)家信息化戰(zhàn)略的重要組成部分，其安全保障事關(guān)國(guó)家安全和社會(huì)穩(wěn)定，必須按照 27 號(hào)文件要求，全面實(shí)施信息安全等級(jí)保護(hù)。27 號(hào)文件對(duì)信息安全等級(jí)保護(hù)做出了系統(tǒng)的描述——“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必須從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化信息安全資源的配置，確保重點(diǎn)。對(duì)關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要電子政務(wù)系統(tǒng)，應(yīng)集中資源優(yōu)先建設(shè)。系統(tǒng)遭到破壞后對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。第四級(jí) 強(qiáng)制保護(hù)級(jí)適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要電子政務(wù)系統(tǒng)。電子政務(wù)等級(jí)保護(hù)基本安全要求分為安全策略、安全組織、安全技術(shù)和安全運(yùn)行四個(gè)方面。電子政務(wù)等級(jí)保護(hù)包含以下七個(gè)要素：a） 電子政務(wù)系統(tǒng)電子政務(wù)系統(tǒng)是信息安全等級(jí)保護(hù)的對(duì)象，包括系統(tǒng)中的信息、系統(tǒng)所提供的服務(wù)，以及執(zhí)行信息處理、存儲(chǔ)、傳輸?shù)能浻布O(shè)備等。電子政務(wù)等級(jí)保護(hù)各要素之間的關(guān)系是：a） 電子政務(wù)系統(tǒng)的安全等級(jí)由系統(tǒng)的使命、目標(biāo)和系統(tǒng)重要程度決定。7 / 45圖 22 電子政務(wù)等級(jí)保護(hù)的基本流程第一階段：定級(jí)定級(jí)階段主要包括兩個(gè)步驟：a） 系統(tǒng)識(shí)別與描述清晰地了解政務(wù)機(jī)構(gòu)所擁有的電子政務(wù)系統(tǒng)，根據(jù)需要將復(fù)雜電子政務(wù)系統(tǒng)分解為電子政務(wù)子系統(tǒng)，描述系統(tǒng)和子系統(tǒng)的組成及邊界。如果經(jīng)評(píng)估發(fā)現(xiàn)系統(tǒng)及其風(fēng)險(xiǎn)環(huán)境已發(fā)生重大變化，新的安全保護(hù)要求與原有的安全等級(jí)已不相適應(yīng)，則應(yīng)進(jìn)行系統(tǒng)重新定級(jí)。9 / 45d） 系統(tǒng)運(yùn)行維護(hù)階段，要按照所建立的等級(jí)保護(hù)體系的要求，進(jìn)行安全維護(hù)與安全管理。技術(shù)負(fù)責(zé)人在等級(jí)保護(hù)中的職責(zé)如下：1) 協(xié)助決策者組織、協(xié)調(diào)和推動(dòng)本單位電子政務(wù)等級(jí)保護(hù)的工作；2) 向決策者提供本單位電子政務(wù)系統(tǒng)安全定級(jí)的建議及依據(jù)；3) 組織實(shí)施本單位電子政務(wù)等級(jí)保護(hù)體系的建設(shè)；4) 組織和總結(jié)本單位等級(jí)保護(hù)的實(shí)施情況，配合上級(jí)主管部門進(jìn)行等級(jí)評(píng)估和驗(yàn)收；5) 組織實(shí)施本單位電子政務(wù)等級(jí)保護(hù)體系的運(yùn)行與改進(jìn)。高安全等級(jí)的系統(tǒng)要充分考慮引入低安全等級(jí)系統(tǒng)后帶來的風(fēng)險(xiǎn)，采取有效措施進(jìn)行控制。系統(tǒng)識(shí)別要確定系統(tǒng)的范圍和邊界，識(shí)別系統(tǒng)包含的信息和系統(tǒng)提供的服務(wù)，作為后續(xù)定級(jí)工作的輸入。 劃分子系統(tǒng)的方法 劃分原則對(duì)政務(wù)機(jī)構(gòu)所擁有的大型復(fù)雜電子政務(wù)系統(tǒng)，可以將其劃分為若干子系統(tǒng)進(jìn)行定級(jí)，子系統(tǒng)劃分基于以下原則：a） 按 照 系 統(tǒng) 服 務(wù) 對(duì) 象 劃 分電子政務(wù)系統(tǒng)的服務(wù)對(duì)象即目標(biāo)用戶，包括社會(huì)公眾、企事業(yè)單位、機(jī)構(gòu)內(nèi)部人員、其它政務(wù)機(jī)構(gòu)等。