【正文】 受到破壞會對國家安全利益有直接影響。 決定信息系統(tǒng)重要性的要素 ?（三）信息系統(tǒng)服務范圍，包括服務對象和服務網絡覆蓋范圍 ?根據信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務或無法提供有效服務造成的社會影響范圍大小，典型的信息系統(tǒng)服務范圍、賦值和相關影響如下表所示。 業(yè)務依賴程度舉例 賦值 業(yè)務系統(tǒng)影響 業(yè)務處理流程的大部分可以通過手工方式或其他方式替代完成，自動化程度低。 等級確定的原則 ? 業(yè)務為核心原則 ? 信息系統(tǒng)是為業(yè)務應用服務的，信息系統(tǒng)的安全保護等級應當依據信息系統(tǒng)承載業(yè)務的重要性、業(yè)務對信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。 如果信息系統(tǒng)承載多項業(yè)務，應根據各項業(yè)務的性質和特點，將信息系統(tǒng)分成若干業(yè)務子系統(tǒng)，分別為各業(yè)務子系統(tǒng)確定安全保護等級，信息系統(tǒng)的安全保護等級由各業(yè)務子系統(tǒng)的最高等級決定。 3 屬于黨政機關，處理國家事務的信息系統(tǒng) 業(yè)務信息類型賦值 表 2：業(yè)務信息類型賦值表 業(yè)務信息類型賦值 業(yè)務信息的影響 1 業(yè)務信息被破壞或泄漏會對公共利益或單位經濟利益造成一定損害 2 業(yè)務信息被破壞或泄漏會對公共利益或單位經濟利益造成嚴重損害 3 業(yè)務信息被破壞或泄漏會對國家安全利益和國家經濟建設造成損害 業(yè)務信息類型舉例 典型的業(yè)務信息類型 業(yè)務信息類型賦值 業(yè)務信息類型 1 可以對外公開發(fā)布的數據信息，或單位內不對外發(fā)布的一般信息 2 法人和其他組織及公民的專有信息 3 涉及國家安全利益，影響國家經濟建設的信息 確定業(yè)務信息安全性 業(yè)務信息安全性等級矩陣 業(yè)務信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 信息系統(tǒng)服務范圍賦值 表 3：信息系統(tǒng)服務范圍賦值表 信息系統(tǒng)服務范圍賦值 服務范圍的影響 1 信息系統(tǒng)因無法提供服務或無法提供有效服務會對局部范圍的資產 有影響 2 信息系統(tǒng)因無法提供服務或無法提供有效服務會對局部范圍的資產 造成損害 3 信息系統(tǒng)因無法提供服務或無法提供有效服務會對 全國范圍的造成損害 信息系統(tǒng)服務范圍舉例 典型的信息系統(tǒng)服務范圍 信息系統(tǒng) 服務范圍賦值 信息系統(tǒng)服務范圍類型 1 地區(qū)范圍的服務網絡 2 省級范圍的服務網絡 3 全國范圍的服務網絡 業(yè)務依賴程度賦值 表 4：業(yè)務依賴程度賦值表 業(yè)務依賴 程度賦值 業(yè)務影響 1 信息系統(tǒng)無法提供服務或無法提供有效服務對單位完成其業(yè)務使命影響較小 2 信息系統(tǒng)無法提供服務或無法提供有效服務對單位完成其業(yè)務使命影響較大 3 信息系統(tǒng)無法提供服務或無法提供有效服務使單位無法完成其業(yè)務使命。 – 信息系統(tǒng)服務范圍隨著業(yè)務的發(fā)展，將會有較大的變化。 安全保護能力等級劃分 ?2級安全保護能力：應具有能夠對抗來自小型組織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災難（災難發(fā)生的強度一般、持續(xù)時間短、覆蓋范圍?。ň植啃裕┑龋┮约捌渌喈斘：Τ潭龋o意失誤、設備故障等）威脅的能力，并在威脅發(fā)生后，能夠在一段時間內恢復部分功能。 基本要求的選擇 ?不同安全等級的信息系統(tǒng)，對業(yè)務信息的安全性要求和業(yè)務服務的連續(xù)性要求是有差異的；即使相同安全等級的信息系統(tǒng)，對業(yè)務信息的安全性要求和業(yè)務服務的連續(xù)性要求也有差異。 