【正文】 說的人為確定并是由哪一個隨意確定的，而是由有關主管部門組織業(yè)內有關專家，根據信息安全等級保護的需要，參考國際和國外的相關標準，結合我國安全技術發(fā)展和信息系統(tǒng)安全等級劃分的具體情況，認真研究確定的。為了貫徹重點保護和適度保護的原則，信息系統(tǒng)需要劃分等級，信息安全技術和信息安全管理同樣需要劃分等級。一方面“信息安全”是一個具有較廣泛概念的稱謂，是包括從中央到地方、從法律到法規(guī)、從管理到技術、從系統(tǒng)到產品等，涉及國家有關機構和部門圍繞對信息的安全保護所進行的所有活動；另一方面“，信息安全”的所有活動則完全是圍繞對信息系統(tǒng)和信息系統(tǒng)中所存儲、傳輸和處理的數據信息進行安全保護應采取的安全技術和安全管理措施這一目標開展的，并且具體落實到各個單位和部門的所有信息系統(tǒng)的建設和運行控制的全過程?？v觀人類社會活動的各個環(huán)節(jié)，無不存在著按等級管理的情況。安全系統(tǒng)等級與安全技術等級和安全管理等級既相互關聯(lián)又各有其不同的含義；6)3SSL其次在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區(qū)域間的相互關聯(lián)關系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用，最后才能得出測評結論。示。測評準備工作是否充分直接關系到現(xiàn)場測評工作能否順利開展。三、 測試（test）測評人員通過對測評對象按照預定的方法/工具使其產生特定的行為等活動，查看、分析輸出結果，獲取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。某些安全控制可能在多個具體測評對象上實現(xiàn)（如主機系統(tǒng)的身份鑒別），在測評時發(fā)現(xiàn)只有部分測評對象上的安全控制滿足要求，它們的結果判定應根據實際情況給出。測評對象是測評實施過程中涉及到的信息系統(tǒng)的構成成分，是客觀存在的人員、文檔、機制或者設備等。等級測評工作單元工作單元是安全測評的基本工作單位，對應一組相對獨立和完整的測評內容。區(qū)域間物理安全網絡安全主機安全管理機構安全管理制度不同信息系統(tǒng)之間整體安全性安全技術測評包括：物理安全、網絡安全、主機系統(tǒng)安全、應用安全和數據安全等五個層面上的安全控制測評；安全管理測評包括：安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評。數據庫管理系統(tǒng)安全技術要求》《信息安全技術等級測試1l影響社會成員使用公共設施；n社會秩序n國家安全n定級要素分析通過針對定級對象分別進行業(yè)務信息安全分析和系統(tǒng)服務安全分析，最終確定信息系統(tǒng)安全等級保護系統(tǒng)等級。三、 承載單一或相對獨立的業(yè)務應用定級對象承載“單一”的業(yè)務應用是指該業(yè)務應用的業(yè)務流程獨立，且與其他業(yè)務應用沒有數據交換，且獨享所有信息處理設備。調查方法信息系統(tǒng)調查的實施包括信息收集、訪談和核查三個步驟。系統(tǒng)資產調查表用于調查信息系統(tǒng)的基本情況，主要包括主機、網絡設備、人員、人員、服務等信息。11…… 運行環(huán)境分析 網絡拓撲調查信息安全等級保護操作流程1涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。 管理機構分析 確定等級 協(xié)助定級備案圖l這樣，可以保證信息系統(tǒng)安全建設能夠突出重點、兼顧一般。應避免將某個單一的系統(tǒng)組件，如服務器、終端、網絡設備等作為定級對象。ll公共利益n確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權益的關系，從而確定信息和信息系統(tǒng)受到破壞時所侵害的客體。一般損害工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害。確定定級對象的安全保護等級在確定完成受侵害客體以及對客體的侵害程度后，依據表2操作系統(tǒng)安全技術要求》《信息安全技術工作單元分為安全技術測評和安全管理測評兩大類。層面間等級測評基本內容測評方式是指測評人員依據測評目的和測評內容應選取的、實施特定測評操作的方式方法，包括三種基本測評方式：訪談、檢查和測試。一般來說，單項測評實施過程的結論判定不是直接的，常常需要測評人員的主觀判斷，通常認為取得正確的、關鍵性證據，該單項測評實施過程就得到滿足?？梢允褂酶鞣N檢查表和相應的安全調查工具實施檢查。等級測評工作流程一、 測評準備階段本階段是開展現(xiàn)場測評工作的前提和基礎，是整個等級測評過程有效性的保證。3首先測評人員應根據特定信息系統(tǒng)的具體情況，結合標準要求，確定系統(tǒng)整體測評的具體內容。加密設置，容易導致數據被嗅探和非法篡改，但核心系統(tǒng)采用例如，某金融機構，它的網絡核心設備對內部的訪問控制存在不足，安全風險主要來自內部人員的誤用、濫用和惡用，但是它的教育、管理和考核制度都比較完善，對內部員工要求也比較嚴格，所以在一定程度上降低了這種來自內部的風險，對網絡訪問控制進行了相應的補充和增強。小時專人值守等措施，可以解決核心數據機房區(qū)域上的物理訪問控制等相應措施的安全功能，使其達到該區(qū)域物理安全所要求的安全保護強度。風險等級、需求等級、安全保護等級、安全技術等級和安全管理等級是信息系統(tǒng)安全等級保護對等級劃分的全面反映；5)其實，等級化管理是人類社會普遍采用的管理方法。這一基本認識表明：信息安全是指信息系統(tǒng)和信息系統(tǒng)中存儲、傳輸和處理的數據信息的安全。這一基本認識表明：安全技術等級和安全管理等級與系統(tǒng)安全等級有著十分密切的關系但兩者并不是等同的關系。至于劃分為幾個等級和每個安全等級之間的差異，完全是人為確定的。對信息安全等級保護的管理分為“宏觀管理”和“微觀管理”。實踐證明，在我國信息系統(tǒng)建設階段，單位領導的重視與支持對單位的信息系統(tǒng)建設和發(fā)展的重要性已經成為不爭的事實。在進行等級化的信息系統(tǒng)安全設計時，首先采用風險分析的方法確定安全風險程度（等級）和安全需求，然后將這些安全需求轉化為相應的安全要求，再根據這些安全要求，確定對應的安全技術和安全管理措施。C C各類數據信息的流動范圍就是該類數據信息實施安全保護的范圍?！鞍踩囊恢滦栽硎堑燃壔畔⑾到y(tǒng)安全設計的重要思想”，這一基本方法表明：設計一個安全的信息系統(tǒng)，需要采用具有相對一致安全性的安全措施，包括：各個安全技術要素之間的相對一致性，安全功能與安全保證的一致性，以及安全管理與安全技術的一致