【正文】 的影響程度。業(yè)務(wù)子系統(tǒng)是信息系統(tǒng)中可以為定級(jí)要素賦值的最小單元。 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?二、決定信息系統(tǒng)安全保護(hù)等級(jí)的因素 ?三、確定信息系統(tǒng)安全保護(hù)等級(jí)的步驟 ?四、信息系統(tǒng)安全保護(hù)等級(jí)的確定方法 ?五、定級(jí)案例分析 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?系統(tǒng)定級(jí)是實(shí)施等級(jí)保護(hù)的前提和基礎(chǔ)。系統(tǒng)終止階段遷移或廢棄系統(tǒng)組件時(shí)，核心關(guān)注點(diǎn)是防止敏感信息泄漏。 ?通常情況下，安全規(guī)劃設(shè)計(jì)階段包括安全需求分析、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃等幾個(gè)主要活動(dòng)。 等級(jí)保護(hù)實(shí)施過程中各類角色的職責(zé) ?（二）信息系統(tǒng)運(yùn)營(yíng)、使用單位 ? 信息系統(tǒng)運(yùn)營(yíng)、使用單位的主要責(zé)任是按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全等級(jí)，并報(bào)其主管部門審批同意；對(duì)安全等級(jí)在三級(jí)以上的信息系統(tǒng)，報(bào)送本地區(qū)地市級(jí)公安機(jī)關(guān)備案；根據(jù)已經(jīng)確定的安全等級(jí)，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工；采購(gòu)和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施；對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評(píng)估，發(fā)現(xiàn)問題及時(shí)整改；加強(qiáng)和完善自身等級(jí)保護(hù)制度的建設(shè)，加強(qiáng)自我保護(hù)；定期進(jìn)行安全狀況檢測(cè)評(píng)估，及時(shí)消除安全隱患和漏洞，建立安全制度，制定不同等級(jí)信息安全事件的響應(yīng)、處置預(yù)案，加強(qiáng)信息系統(tǒng)的安全管理。 ?等級(jí)保護(hù)在實(shí)施過程中應(yīng)遵循以下基本原則： ?（一）自主保護(hù)原則 ? 由各主管部門和運(yùn)營(yíng)、使用單位按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級(jí)，自行組織實(shí)施安全保護(hù)。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 為安全等級(jí)保護(hù)的每一級(jí)別所規(guī)定的技術(shù)措施和管理手段的要求，各單位應(yīng)當(dāng)根據(jù)本單位信息系統(tǒng)安全級(jí)別的具體情況嚴(yán)格遵循。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?根據(jù) 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 中等級(jí)保護(hù)實(shí)施的生命周期，要對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)，首先就要科學(xué)地確定信息系統(tǒng)的安全等級(jí)， 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 給出了如何對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行確定的規(guī)范化規(guī)定和描述。 ? （ 4）五個(gè)安全等級(jí)劃分要求技術(shù)方面細(xì)則。 ?對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 ? GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列的基礎(chǔ)標(biāo)準(zhǔn)，詳細(xì)說明了計(jì)算機(jī)信息系統(tǒng)為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求應(yīng)采取的通用的安全技術(shù)，以及為確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性而采取的保證措施，并將對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的要求，從技術(shù)要求方面進(jìn)行詳細(xì)描述。 二、信息系統(tǒng)安全等級(jí)劃分 ?（五）第五級(jí)為?？乇Ｗo(hù)級(jí) ? 其主要對(duì)象為涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害。 ?（一）第一級(jí)為自主保護(hù)級(jí) ? 其主要對(duì)象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但 不危害國(guó)家安全、社會(huì)秩序和公共利益。 等級(jí)保護(hù)制度的基本思想 信息安全等級(jí)保護(hù)的工作進(jìn)展 一是 2023年 1月制定出臺(tái)了 《 信息安全等級(jí)保護(hù)管理辦法（試行） 》 。 ? 1995年 2月 18日人大 12次會(huì)議通過并實(shí)施的 《 中華人民共和國(guó)警察法 》 第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行 “監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作 ”。 ——法律依據(jù)。 二是 2023年 5月 18日組織召開了國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組第一次會(huì)議。 ? 本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。 ? 本級(jí)系統(tǒng)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國(guó)家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督、檢查。 （二） GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 ?GA/T 390 — 2023主要內(nèi)容為： ? （ 1）安全功能技術(shù)要求，包括物理安全、運(yùn)行安全、信息安全。 （四） GA/T 389 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求 》 ?GA/T 389 — 2023主要內(nèi)容為： ? （ 1）數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求，包括身份鑒別、標(biāo)記與訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)庫(kù)安全審計(jì)、客體重用、數(shù)據(jù)庫(kù)可信恢復(fù)、隱蔽信道分析、可信路徑、推理控制。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實(shí)施。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?