【正文】 受到破壞會(huì)對(duì)國家安全利益有直接影響。 決定信息系統(tǒng)重要性的要素 ?（三）信息系統(tǒng)服務(wù)范圍，包括服務(wù)對(duì)象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ?根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)造成的社會(huì)影響范圍大小，典型的信息系統(tǒng)服務(wù)范圍、賦值和相關(guān)影響如下表所示。 業(yè)務(wù)依賴程度舉例 賦值 業(yè)務(wù)系統(tǒng)影響 業(yè)務(wù)處理流程的大部分可以通過手工方式或其他方式替代完成，自動(dòng)化程度低。 等級(jí)確定的原則 ? 業(yè)務(wù)為核心原則 ? 信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)的，信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)依據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要性、業(yè)務(wù)對(duì)信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。 如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)，信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。 3 屬于黨政機(jī)關(guān)，處理國家事務(wù)的信息系統(tǒng) 業(yè)務(wù)信息類型賦值 表 2：業(yè)務(wù)信息類型賦值表 業(yè)務(wù)信息類型賦值 業(yè)務(wù)信息的影響 1 業(yè)務(wù)信息被破壞或泄漏會(huì)對(duì)公共利益或單位經(jīng)濟(jì)利益造成一定損害 2 業(yè)務(wù)信息被破壞或泄漏會(huì)對(duì)公共利益或單位經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害 3 業(yè)務(wù)信息被破壞或泄漏會(huì)對(duì)國家安全利益和國家經(jīng)濟(jì)建設(shè)造成損害 業(yè)務(wù)信息類型舉例 典型的業(yè)務(wù)信息類型 業(yè)務(wù)信息類型賦值 業(yè)務(wù)信息類型 1 可以對(duì)外公開發(fā)布的數(shù)據(jù)信息，或單位內(nèi)不對(duì)外發(fā)布的一般信息 2 法人和其他組織及公民的專有信息 3 涉及國家安全利益，影響國家經(jīng)濟(jì)建設(shè)的信息 確定業(yè)務(wù)信息安全性 業(yè)務(wù)信息安全性等級(jí)矩陣 業(yè)務(wù)信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 信息系統(tǒng)服務(wù)范圍賦值 表 3：信息系統(tǒng)服務(wù)范圍賦值表 信息系統(tǒng)服務(wù)范圍賦值 服務(wù)范圍的影響 1 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)局部范圍的資產(chǎn) 有影響 2 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)局部范圍的資產(chǎn) 造成損害 3 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì) 全國范圍的造成損害 信息系統(tǒng)服務(wù)范圍舉例 典型的信息系統(tǒng)服務(wù)范圍 信息系統(tǒng) 服務(wù)范圍賦值 信息系統(tǒng)服務(wù)范圍類型 1 地區(qū)范圍的服務(wù)網(wǎng)絡(luò) 2 省級(jí)范圍的服務(wù)網(wǎng)絡(luò) 3 全國范圍的服務(wù)網(wǎng)絡(luò) 業(yè)務(wù)依賴程度賦值 表 4：業(yè)務(wù)依賴程度賦值表 業(yè)務(wù)依賴 程度賦值 業(yè)務(wù)影響 1 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較小 2 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較大 3 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)使單位無法完成其業(yè)務(wù)使命。 – 信息系統(tǒng)服務(wù)范圍隨著業(yè)務(wù)的發(fā)展，將會(huì)有較大的變化。 安全保護(hù)能力等級(jí)劃分 ?2級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒碜孕⌒徒M織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍?。ň植啃裕┑龋┮约捌渌喈?dāng)危害程度（無意失誤、設(shè)備故障等）威脅的能力，并在威脅發(fā)生后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。 基本要求的選擇 ?不同安全等級(jí)的信息系統(tǒng)，對(duì)業(yè)務(wù)信息的安全性要求和業(yè)務(wù)服務(wù)的連續(xù)性要求是有差異的；即使相同安全等級(jí)的信息系統(tǒng)，對(duì)業(yè)務(wù)信息的安全性要求和業(yè)務(wù)服務(wù)的連續(xù)性要求也有差異。 LOGO LOGO ? 靜夜四無鄰，荒居舊業(yè)貧。 