【正文】 體（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 。 2023年 3月 8日星期三 11時(shí) 10分 51秒 23:10:518 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 :10:5123:10Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。對業(yè)務(wù)信息安全性等級高于業(yè)務(wù)服務(wù)保證性等級的系統(tǒng)，業(yè)務(wù)服務(wù)保證類（ A類）技術(shù)要求可以根據(jù)業(yè)務(wù)服務(wù)保證性等級選擇相應(yīng)等級的業(yè)務(wù)服務(wù)保證類（ A類）技術(shù)要求；對業(yè)務(wù)服務(wù)保證性等級高于業(yè)務(wù)信息安全性等級的系統(tǒng)，業(yè)務(wù)信息安全類（ S類）技術(shù)要求可以根據(jù)業(yè)務(wù)信息安全性等級選擇相應(yīng)等級的業(yè)務(wù)信息安全類（ S類）技術(shù)要求。系統(tǒng)實(shí)時(shí)性要求極高，達(dá)到秒級。 等級確定方法 具體步驟： ? 通過對信息系統(tǒng)類型和業(yè)務(wù)信息類型賦值，確定信息系統(tǒng)的業(yè)務(wù)信息安全性等級； ? 通過對信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)依賴程度賦值，確定信息系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級； ? 通過業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級確定信息系統(tǒng)安全保護(hù)等級。 3 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)使單位無法完成其業(yè)務(wù)使命。 2 業(yè)務(wù)信息保密性、完整性或可用性被破壞會對公共利益或本單位經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害。信息系統(tǒng)的安全保護(hù)等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。 新建信息系統(tǒng)安全等級保護(hù)的實(shí)施 ? 新建信息系統(tǒng)在生命周期中的各個(gè)階段應(yīng)同步考慮安全等級保護(hù)實(shí)施的主要活動。 等級保護(hù)實(shí)施過程中各類角色的職責(zé) ?（六）安全產(chǎn)品供應(yīng)商 ? 安全產(chǎn)品供應(yīng)商的主要責(zé)任是按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，開發(fā)符合等級保護(hù)要求的信息安全產(chǎn)品；提交信息安全產(chǎn)品進(jìn)行安全等級測評并按照等級保護(hù)要求銷售信息安全產(chǎn)品。 （十） 《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 ?《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 將測評分為安全控制測評和系統(tǒng)整體測評兩方面。管理層面貫穿其他五個(gè)層面，是其他五個(gè)層面實(shí)施安全等級保護(hù)的保證。 （三） GA/T 388 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全等級進(jìn)行劃分來說明其技術(shù)要求，即主要說明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級要求對操作系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實(shí)現(xiàn)的差異。 二、信息系統(tǒng)安全等級劃分 ?（三）第三級為監(jiān)督保護(hù)級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害。 “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南 ” 。 2023年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了 《 關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》 （ 66號文件） 2023年 1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了 《 信息安全等級保護(hù)管理辦法 》 （公通字 [2023]7號） 政府層面：國家制定統(tǒng)一信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息安全產(chǎn)品的使用分等級實(shí)行管理，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、指導(dǎo)。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行監(jiān)督、檢查。對計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 》 ?GA/T 391 — 2023主要內(nèi)容為： ? （ 1）簡單描述了信息系統(tǒng)安全管理的內(nèi)涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過程、安全管理組織、人員安全管理、安全管理制度等。安全控制測評，主要是測評信息系統(tǒng)安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施和配置情況；系統(tǒng)整體測評，主要對信息系統(tǒng)的整體安全性進(jìn)行測評。 三、實(shí)施過程 ?對信息系統(tǒng)實(shí)施等級保護(hù)的過程劃分為五個(gè)階段 （一）系統(tǒng)定級階段 ?系統(tǒng)定級階段通過對信息系統(tǒng)的調(diào)查和分析進(jìn)行信息系統(tǒng)劃分，確定包括相對獨(dú)立的信息系統(tǒng)的個(gè)數(shù)，選擇合適的信息系統(tǒng)安全等級定級方法，科學(xué)、準(zhǔn)確地確定每個(gè)信息系統(tǒng)的安全等級。 ? 在啟動準(zhǔn)備階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)信息系統(tǒng)，確定各個(gè)信息系統(tǒng)的安全等級，定級過程也可能在設(shè)計(jì) /開發(fā)階段實(shí)施； ? 