【正文】 現(xiàn)的安全目標，以及為了實現(xiàn)安全目標所必須采用的技術(shù)措施和管理手段。 （六） GA/T 391 — 2023《 計算機信息系統(tǒng)安全等級保護管理要求 》 ?GA/T 391 — 2023主要內(nèi)容為： ? （ 1）簡單描述了信息系統(tǒng)安全管理的內(nèi)涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過程、安全管理組織、人員安全管理、安全管理制度等。 （五） GA/T 387 — 2023《 計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術(shù)要求 》 ? GA/T 387 — 2023主要內(nèi)容為： ? （ 1）簡單描述了關(guān)于安全等級劃分、主體、客體、 TCB、密碼技術(shù)、建立網(wǎng)絡安全的一般要求，以及網(wǎng)絡安全組成與相互關(guān)系。對計算機信息系統(tǒng)五個安全保護等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進行詳細描述。 ?它將計算機信息系統(tǒng)安全保護等級劃分為五個等級，通過規(guī)范、科學和公正的評定和監(jiān)督管理， ? 一是為計算機信息系統(tǒng)安全等級保護管理法規(guī)的制定和執(zhí)法部門的監(jiān)督、檢查提供依據(jù)； ? 二是為計算機信息系統(tǒng)安全產(chǎn)品的研制提供技術(shù)支持； ? 三是為安全系統(tǒng)的建設和管理提供技術(shù)指導。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。 六是出臺新的 《 信息安全等級保護管理辦法 》 。 2023年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了 《 關(guān)于信息安全等級保護工作的實施意見》 （ 66號文件） 2023年 1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了 《 信息安全等級保護管理辦法 》 （公通字 [2023]7號） 政府層面：國家制定統(tǒng)一信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產(chǎn)品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督、指導。LOGO 信息安全等級保護 何曉霞 本章內(nèi)容安排 ?信息安全等級保護制度 ?信息系統(tǒng)安全等級保護實施 ?信息系統(tǒng)安全等級確定 ?信息系統(tǒng)安全等級保護要求 ?信息系統(tǒng)安全風險評估 第一節(jié) 信息安全等級保護制度 ?一、信息安全等級保護管理 ?二、信息系統(tǒng)安全等級劃分 ?三、信息系統(tǒng)安全等級保護相關(guān)標準 一、信息安全等級保護管理 信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。 “要重點保護基礎信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南 ” 。 五是部署開展信息安全等級保護試點工作。 二、信息系統(tǒng)安全等級劃分 ?（三）第三級為監(jiān)督保護級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害。 （一） GB 17859 — 1999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ?GB 17859 — 1999是建立計算機信息系統(tǒng)安全等級保護制度，實施安全等級管理的重要基礎性標準。 （三） GA/T 388 — 2023《 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施 ?該標準作為計算機信息系統(tǒng)安全等級保護要求系列標準的重要組成部分，用于指導設計者如何設計和實現(xiàn)具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全等級進行劃分來說明其技術(shù)要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對操作系統(tǒng)應采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)的差異。 ?對計算機信息系統(tǒng)五個安全保護等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進行詳細描述。管理層面貫穿其他五個層面，是其他五個層面實施安全等級保護的保證。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護基本要求 》 規(guī)定了信息系統(tǒng)安全等級保護的基本要求，包括基本技術(shù)要求和基本管理要求，適用于不同安全等級的信息系統(tǒng)的安全保護。 （十） 《 信息系統(tǒng)安全等級保護測評準則 》 ?《 信息系統(tǒng)安全等級保護測評準則 》 將測評分為安全控制測評和系統(tǒng)整體測評兩方面。因為信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因，安全等級需要變更的，應當根據(jù)等級保護的管理規(guī)范和技術(shù)標準的要求，重新確定信息系統(tǒng)的安全等級，根據(jù)信息系統(tǒng)安全等級的調(diào)整情況，重新實施安全保護。 等級保護實施過程中各類角色的職責 ?（六）安全產(chǎn)品供應商 ? 安全產(chǎn)品供應商的主要責任是按照等級保護的管理規(guī)范和技術(shù)標準的要求，開發(fā)符合等級保護要求的信息安全產(chǎn)品；提交信息安全產(chǎn)品進行安全等級測評并按照等級保護要求銷售信息安全產(chǎn)品。 （四）安全運行維護階段 ?安全運行維護階段將介紹運行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應急預案等過程；通過運行管理和控制、變更管理和控制、對安全狀態(tài)進行監(jiān)控、對發(fā)生的安全事件及時響應，確保信息系統(tǒng)正常運行；通過安全檢查和持續(xù)改進不斷跟蹤信息系統(tǒng)的變化，并依據(jù)變化進行調(diào)整，確保信息系統(tǒng)滿足相應等級的安全要求，處于良好安全狀態(tài)。 