LOGO LOGO ? 靜夜四無鄰，荒居舊業(yè)貧。 2023年 3月 下午 11時 10分 :10March 8, 2023 ? 1行動出成果，工作出財富。 2023年 3月 8日星期三 下午 11時 10分 51秒 23:10: ? 1楚塞三湘接，荊門九派通。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1知人者智，自知者明。 下午 11時 10分 51秒 下午 11時 10分 23:10: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 23:10:5123:10:5123:103/8/2023 11:10:51 PM ? 1越是沒有本領的就越加自命不凡。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1不知香積寺，數里入云峰。 2023年 3月 8日星期三 下午 11時 10分 51秒 23:10: ? 1比不了得就不比，得不到的就不要。 ? 最后，由于各種原因對基本要求項有調整需求的，應針對需要調整的基本要求項逐項進行風險分析，在保證不降低整體安全保護強度的前提下，對基本要求項進行調整，并形成書面的調整理由進行說明。 ? 基本管理要求從安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運行維護管理幾個方面提出安全要求。 例 2系統(tǒng)定級 系統(tǒng)等級分析 DDZDH系統(tǒng)信息屬企業(yè)專有信息，這些信息被破壞會對公眾利益造成嚴重影響，其業(yè)務信息類型賦值為 2； 電力行業(yè)為國家重要基礎領域，DDZDH系統(tǒng)為其中的重要信息系統(tǒng)，其信息系統(tǒng)類型賦值應為 2； 查表知 DDZDH系統(tǒng)的業(yè)務信息安全性等級為 3級，如下表所示： 例 2系統(tǒng)定級 系統(tǒng)等級分析 業(yè)務信息安全性等級矩陣 業(yè)務信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 例 2系統(tǒng)定級 系統(tǒng)等級分析 DDZDH系統(tǒng)為省內企業(yè)和市民提供電力支持，其系統(tǒng)服務范圍賦值為 2； DDZDH系統(tǒng)對實時性要求高，且無法采用手工作業(yè)替代，其業(yè)務自動化處理程度應為 3； 查表知 DDZDH系統(tǒng)的業(yè)務服務保證性等級為4，如下表所示： 例 2系統(tǒng)定級 系統(tǒng)等級分析 業(yè)務服務保證性等級矩陣 信息系統(tǒng)服務范圍 業(yè)務依賴程度 1 1 2 1 1 2 3 2 2 3 4 3 3 4 4 例 2系統(tǒng)定級 系統(tǒng)等級分析 考慮到電力系統(tǒng)關系國防和國民經濟命脈，是國家重要基礎設施， DDZDH系統(tǒng)調節(jié)因子可選為 1，查表 12知，調節(jié)后 DDZDH系統(tǒng)的業(yè)務服務保證性等級為 4級； DDZDH系統(tǒng)的安全保護等級為 4級。 – 預測業(yè)務信息可能會隨著時間的變化從量變轉化為質變。 ? 等級調整 確定信息系統(tǒng)安全保護等級的步驟 ?為確定信息系統(tǒng)的安全保護等級，首先要確定信息系統(tǒng)內各業(yè)務子系統(tǒng)在上述四個定級要素方面的賦值，然后分別由四個定級要素確定業(yè)務信息安全性和業(yè)務服務保證性兩個定級指標的等級，再根據業(yè)務信息安全性等級和業(yè)務服務保證性等級確定業(yè)務子系統(tǒng)安全保護等級，最后由信息系統(tǒng)內各業(yè)務子系統(tǒng)的最高等級確定信息系統(tǒng)的安全保護等級。 