在設(shè)計(jì) /開發(fā)階段，應(yīng)該根據(jù)各個(gè)信息系統(tǒng)的安全等級，進(jìn)行安全需求分析，合理規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、安全保護(hù)措施等，確保各個(gè)信息系統(tǒng)按照國家等級保護(hù)的要求進(jìn)行規(guī)劃設(shè)計(jì)； ? 在實(shí)施 /實(shí)現(xiàn)階段，應(yīng)在系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的落實(shí)和實(shí)現(xiàn)； ? 在運(yùn)行維護(hù)階段，應(yīng)按照國家等級保護(hù)的要求進(jìn)行安全維護(hù)和安全管理； ? 在系統(tǒng)終止階段，應(yīng)對系統(tǒng)的廢棄過程進(jìn)行有效安全管理。信息系統(tǒng)是進(jìn)行等級確定和等級保護(hù)管理的最終對象。 涉及國家安全利益，影響國家經(jīng)濟(jì)建設(shè)的信息。 等級確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護(hù)等級既不是信息系統(tǒng)安全保障等級，也不是信息系統(tǒng)所能達(dá)到的技術(shù)能力等級，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級。 ? 等級調(diào)整 確定信息系統(tǒng)安全保護(hù)等級的步驟 ?為確定信息系統(tǒng)的安全保護(hù)等級，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在上述四個(gè)定級要素方面的賦值，然后分別由四個(gè)定級要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個(gè)定級指標(biāo)的等級，再根據(jù)業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級確定信息系統(tǒng)的安全保護(hù)等級。 例 2系統(tǒng)定級 系統(tǒng)等級分析 DDZDH系統(tǒng)信息屬企業(yè)專有信息，這些信息被破壞會對公眾利益造成嚴(yán)重影響，其業(yè)務(wù)信息類型賦值為 2； 電力行業(yè)為國家重要基礎(chǔ)領(lǐng)域，DDZDH系統(tǒng)為其中的重要信息系統(tǒng)，其信息系統(tǒng)類型賦值應(yīng)為 2； 查表知 DDZDH系統(tǒng)的業(yè)務(wù)信息安全性等級為 3級，如下表所示： 例 2系統(tǒng)定級 系統(tǒng)等級分析 業(yè)務(wù)信息安全性等級矩陣 業(yè)務(wù)信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 例 2系統(tǒng)定級 系統(tǒng)等級分析 DDZDH系統(tǒng)為省內(nèi)企業(yè)和市民提供電力支持，其系統(tǒng)服務(wù)范圍賦值為 2； DDZDH系統(tǒng)對實(shí)時(shí)性要求高，且無法采用手工作業(yè)替代，其業(yè)務(wù)自動化處理程度應(yīng)為 3； 查表知 DDZDH系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為4，如下表所示： 例 2系統(tǒng)定級 系統(tǒng)等級分析 業(yè)務(wù)服務(wù)保證性等級矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度 1 1 2 1 1 2 3 2 2 3 4 3 3 4 4 例 2系統(tǒng)定級 系統(tǒng)等級分析 考慮到電力系統(tǒng)關(guān)系國防和國民經(jīng)濟(jì)命脈，是國家重要基礎(chǔ)設(shè)施， DDZDH系統(tǒng)調(diào)節(jié)因子可選為 1，查表 12知，調(diào)節(jié)后 DDZDH系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為 4級； DDZDH系統(tǒng)的安全保護(hù)等級為 4級。 ? 最后，由于各種原因?qū)疽箜?xiàng)有調(diào)整需求的，應(yīng)針對需要調(diào)整的基本要求項(xiàng)逐項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析，在保證不降低整體安全保護(hù)強(qiáng)度的前提下，對基本要求項(xiàng)進(jìn)行調(diào)整，并形成書面的調(diào)整理由進(jìn)行說明。 23:10:5123:10:5123:10Wednesday, March 8, 2023 ? 1不知香積寺，數(shù)里入云峰。 下午 11時(shí) 10分 51秒 下午 11時(shí) 10分 23:10: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 2023年 3月 8日星期三 下午 11時(shí) 10分 51秒 23:10: ? 1楚塞三湘接，荊門九派通。 LOGO LOGO ? 靜夜四無鄰，荒居舊業(yè)貧。 安全保護(hù)能力等級劃分 ?2級安全保護(hù)能力：應(yīng)具有能夠?qū)箒碜孕⌒徒M織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍?。ň植啃裕┑龋┮约捌渌喈?dāng)危害程度（無意失誤、設(shè)備故障等）威脅的能力，并在威脅發(fā)生后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。 3 屬于黨政機(jī)關(guān)，處理國家事務(wù)的信息系統(tǒng) 業(yè)務(wù)信息類型賦值 表 2：業(yè)務(wù)信息類型賦值表 業(yè)務(wù)信息類型賦值 業(yè)務(wù)信息的影響 1 業(yè)務(wù)信息被破壞或泄漏會對公共利益或單位經(jīng)濟(jì)利益造成一定損害 2 業(yè)務(wù)信息被破壞或泄漏會對公共利益或單位經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害 3 業(yè)務(wù)信息被破壞或泄漏會對國家安全利益和國家經(jīng)濟(jì)建設(shè)造成損害 業(yè)務(wù)信息類型舉例 典型的業(yè)務(wù)信息類型 業(yè)務(wù)信息類型賦值 業(yè)務(wù)信息類型 1 可以對外公開發(fā)布的數(shù)據(jù)信息，或單位內(nèi)不對外發(fā)布的一般信息 2 法人和其他組織及公民的專有信息 3 涉及國家安全利益，影響國家經(jīng)濟(jì)建設(shè)的信息 確定業(yè)務(wù)信息安全性 業(yè)務(wù)信息安全性等級矩陣 業(yè)務(wù)信息類型 信息系統(tǒng)類型 1 2 3 1 1 2 2 2 2 3 3 3 4 4 信息系統(tǒng)服務(wù)范圍賦值 表 3：信息系統(tǒng)服務(wù)范圍賦值表 信息系統(tǒng)服務(wù)范圍賦值 服務(wù)范圍的影響 1 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對局部范圍的資產(chǎn) 有影響 2 信息