【正文】 為了實(shí)現(xiàn)安全目標(biāo)所必須采用的技術(shù)措施和管理手段。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 》 ?GA/T 391 — 2023主要內(nèi)容為： ? （ 1）簡(jiǎn)單描述了信息系統(tǒng)安全管理的內(nèi)涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過(guò)程、安全管理組織、人員安全管理、安全管理制度等。 （五） GA/T 387 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 》 ? GA/T 387 — 2023主要內(nèi)容為： ? （ 1）簡(jiǎn)單描述了關(guān)于安全等級(jí)劃分、主體、客體、 TCB、密碼技術(shù)、建立網(wǎng)絡(luò)安全的一般要求，以及網(wǎng)絡(luò)安全組成與相互關(guān)系。對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 ?它將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分為五個(gè)等級(jí)，通過(guò)規(guī)范、科學(xué)和公正的評(píng)定和監(jiān)督管理， ? 一是為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理法規(guī)的制定和執(zhí)法部門(mén)的監(jiān)督、檢查提供依據(jù)； ? 二是為計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品的研制提供技術(shù)支持； ? 三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。 ? 本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門(mén)對(duì)其進(jìn)行監(jiān)督、檢查。 六是出臺(tái)新的 《 信息安全等級(jí)保護(hù)管理辦法 》 。 2023年，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合印發(fā)了 《 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》 （ 66號(hào)文件） 2023年 1月，公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合制定了 《 信息安全等級(jí)保護(hù)管理辦法 》 （公通字 [2023]7號(hào)） 政府層面：國(guó)家制定統(tǒng)一信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息安全產(chǎn)品的使用分等級(jí)實(shí)行管理，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、指導(dǎo)。LOGO 信息安全等級(jí)保護(hù) 何曉霞 本章內(nèi)容安排 ?信息安全等級(jí)保護(hù)制度 ?信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施 ?信息系統(tǒng)安全等級(jí)確定 ?信息系統(tǒng)安全等級(jí)保護(hù)要求 ?信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估 第一節(jié) 信息安全等級(jí)保護(hù)制度 ?一、信息安全等級(jí)保護(hù)管理 ?二、信息系統(tǒng)安全等級(jí)劃分 ?三、信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn) 一、信息安全等級(jí)保護(hù)管理 信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法。 “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南 ” 。 五是部署開(kāi)展信息安全等級(jí)保護(hù)試點(diǎn)工作。 二、信息系統(tǒng)安全等級(jí)劃分 ?（三）第三級(jí)為監(jiān)督保護(hù)級(jí) ? 其主要對(duì)象為涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成較大損害。 （一） GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ?GB 17859 — 1999是建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度，實(shí)施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。 （三） GA/T 388 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的操作系統(tǒng)，主要從對(duì)操作系統(tǒng)的安全等級(jí)進(jìn)行劃分來(lái)說(shuō)明其技術(shù)要求，即主要說(shuō)明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求對(duì)操作系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)的差異。 ?對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。管理層面貫穿其他五個(gè)層面，是其他五個(gè)層面實(shí)施安全等級(jí)保護(hù)的保證。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)的基本要求，包括基本技術(shù)要求和基本管理要求，適用于不同安全等級(jí)的信息系統(tǒng)的安全保護(hù)。 （十） 《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 ?《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 將測(cè)評(píng)分為安全控制測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩方面。因?yàn)樾畔⑾到y(tǒng)的應(yīng)用類(lèi)型、范圍等條件的變化及其他原因，安全等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級(jí)，根據(jù)信息系統(tǒng)安全等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。 等級(jí)保護(hù)實(shí)施過(guò)程中各類(lèi)角色的職責(zé) ?（六）安全產(chǎn)品供應(yīng)商 ? 安全產(chǎn)品供應(yīng)商的主要責(zé)任是按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，開(kāi)發(fā)符合等級(jí)保護(hù)要求的信息安全產(chǎn)品；提交信息安全產(chǎn)品進(jìn)行安全等級(jí)測(cè)評(píng)并按照等級(jí)保護(hù)要求銷(xiāo)售信息安全產(chǎn)品。 （四）安全運(yùn)行維護(hù)階段 ?安全運(yùn)行維護(hù)階段將介紹運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應(yīng)急預(yù)案等過(guò)程；通過(guò)運(yùn)行管理和控制、變更管理和控制、對(duì)安全狀態(tài)進(jìn)行監(jiān)控、對(duì)發(fā)生的安全事件及時(shí)響應(yīng)，確保信息系統(tǒng)正常運(yùn)行；通過(guò)安全檢查和持續(xù)改進(jìn)不斷跟蹤信息系統(tǒng)的變化，并依據(jù)變化進(jìn)行調(diào)整，確保信息系統(tǒng)滿足相應(yīng)等級(jí)的安全要求，處于良好安全狀態(tài)。 新建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ? 新建信息系統(tǒng)在生命周期中的各個(gè)階段應(yīng)同步考慮安全等級(jí)保護(hù)實(shí)施的主要活動(dòng)。 ?業(yè)務(wù)子系統(tǒng)由信息系統(tǒng)的一部分組件構(gòu)成，是信息系統(tǒng)中能夠承載某項(xiàng)業(yè)務(wù)工作的子系統(tǒng)。信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。 屬于重要行業(yè)、重要領(lǐng)域和國(guó)家基礎(chǔ)設(shè)施為國(guó)計(jì)民生、經(jīng)濟(jì)建設(shè)等提供重要服務(wù)的信息系統(tǒng)，或本身雖屬于一般企事業(yè)單位，但為黨政或重要信息系統(tǒng)提供支撐服務(wù)的信息系統(tǒng)。 2 業(yè)務(wù)信息保密性、完整性或可用性被破壞會(huì)對(duì)公共利益或本單位經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害。 全國(guó)范圍的服務(wù)網(wǎng)絡(luò)。 3 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)使單位無(wú)法完成其業(yè)務(wù)使命。 ? 業(yè)務(wù)依賴程度程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務(wù)的程度 其中第 2個(gè)要素決定信息系統(tǒng)內(nèi)信息資產(chǎn)的重要性，第 4個(gè)要素決定信息系統(tǒng)所提供服務(wù)的重要性，而信息資產(chǎn)及信息系統(tǒng)服務(wù)的重要性決定了信息系統(tǒng)的重要性。 等級(jí)確定方法 具體步驟： ? 通過(guò)對(duì)信息系統(tǒng)類(lèi)型和業(yè)務(wù)信息類(lèi)型賦值，確定信息系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)； ? 通過(guò)對(duì)信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)依賴程度賦值，確定信息系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級(jí)； ? 通過(guò)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)。 等級(jí)的調(diào)整 提升級(jí)別的主要參考因素 ： – 上級(jí)主管部門(mén)在政策和管理方面的特殊要求。系統(tǒng)實(shí)時(shí)性要求極高，達(dá)到秒級(jí)。 技術(shù)要求與管理要求 ?技術(shù)類(lèi)安全要求通常與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要是通過(guò)在信息系統(tǒng)中部署軟硬件并正確地配置其安全功能來(lái)實(shí)現(xiàn)； ? 基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出安全要求； ?管理類(lèi)安全要求通常與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要是通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面作出規(guī)定來(lái)實(shí)現(xiàn)。對(duì)業(yè)務(wù)信息安全性等級(jí)高于業(yè)務(wù)服務(wù)保證性等級(jí)的系統(tǒng)，業(yè)務(wù)服務(wù)保證類(lèi)（ A類(lèi)）技術(shù)要求可以根據(jù)業(yè)務(wù)服務(wù)保證性等級(jí)選擇相應(yīng)等級(jí)的業(yè)務(wù)服務(wù)保證類(lèi)（ A類(lèi)）技術(shù)要求；對(duì)業(yè)務(wù)服務(wù)保證性等級(jí)高于業(yè)務(wù)信息安全性等級(jí)的系統(tǒng)，業(yè)務(wù)信息安全類(lèi)（ S類(lèi)）技術(shù)要求可以根據(jù)業(yè)務(wù)信息安全性等級(jí)選擇相應(yīng)等級(jí)的業(yè)務(wù)信息安全類(lèi)（ S類(lèi)）技術(shù)要求。 :10:5123:10:51March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 :10:5123:10Mar238Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 , March 8, 2023 ? 閱讀一切好書(shū)如同和過(guò)去最杰出的人談話。 2023年 3月 8日星期三 11時(shí) 10分 51秒 23:10:518 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時(shí) 10分 51秒 23:10:518 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 , March 8, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。信息系統(tǒng)的安全等級(jí)由各個(gè)業(yè)務(wù)子系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)較高者決定，因此，對(duì)某一個(gè)定級(jí)后的信息系統(tǒng)的保護(hù)要求可以有多種組合。 安全保護(hù)能力等級(jí)劃分 ?3級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒?lái)自大型的、有組織的團(tuán)體（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣（地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。 例 1系統(tǒng)定級(jí) 系統(tǒng)簡(jiǎn)述： 某省政府網(wǎng)站系統(tǒng) ZFWZ，用于發(fā)布政務(wù)公開(kāi)信息、地方行政法規(guī)和管理措施、領(lǐng)導(dǎo)講話、政府辦事流程、新聞發(fā)布、政府公告、舉報(bào)投訴、省內(nèi)經(jīng)濟(jì)形勢(shì)介紹、電子表單下載等信息，服務(wù)對(duì)象主要是省內(nèi)企業(yè)和市民。 業(yè)務(wù)依賴程度舉例 典型的依賴程度 業(yè)務(wù)依賴程度賦值 業(yè)務(wù)依賴程度類(lèi)型 1 整個(gè)業(yè)務(wù)處理流程可以通過(guò)手工方式或其他方式完成 2 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過(guò)手工方式或其他方式替代完成 3 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無(wú)法完成。信息系統(tǒng)是進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。 ? 合理性原則 ? 不同于信息安全產(chǎn)品，信息系統(tǒng)千差萬(wàn)別，各具特色，只有在劃分安全保護(hù)等級(jí)的過(guò)程中，盡可能反映出信息系統(tǒng)的主要安全特征，合理劃分等級(jí)，才能做到突出重點(diǎn)，適度保護(hù)。 1 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較小。 信息系統(tǒng)服務(wù)范圍舉例 賦值 服務(wù)范圍的影響 地區(qū)范圍的服務(wù)網(wǎng)絡(luò)。 決定信息系統(tǒng)重要性的要素 ? （二）信息系統(tǒng)主要處理的業(yè)務(wù)信息類(lèi)型 ? 根據(jù)信息系統(tǒng)中業(yè)務(wù)信息保密性、完整性或可用性被破壞后，對(duì)國(guó)家安全利益、經(jīng)濟(jì)建設(shè)、公共利益或單位利益的影響程度，典型的業(yè)務(wù)信息類(lèi)型、賦值及其安全影響如下表所示。 決定信息系統(tǒng)重要性的要素 ? （一）信息系統(tǒng)所屬類(lèi)型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)所屬類(lèi)型在較大程度上決定了信息系統(tǒng)受到破壞后對(duì)其社會(huì)價(jià)值