【正文】 政府） – 根據(jù)信息系統(tǒng)所處理信息的機(jī)密性、完整性和可用性被破壞的影響確定。 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 12 等級(jí)確定的原則 ? 全局性原則 – 信息系統(tǒng)安全等級(jí)保護(hù)是針對(duì)全國范圍內(nèi)、涵蓋各個(gè)行業(yè)信息系統(tǒng)的管理制度，信息系統(tǒng)安全保護(hù)等級(jí)的劃分也必須從國家層面考慮，體現(xiàn)全局性。 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 16 決定等級(jí)的主要因素分析 信息系統(tǒng)所屬類型 業(yè)務(wù)數(shù)據(jù)類別 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)處理的自動(dòng)化程度 業(yè)務(wù)重要性 業(yè)務(wù)數(shù)據(jù)安全性 業(yè)務(wù)處理連續(xù)性 業(yè)務(wù)依賴性 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 17 決定等級(jí)的主要因素分析 業(yè)務(wù)數(shù)據(jù)安全性 業(yè)務(wù)處理連續(xù)性 信息系統(tǒng)安全保護(hù)等級(jí) 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 18 等級(jí)確定方法 具體步驟： ? 通過對(duì)信息系統(tǒng)類型和業(yè)務(wù)數(shù)據(jù)類型賦值，確定信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性等級(jí)； ? 通過對(duì)信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)處理自動(dòng)化程度賦值，確定信息系統(tǒng)的業(yè)務(wù)處理連續(xù)性等級(jí)； ? 通過業(yè)務(wù)數(shù)據(jù)安全性等級(jí)和業(yè)務(wù)處理連續(xù)性等級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)。 ? 第五級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)受到破壞后，會(huì)直接對(duì)國家安全造成嚴(yán)重?fù)p害。 ? 信息系統(tǒng)的安全等級(jí)與技術(shù)要求組合是一對(duì)多的關(guān)系。 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 56 實(shí)施指南內(nèi)容介紹 主要階段和主要過程 系統(tǒng)定級(jí)階段 安全規(guī)劃設(shè)計(jì)階段 產(chǎn)品采購和工程實(shí)施階段 運(yùn)行管理和狀態(tài)監(jiān)控階段 系統(tǒng)調(diào)查和描述 子系統(tǒng)劃分 子系統(tǒng)定級(jí) 子系統(tǒng)邊界設(shè)定 等級(jí)化風(fēng)險(xiǎn)評(píng)估 分級(jí)保護(hù)模型化處理 安全策略規(guī)劃 安全建設(shè)規(guī)劃 安全建設(shè)詳細(xì)方案設(shè)計(jì) 安全產(chǎn)品采購 安全控制開發(fā) 安全控制集成 測(cè)試與驗(yàn)收 安全等級(jí)測(cè)評(píng) 運(yùn)行批準(zhǔn) 系統(tǒng)備案 操作管理和控制 配置管理和控制 變更管理和控制 安全狀態(tài)監(jiān)控 安全事件處理和應(yīng)急預(yù)案 監(jiān)督和檢查 持續(xù)改進(jìn) 定級(jí)結(jié)果文檔化 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 57 實(shí)施指南內(nèi)容介紹 系統(tǒng)定級(jí)過程 系統(tǒng)調(diào)查、標(biāo)識(shí)和描述 子系統(tǒng)劃分 子系統(tǒng)定級(jí) 子系統(tǒng)邊界設(shè)定 輸入 輸出 過程 信息系統(tǒng)描述文件 子系統(tǒng)列表 系統(tǒng)安全保護(hù)等級(jí)定級(jí)結(jié)果 邊界設(shè)定結(jié)果 信息系統(tǒng)基本信息 、 管理框架 、 業(yè)務(wù)特性 信息系統(tǒng)描述文件 子系統(tǒng)列表 ， 信息系統(tǒng) /子系統(tǒng)業(yè)務(wù)特性 安全保護(hù)等級(jí)定級(jí)結(jié)果 、子系統(tǒng)業(yè)務(wù)流程 ， 網(wǎng)絡(luò)拓?fù)? 定級(jí)結(jié)果文檔化 信息系統(tǒng)等級(jí)化分析報(bào)告 信息系統(tǒng)描述文件 、 子系統(tǒng)列表 、 定級(jí)及邊界設(shè)定結(jié)果 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 58 實(shí)施指南內(nèi)容介紹 系統(tǒng)調(diào)查和描述過程 為了能夠進(jìn)行信息系統(tǒng)子系統(tǒng)劃分、確定安全等級(jí)以及后續(xù)的安全規(guī)劃設(shè)計(jì)等工作，要了解和知道信息系統(tǒng)的各種特性，應(yīng)通過查詢相關(guān)文檔、填寫調(diào)查表、有關(guān)人員詢問、現(xiàn)場(chǎng)實(shí)地觀察等等方式收集信息系統(tǒng)相關(guān)信息，對(duì)收集到的信息系統(tǒng)相關(guān)信息進(jìn)行分析和整理，并根據(jù)分析和整理的內(nèi)容準(zhǔn)確描述信息系統(tǒng)，形成信息系統(tǒng)的描述性文檔。 為了保證實(shí)施指南的描述有一個(gè)清晰的思路，各類使用人員都能夠理解和較好地使用，實(shí)施指南并不以某個(gè)特定單位的活動(dòng)為主線進(jìn)行描述，而是以信息系統(tǒng)等級(jí)保護(hù)建設(shè)所要從事的活動(dòng)為主線，有些活動(dòng)可能是這個(gè)單位執(zhí)行的，另一些活動(dòng)可能是另一個(gè)單位執(zhí)行的。 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 32 安全目標(biāo) ? 每一級(jí)的安全目標(biāo)與威脅之間存在對(duì)應(yīng)關(guān)系，每個(gè)威脅至少被一個(gè)安全目標(biāo)所覆蓋；反過來，每個(gè)安全目標(biāo)至少覆蓋一個(gè)威脅。 公安部信息安全等級(jí)保護(hù)評(píng)估中心 2021/6/17 27 5個(gè)監(jiān)管等級(jí)對(duì)象 ? 第一級(jí)：信息系統(tǒng)所承載業(yè)務(wù)涉及公民、法人和其他組織的權(quán)益，受到破壞后對(duì)公民、法人和其他組織的權(quán)益造成一定損害；該業(yè)務(wù)的開展在一定程度上依托于信息系統(tǒng)，系統(tǒng)受到破壞后對(duì)業(yè)務(wù)正常開展產(chǎn)生