2023年 3月 下午 11時(shí) 10分 :10March 8, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 2023年 3月 8日星期三 下午 11時(shí) 10分 51秒 23:10: ? 1楚塞三湘接，荊門九派通。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1知人者智，自知者明。 下午 11時(shí) 10分 51秒 下午 11時(shí) 10分 23:10: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 23:10:5123:10:5123:103/8/2023 11:10:51 PM ? 1越是沒有本領(lǐng)的就越加自命不凡。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1不知香積寺，數(shù)里入云峰。 2023年 3月 8日星期三 下午 11時(shí) 10分 51秒 23:10: ? 1比不了得就不比，得不到的就不要。 ? 最后，由于各種原因?qū)疽箜?xiàng)有調(diào)整需求的，應(yīng)針對(duì)需要調(diào)整的基本要求項(xiàng)逐項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析，在保證不降低整體安全保護(hù)強(qiáng)度的前提下，對(duì)基本要求項(xiàng)進(jìn)行調(diào)整，并形成書面的調(diào)整理由進(jìn)行說明。 ? 基本管理要求從安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)行維護(hù)管理幾個(gè)方面提出安全要求。 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 DDZDH系統(tǒng)信息屬企業(yè)專有信息，這些信息被破壞會(huì)對(duì)公眾利益造成嚴(yán)重影響，其業(yè)務(wù)信息類型賦值為 2； 電力行業(yè)為國家重要基礎(chǔ)領(lǐng)域，DDZDH系統(tǒng)為其中的重要信息系統(tǒng)，其信息系統(tǒng)類型賦值應(yīng)為 2； 查表知 DDZDH系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)為 3級(jí)，如下表所示： 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)信息安全性等級(jí)矩陣 業(yè)務(wù)信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 DDZDH系統(tǒng)為省內(nèi)企業(yè)和市民提供電力支持，其系統(tǒng)服務(wù)范圍賦值為 2； DDZDH系統(tǒng)對(duì)實(shí)時(shí)性要求高，且無法采用手工作業(yè)替代，其業(yè)務(wù)自動(dòng)化處理程度應(yīng)為 3； 查表知 DDZDH系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為4，如下表所示： 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)服務(wù)保證性等級(jí)矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度 1 1 2 1 1 2 3 2 2 3 4 3 3 4 4 例 2系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 考慮到電力系統(tǒng)關(guān)系國防和國民經(jīng)濟(jì)命脈，是國家重要基礎(chǔ)設(shè)施， DDZDH系統(tǒng)調(diào)節(jié)因子可選為 1，查表 12知，調(diào)節(jié)后 DDZDH系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)為 4級(jí)； DDZDH系統(tǒng)的安全保護(hù)等級(jí)為 4級(jí)。 – 預(yù)測業(yè)務(wù)信息可能會(huì)隨著時(shí)間的變化從量變轉(zhuǎn)化為質(zhì)變。 ? 等級(jí)調(diào)整 確定信息系統(tǒng)安全保護(hù)等級(jí)的步驟 ?為確定信息系統(tǒng)的安全保護(hù)等級(jí)，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在上述四個(gè)定級(jí)要素方面的賦值，然后分別由四個(gè)定級(jí)要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個(gè)定級(jí)指標(biāo)的等級(jí)，再根據(jù)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí)，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級(jí)確定信息系統(tǒng)的安全保護(hù)等級(jí)。 決定等級(jí)的主要因素分析 系統(tǒng)所屬類型 業(yè)務(wù)信息類別 系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度程度 業(yè)務(wù)信息安全性 業(yè)務(wù)服務(wù)保證性 決定等級(jí)的主要因素分析 業(yè)務(wù)信息安全性 業(yè)務(wù)服務(wù)保證性 信息系統(tǒng)安全保護(hù)等級(jí) 等級(jí)確定方法 ? 