具體的劃分方法可參考《附錄 B：大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)實(shí)施過程示例》 。完整性破壞是指對(duì)電子政務(wù)系統(tǒng)中信息和系統(tǒng)的未授權(quán)修改和破壞。a） 安全等級(jí)第一級(jí)對(duì)電子政務(wù)信息和信息系統(tǒng)安全屬性的破壞會(huì)對(duì)政務(wù)機(jī)構(gòu)履行其政務(wù)職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響，包括：1) 對(duì)政務(wù)機(jī)構(gòu)運(yùn)行帶來較小的負(fù)面影響，政務(wù)機(jī)構(gòu)還可以履行其基本的政務(wù)職能，但效率有較小程度的降低；2) 對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員造成較小經(jīng)濟(jì)損失；3) 對(duì)政務(wù)機(jī)構(gòu)、相關(guān)單位、人員的形象或名譽(yù)造成較小影響；4) 不會(huì)造成人身傷害。授權(quán)人員對(duì)電子政務(wù)系統(tǒng)和信息訪問的中斷會(huì)對(duì)政務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。務(wù)機(jī)構(gòu)運(yùn)行、機(jī)構(gòu)財(cái)產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害。系統(tǒng)定級(jí)主要考慮兩個(gè)方面：一是系統(tǒng)中所存儲(chǔ)、處理、傳輸?shù)闹饕畔?，二是系統(tǒng)所提供的主要服務(wù)。 系統(tǒng)總體定級(jí)和各子系統(tǒng)定級(jí)可以分別采用自上向下的定級(jí)方式和自下向上的定級(jí)方式，也可以綜合兩種方式進(jìn)行。首先依據(jù)各子系統(tǒng)的屬性，根據(jù)定級(jí)規(guī)則對(duì)各子系統(tǒng)進(jìn)行定級(jí)，然后以各子系統(tǒng)的安全等級(jí)為基礎(chǔ)，綜合考慮，得到系統(tǒng)總體的安全等級(jí)。b) 在每個(gè)電子政務(wù)系統(tǒng)內(nèi)進(jìn)行安全域劃分在每個(gè)電子政務(wù)系統(tǒng)內(nèi)部，劃分為若干個(gè)安全區(qū)域。計(jì)算區(qū)域的信息資產(chǎn)包括：主機(jī)資產(chǎn)、平臺(tái)資產(chǎn)、應(yīng)用軟件資產(chǎn)和政務(wù)數(shù)據(jù)資產(chǎn)等。c) 網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)基礎(chǔ)設(shè)施是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅來源的一組網(wǎng)絡(luò)系統(tǒng)組成，包括由路由器、交換機(jī)和防火墻等構(gòu)成的局域網(wǎng)或廣域網(wǎng)，一般指區(qū)域邊界之間的連接網(wǎng)絡(luò)。e） 平臺(tái)資產(chǎn)主要是指電子政務(wù)系統(tǒng)的軟件平臺(tái)系統(tǒng)，包括數(shù)據(jù)庫(kù)、中間件、群件、郵件、Web 服務(wù)器、集成開發(fā)環(huán)境和工具軟件等。c） 不需再細(xì)分所有子問題都必須細(xì)分到不需再細(xì)分，或不可再細(xì)分的程度。示例中的區(qū)域邊界包括：政務(wù)專網(wǎng)與其它政務(wù)專網(wǎng)系統(tǒng)的邊界、政務(wù)專網(wǎng)與政務(wù)外網(wǎng)的邊界、政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邊界，以及內(nèi)部各計(jì)算區(qū)域之間的邊界。c） 根據(jù)安全措施的成本進(jìn)行調(diào)整在安全措施的調(diào)整過程中，安全措施的成本也是一個(gè)重要的考慮因素，各機(jī)構(gòu)要根據(jù)實(shí)際情況，基于合理成本選擇和調(diào)整安全措施。