新建信息系統(tǒng)安全等級保護的實施 ? 新建信息系統(tǒng)在生命周期中的各個階段應同步考慮安全等級保護實施的主要活動。 ?業(yè)務子系統(tǒng)由信息系統(tǒng)的一部分組件構(gòu)成，是信息系統(tǒng)中能夠承載某項業(yè)務工作的子系統(tǒng)。信息系統(tǒng)的安全保護等級由各業(yè)務子系統(tǒng)的最高等級決定。 屬于重要行業(yè)、重要領域和國家基礎設施為國計民生、經(jīng)濟建設等提供重要服務的信息系統(tǒng)，或本身雖屬于一般企事業(yè)單位，但為黨政或重要信息系統(tǒng)提供支撐服務的信息系統(tǒng)。 2 業(yè)務信息保密性、完整性或可用性被破壞會對公共利益或本單位經(jīng)濟利益造成嚴重損害。 全國范圍的服務網(wǎng)絡。 3 信息系統(tǒng)無法提供服務或無法提供有效服務使單位無法完成其業(yè)務使命。 ? 業(yè)務依賴程度程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務的程度 其中第 2個要素決定信息系統(tǒng)內(nèi)信息資產(chǎn)的重要性，第 4個要素決定信息系統(tǒng)所提供服務的重要性，而信息資產(chǎn)及信息系統(tǒng)服務的重要性決定了信息系統(tǒng)的重要性。 等級確定方法 具體步驟： ? 通過對信息系統(tǒng)類型和業(yè)務信息類型賦值，確定信息系統(tǒng)的業(yè)務信息安全性等級； ? 通過對信息系統(tǒng)服務范圍和業(yè)務依賴程度賦值，確定信息系統(tǒng)的業(yè)務服務保證性等級； ? 通過業(yè)務信息安全性等級和業(yè)務服務保證性等級確定信息系統(tǒng)安全保護等級。 等級的調(diào)整 提升級別的主要參考因素 ： – 上級主管部門在政策和管理方面的特殊要求。系統(tǒng)實時性要求極高，達到秒級。 技術(shù)要求與管理要求 ?技術(shù)類安全要求通常與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要是通過在信息系統(tǒng)中部署軟硬件并正確地配置其安全功能來實現(xiàn)； ? 基本技術(shù)要求從物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全幾個層面提出安全要求； ?管理類安全要求通常與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要是通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面作出規(guī)定來實現(xiàn)。對業(yè)務信息安全性等級高于業(yè)務服務保證性等級的系統(tǒng)，業(yè)務服務保證類（ A類）技術(shù)要求可以根據(jù)業(yè)務服務保證性等級選擇相應等級的業(yè)務服務保證類（ A類）技術(shù)要求；對業(yè)務服務保證性等級高于業(yè)務信息安全性等級的系統(tǒng)，業(yè)務信息安全類（ S類）技術(shù)要求可以根據(jù)業(yè)務信息安全性等級選擇相應等級的業(yè)務信息安全類（ S類）技術(shù)要求。 :30:3721:30:37March 21, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 :30:3721:30Mar2321Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , March 21, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 21日星期二 9時 30分 37秒 21:30:3721 March 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。勝人者有力，自勝者強。 。 2023年 3月 21日星期二 9時 30分 37秒 21:30:3721 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 , March 21, 2023 ? 雨中黃葉樹，燈下白頭人。信息系統(tǒng)的安全等級由各個業(yè)務子系統(tǒng)的業(yè)務信息安全性等級和業(yè)務服務保證性等級較高者決定，因此，對某一個定級后的信息系統(tǒng)的保護要求可以有多種組合。 安全保護能力等級劃分 ?3級安全保護能力：應具有能夠?qū)箒碜源笮偷?、有組織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難（災難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復絕大部分功能。 例 1系統(tǒng)定級 系統(tǒng)簡述： 某省政府網(wǎng)站系統(tǒng) ZFWZ，用于發(fā)布政務公開信息、地方行政法規(guī)和管理措施、領導講話、政府辦事流程、新聞發(fā)布、政府公告、舉報投訴、省內(nèi)經(jīng)濟形勢介紹、電子表單下載等信息，服務對象主要是省內(nèi)企業(yè)和市民。 業(yè)務依賴程度舉例 典型的依賴程度 業(yè)務依賴程度賦值 業(yè)務依賴程度類型 1 整個業(yè)務處理流程可以通過手工方式或其他方式完成 2 業(yè)務處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成 3 業(yè)務處理流程完全依賴信息系統(tǒng)，手工方式無法完成。信息系統(tǒng)是進行等級確定和等級保護管理的最終對象。 ? 合理性原則 ? 不同于信息安全產(chǎn)品，信息系統(tǒng)千差萬別，各具特色，只有在劃分安全保護等級的過程中，盡可能反映出信息系統(tǒng)的主要安全特征，合理劃分等級，才能做到突出重點，適度保護。 1 信息系統(tǒng)無法提供服務或無法提供有效服務對單位完成其業(yè)務使命影響較小。 信息系統(tǒng)服務范圍舉例 賦值 服務范圍的影響 地區(qū)范圍的服務網(wǎng)絡。 決定信息系統(tǒng)重要性的要素 ? （二）信息系統(tǒng)主要處理的業(yè)務信息類型 ? 根據(jù)信息系統(tǒng)中業(yè)務信息保密性、完整性或可用性被破壞后，對國家安全利益、經(jīng)濟建設、公共利益或單位利益的影響程度，典型的業(yè)務信息類型、賦值及其安全影響如下表所示。 決定信息系統(tǒng)重要性的要素 ? （一）信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)所屬類型在較大程度上決定了信息系統(tǒng)受到