信息系統(tǒng)劃分 ? 等級(jí)確定方法 ? 等級(jí)確定步驟 ? 等級(jí)調(diào)整 信息系統(tǒng)劃分 一個(gè)組織機(jī)構(gòu)內(nèi)可能運(yùn)行一個(gè)或多個(gè)信息系統(tǒng)，這些信息系統(tǒng)的安全保護(hù)等級(jí)可以是相同的，也可以是不同的。 等級(jí)確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護(hù)等級(jí)既不是信息系統(tǒng)安全保障等級(jí)，也不是信息系統(tǒng)所能達(dá)到的技術(shù)能力等級(jí)，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對(duì)國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級(jí)。 3 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)全國范圍的資產(chǎn)造成損害。 涉及國家安全利益，影響國家經(jīng)濟(jì)建設(shè)的信息。 2 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對(duì)公共利益有直接影響，或?qū)野踩嬗虚g接影響。信息系統(tǒng)是進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。 ?按照信息系統(tǒng)的定義，典型的信息系統(tǒng)應(yīng)由計(jì)算機(jī)硬件設(shè)備（包括服務(wù)器設(shè)備、客戶端設(shè)備、打印機(jī)及存儲(chǔ)器等外圍設(shè)備）、計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備（包括交換機(jī)、路由器、各種適配器以及通信線路等）、安裝于這些硬件設(shè)備上的軟件、所提供的服務(wù)以及相關(guān)的人員構(gòu)成。 ? 在啟動(dòng)準(zhǔn)備階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)信息系統(tǒng)，確定各個(gè)信息系統(tǒng)的安全等級(jí)，定級(jí)過程也可能在設(shè)計(jì) /開發(fā)階段實(shí)施； ? 在設(shè)計(jì) /開發(fā)階段，應(yīng)該根據(jù)各個(gè)信息系統(tǒng)的安全等級(jí)，進(jìn)行安全需求分析，合理規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、安全保護(hù)措施等，確保各個(gè)信息系統(tǒng)按照國家等級(jí)保護(hù)的要求進(jìn)行規(guī)劃設(shè)計(jì)； ? 在實(shí)施 /實(shí)現(xiàn)階段，應(yīng)在系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的落實(shí)和實(shí)現(xiàn)； ? 在運(yùn)行維護(hù)階段，應(yīng)按照國家等級(jí)保護(hù)的要求進(jìn)行安全維護(hù)和安全管理； ? 在系統(tǒng)終止階段，應(yīng)對(duì)系統(tǒng)的廢棄過程進(jìn)行有效安全管理。安全運(yùn)行維護(hù)階段需要進(jìn)行的安全控制活動(dòng)很多，如運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應(yīng)急預(yù)案等。 三、實(shí)施過程 ?對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的過程劃分為五個(gè)階段 （一）系統(tǒng)定級(jí)階段 ?系統(tǒng)定級(jí)階段通過對(duì)信息系統(tǒng)的調(diào)查和分析進(jìn)行信息系統(tǒng)劃分，確定包括相對(duì)獨(dú)立的信息系統(tǒng)的個(gè)數(shù)，選擇合適的信息系統(tǒng)安全等級(jí)定級(jí)方法，科學(xué)、準(zhǔn)確地確定每個(gè)信息系統(tǒng)的安全等級(jí)。 二、參與角色和職責(zé) ?信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)中的 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 ，將參與等級(jí)保護(hù)過程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運(yùn)營、使用單位；主要角色將參與等級(jí)保護(hù)實(shí)施過程的所有活動(dòng) ? 次要角色：是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測評(píng)機(jī)構(gòu)和安全產(chǎn)品供應(yīng)商。安全控制測評(píng)，主要是測評(píng)信息系統(tǒng)安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施和配置情況；系統(tǒng)整體測評(píng)，主要對(duì)信息系統(tǒng)的整體安全性進(jìn)行測評(píng)。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 為安全等級(jí)保護(hù)的每一個(gè)級(jí)別（共五個(gè)級(jí)別）都規(guī)定了要實(shí)現(xiàn)的安全目標(biāo)，以及