如圖 45 所示：圖 45 系統(tǒng)安全需求25 / 45 安全項(xiàng)目規(guī)劃安全項(xiàng)目規(guī)劃是通過對(duì)安全項(xiàng)目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進(jìn)行分析，確定實(shí)施的先后順序。應(yīng)與第三方實(shí)施單位簽訂保密協(xié)議和服務(wù)質(zhì)量協(xié)議，同時(shí)要加強(qiáng)對(duì)第三方履行保密協(xié)議和服務(wù)質(zhì)量協(xié)議的監(jiān)督。 運(yùn)行監(jiān)控與改進(jìn)電子政務(wù)等級(jí)保護(hù)在完成實(shí)施、評(píng)估與驗(yàn)收工作之后，則進(jìn)入了安全運(yùn)行與改進(jìn)階段。威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來刻畫。j） 安全措施保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來衡量。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。b） 檢查評(píng)估檢查評(píng)估是由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，依據(jù)已經(jīng)頒布的電子政務(wù)等級(jí)保護(hù)的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的評(píng)估活動(dòng)。 安全方案設(shè)計(jì)在解決方案設(shè)計(jì)階段，將對(duì)安全規(guī)劃中所提到的近期應(yīng)實(shí)現(xiàn)的安全措施和項(xiàng)目進(jìn)行分析，編制系列的技術(shù)解決方案和管理解決方案。如果無法彌補(bǔ)，則需要改變機(jī)構(gòu)的業(yè)務(wù)流程、運(yùn)作方式或管理模式。確定安全措施的過程如圖 44 所示：23 / 45圖 44 確定安全措施的過程確定安全措施首先是根據(jù)電子政務(wù)系統(tǒng)的安全等級(jí)選擇適用等級(jí)的基本安全要求，如電子政務(wù)系統(tǒng) A 的安全等級(jí)為 3 級(jí)，應(yīng)選擇 3 級(jí)基本安全要求。22 / 45示例中的計(jì)算區(qū)域包括兩個(gè)層面，細(xì)分為 7 個(gè)計(jì)算區(qū)域。結(jié)構(gòu)化是指通過特定的結(jié)構(gòu)將問題拆分成子問題的迭代過程，其目標(biāo)是更好地體現(xiàn)信息系統(tǒng)的安全特性和安全要求。21 / 45c） 網(wǎng)絡(luò)資產(chǎn)是指電子政務(wù)系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)備，軟件和通信介質(zhì)。b) 區(qū)域邊界區(qū)域邊界是指兩個(gè)區(qū)域或兩組區(qū)域之間的隔離功能集。d） 威脅相似性原則同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險(xiǎn)環(huán)境中，面臨相似的威脅?？傮w安全等級(jí)的確定可以選用最高的子系統(tǒng)等級(jí)，但對(duì)于只有比例極少的子系統(tǒng)是最高等級(jí)的情況下，可以調(diào)低一級(jí)。自上向下的定級(jí)方式包 含 如 下 步 驟 ：a） 確定整體系統(tǒng)的等級(jí)，即總體定級(jí)1) 對(duì) 整 體 系 統(tǒng) 識(shí) 別 的 主 要 信 息 或 服 務(wù) 分 別 分 析 其 保 密 性 、 完 整 性 和 可 用 性 的等 級(jí) ， 得到 一 個(gè) 列 表 ；2) 按 照 系 統(tǒng) 定 級(jí) 規(guī) 則 ， 計(jì) 算 得 到 整 體 系 統(tǒng) 的 保 密 性 、 完 整 性 和 可 用 性 的 初 始安 全 等 級(jí) ，和 初 始 的 總 體 定 級(jí) ；3) 對(duì) 已 確 定 的 系 統(tǒng) 三 性 的 初 始 安 全 等 級(jí) 和 初 始 的 總 體 定 級(jí) 應(yīng) 進(jìn) 行 適 用 性 評(píng) 審 ， 評(píng) 審時(shí) 要 考 慮