為確定信息系統(tǒng)的安全保護(hù)等級(jí)，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在四個(gè)定級(jí)要素方面的賦值（分別為系統(tǒng)所屬類型、業(yè)務(wù)信息類型、服務(wù)范圍、依賴程度），然后分別由四個(gè)定級(jí)要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個(gè)定級(jí)指標(biāo)的等級(jí)，再根據(jù)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí)，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級(jí)確定信息系統(tǒng)的安全保護(hù)等級(jí)。 （十） 《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 ?各單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施力度和遵循情況，不僅需要各單位自身進(jìn)行檢查和評(píng)估，而且需要信息安全監(jiān)管職能部門依法進(jìn)行監(jiān)督、檢查。 ?（二）同步建設(shè)原則 ? 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 等級(jí)保護(hù)實(shí)施過程中各類角色的職責(zé) ?（三）信息系統(tǒng)安全服務(wù)商 ? 信息系統(tǒng)安全服務(wù)商的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位的委托，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成等級(jí)保護(hù)的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級(jí)、進(jìn)行安全需求分析、進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工等。 （三）安全實(shí)施階段 ?安全實(shí)施階段通過安全方案詳細(xì)設(shè)計(jì)、安全產(chǎn)品的采購(gòu)、安全控制的開發(fā)、安全控制集成、機(jī)構(gòu)和人員的配置、安全管理制度的建設(shè)、人員的安全技能培訓(xùn)等環(huán)節(jié)，將安全規(guī)劃設(shè)計(jì)階段的安全方針和策略，具體落實(shí)到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。 四、安全等級(jí)保護(hù)與信息系統(tǒng)生命周期的關(guān)系 ?信息系統(tǒng)生命周期包括五個(gè)階段，即啟動(dòng)準(zhǔn)備階段、設(shè)計(jì) /開發(fā)階段、實(shí)施 /實(shí)現(xiàn)階段、運(yùn)行維護(hù)階段和系統(tǒng)終止階段。信息系統(tǒng)安全等級(jí)的確定是否準(zhǔn)確直接關(guān)系到是否對(duì)信息系統(tǒng)采取了足夠的安全保護(hù)措施，是否能夠?qū)⑿畔⑾到y(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度降到最低。業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點(diǎn)，是由計(jì)算機(jī)硬件、計(jì)算機(jī)網(wǎng)絡(luò)硬件以及安裝于這些硬件上的軟件、提供的服務(wù)以及相關(guān)人員構(gòu)成的一個(gè)有形實(shí)體，并且承載確定的業(yè)務(wù)。根據(jù)社會(huì)影響高低，典型的信息系統(tǒng)所屬類型、賦值及其社會(huì)影響如下表所示。 業(yè)務(wù)信息類型舉例 賦值 業(yè)務(wù)信息的安全影響 可以對(duì)外公開發(fā)布的信息，或不對(duì)外發(fā)布的單位內(nèi)部一般信息。 1 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)局部范圍的資產(chǎn)造成損害。 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動(dòng)化程度中。 決定等級(jí)的主要因素分析 已在不同分級(jí)方法中出現(xiàn)的作為劃分信息系統(tǒng)安全等級(jí)的因素主要包括： ? 業(yè)務(wù)系統(tǒng)在國(guó)家事務(wù)中的重要性 （實(shí)施意見）； ? 資產(chǎn) （包括有形資產(chǎn)和無形資產(chǎn)）（ FIPS199，IATF， DITSCAP， NIST80037）； ? 威脅 （ IATF）； ? 信息被破壞后對(duì)國(guó)家、社會(huì)公共利益和單位或個(gè)人的 影響 （ FIPS199，通用要求，實(shí)施指南）； ? 業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度 （ DITSCAP） 決定等級(jí)的主要因素分析 劃分等級(jí)時(shí)應(yīng)考慮以下因素： ? 系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。 信息系統(tǒng)劃分 信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 確定業(yè)務(wù)服務(wù)保證性 業(yè)務(wù)服務(wù)保證性等級(jí)矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 業(yè)務(wù)服務(wù)保證性的調(diào)節(jié) 調(diào)節(jié)因子 k 的取值范圍為大于 0小于 1的數(shù)值。 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 網(wǎng)站信息屬公開信息，其業(yè)務(wù)信息類型賦值為 1； 省政府為黨政機(jī)關(guān)，其信息系統(tǒng)類型賦值為 3； 查表知 ZFWZ系統(tǒng)的業(yè)務(wù)信息安全性等級(jí)為 2級(jí)，如下表所示： 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 業(yè)務(wù)信息安全性等級(jí)矩陣 業(yè)務(wù)信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 例 1系統(tǒng)定級(jí) 系統(tǒng)等級(jí)分析 ZFWZ系統(tǒng)為省內(nèi)企業(yè)和市民服務(wù)，其系統(tǒng)服務(wù)范圍賦值為 2； ZFWZ系統(tǒng)對(duì)實(shí)時(shí)性要求不高，沒有必須通過網(wǎng)絡(luò)才能夠執(zhí)行的辦事流程。 安全保護(hù)能力等級(jí)劃分 ?4級(jí)安全保護(hù)能力：應(yīng)具有能夠?qū)箒碜詳硨?duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣（多地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復(fù)所有功能。 不同安全等級(jí)的信息系統(tǒng)可以選擇的保護(hù)要求組合 安全等級(jí) 信息系統(tǒng)保護(hù)要求的組合 第一級(jí) S1A1G1 第二級(jí) S1A2G2， S2A2G2， S2A1G2 第三級(jí) S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四級(jí) S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4，S4A1G4 基本要求進(jìn)行選擇的過程 ? 首先，基本要求的選擇由信息系統(tǒng)的安全等級(jí)確定，基本要求包括技術(shù)要求和管理要求。 23:10:5123:10:5123:103/8/2023 11:10:51 PM ? 1以我獨(dú)沈久，愧君相見頻。 下午 11時(shí) 10分 51秒 下午 11時(shí) 10分 23:10: ? 沒有失敗，只有暫時(shí)停止成功！。 2023年 3月 下午 11時(shí) 10分 :10March 8, 2023 ? 1少年十五二十