決定等級的主要因素分析 系統(tǒng)所屬類型 業(yè)務信息類別 系統(tǒng)服務范圍 業(yè)務依賴程度程度 業(yè)務信息安全性 業(yè)務服務保證性 決定等級的主要因素分析 業(yè)務信息安全性 業(yè)務服務保證性 信息系統(tǒng)安全保護等級 等級確定方法 ? 信息系統(tǒng)劃分 ? 等級確定方法 ? 等級確定步驟 ? 等級調整 信息系統(tǒng)劃分 一個組織機構內可能運行一個或多個信息系統(tǒng)，這些信息系統(tǒng)的安全保護等級可以是相同的，也可以是不同的。 等級確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護等級既不是信息系統(tǒng)安全保障等級，也不是信息系統(tǒng)所能達到的技術能力等級，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經濟建設、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴重性角度確定的信息系統(tǒng)應達到的安全等級。 3 信息系統(tǒng)因無法提供服務或無法提供有效服務會對全國范圍的資產造成損害。 涉及國家安全利益，影響國家經濟建設的信息。 2 信息系統(tǒng)資產受到破壞會對公共利益有直接影響，或對國家安全利益有間接影響。信息系統(tǒng)是進行等級確定和等級保護管理的最終對象。 ?按照信息系統(tǒng)的定義，典型的信息系統(tǒng)應由計算機硬件設備（包括服務器設備、客戶端設備、打印機及存儲器等外圍設備）、計算機網絡硬件設備（包括交換機、路由器、各種適配器以及通信線路等）、安裝于這些硬件設備上的軟件、所提供的服務以及相關的人員構成。 ? 在啟動準備階段，應該仔細分析和合理劃分各個信息系統(tǒng)，確定各個信息系統(tǒng)的安全等級，定級過程也可能在設計 /開發(fā)階段實施； ? 在設計 /開發(fā)階段，應該根據各個信息系統(tǒng)的安全等級，進行安全需求分析，合理規(guī)劃設計網絡結構、應用系統(tǒng)、安全保護措施等，確保各個信息系統(tǒng)按照國家等級保護的要求進行規(guī)劃設計； ? 在實施 /實現階段，應在系統(tǒng)建設的同時，同步進行安全措施的落實和實現； ? 在運行維護階段，應按照國家等級保護的要求進行安全維護和安全管理； ? 在系統(tǒng)終止階段，應對系統(tǒng)的廢棄過程進行有效安全管理。安全運行維護階段需要進行的安全控制活動很多，如運行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應急預案等。 三、實施過程 ?對信息系統(tǒng)實施等級保護的過程劃分為五個階段 （一）系統(tǒng)定級階段 ?系統(tǒng)定級階段通過對信息系統(tǒng)的調查和分析進行信息系統(tǒng)劃分，確定包括相對獨立的信息系統(tǒng)的個數，選擇合適的信息系統(tǒng)安全等級定級方法，科學、準確地確定每個信息系統(tǒng)的安全等級。 二、參與角色和職責 ?信息系統(tǒng)安全等級保護系列標準中的 《 信息安全技術 ——信息系統(tǒng)安全等級保護實施指南 》 ，將參與等級保護過程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運營、使用單位；主要角色將參與等級保護實施過程的所有活動 ? 次要角色：是指信息系統(tǒng)安全服務商、信息安全監(jiān)管機構、安全測評機構和安全產品供應商。安全控制測評，主要是測評信息系統(tǒng)安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施和配置情況；系統(tǒng)整體測評，主要對信息系統(tǒng)的整體安全性進行測評。 （九） 《 信息安全技術 ——信息系統(tǒng)安全等級保護基本要求 》 ?《 信息安全技術 ——信息系統(tǒng)安全等級保護基本要求 》 為安全等級保護的每一個級別（共五個級別）都規(guī)定了要實現的安全目標，以及