【文章內(nèi)容簡(jiǎn)介】 查和分析進(jìn)行信息系統(tǒng)劃分，確定包括相對(duì)獨(dú)立的信息系統(tǒng)的個(gè)數(shù)，選擇合適的信息系統(tǒng)安全等級(jí)定級(jí)方法，科學(xué)、準(zhǔn)確地確定每個(gè)信息系統(tǒng)的安全等級(jí)。 ?通常情況下，系統(tǒng)定級(jí)階段包括系統(tǒng)識(shí)別和描述、信息系統(tǒng)劃分和安全等級(jí)確定等幾個(gè)主要活動(dòng)。 （二）安全規(guī)劃設(shè)計(jì)階段 ?安全規(guī)劃設(shè)計(jì)階段通過安全需求分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與國家等級(jí)保護(hù)基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程的實(shí)施。 ?通常情況下，安全規(guī)劃設(shè)計(jì)階段包括安全需求分析、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃等幾個(gè)主要活動(dòng)。 （三）安全實(shí)施階段 ?安全實(shí)施階段通過安全方案詳細(xì)設(shè)計(jì)、安全產(chǎn)品的采購、安全控制的開發(fā)、安全控制集成、機(jī)構(gòu)和人員的配置、安全管理制度的建設(shè)、人員的安全技能培訓(xùn)等環(huán)節(jié)，將安全規(guī)劃設(shè)計(jì)階段的安全方針和策略，具體落實(shí)到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。 ?通常情況下，安全實(shí)施階段包括安全方案詳細(xì)設(shè)計(jì)、等級(jí)保護(hù)安全測(cè)評(píng)、等級(jí)保護(hù)技術(shù)實(shí)施和等級(jí)保護(hù)管理實(shí)施等幾個(gè)主要活動(dòng)。安全管理體系的建設(shè)應(yīng)該貫穿信息系統(tǒng)的整個(gè)生命周期，涉及等級(jí)保護(hù)實(shí)施過程的各個(gè)階段。 （四）安全運(yùn)行維護(hù)階段 ?安全運(yùn)行維護(hù)階段將介紹運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應(yīng)急預(yù)案等過程；通過運(yùn)行管理和控制、變更管理和控制、對(duì)安全狀態(tài)進(jìn)行監(jiān)控、對(duì)發(fā)生的安全事件及時(shí)響應(yīng)，確保信息系統(tǒng)正常運(yùn)行；通過安全檢查和持續(xù)改進(jìn)不斷跟蹤信息系統(tǒng)的變化，并依據(jù)變化進(jìn)行調(diào)整，確保信息系統(tǒng)滿足相應(yīng)等級(jí)的安全要求，處于良好安全狀態(tài)。安全運(yùn)行維護(hù)階段需要進(jìn)行的安全控制活動(dòng)很多，如運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應(yīng)急預(yù)案等。 （五）系統(tǒng)終止階段 ?系統(tǒng)終止階段是對(duì)信息系統(tǒng)的過時(shí)或無用部分進(jìn)行報(bào)廢處理的過程，主要涉及對(duì)信息、設(shè)備、存儲(chǔ)介質(zhì)或整個(gè)信息系統(tǒng)的廢棄處理。系統(tǒng)終止階段的主要活動(dòng)可能包括對(duì)信息的轉(zhuǎn)移、暫存或清除，對(duì)設(shè)備的遷移或廢棄，對(duì)存儲(chǔ)介質(zhì)的清除或銷毀。系統(tǒng)終止階段遷移或廢棄系統(tǒng)組件時(shí)，核心關(guān)注點(diǎn)是防止敏感信息泄漏。 四、安全等級(jí)保護(hù)與信息系統(tǒng)生命周期的關(guān)系 ?信息系統(tǒng)生命周期包括五個(gè)階段，即啟動(dòng)準(zhǔn)備階段、設(shè)計(jì) /開發(fā)階段、實(shí)施 /實(shí)現(xiàn)階段、運(yùn)行維護(hù)階段和系統(tǒng)終止階段。 ?安全等級(jí)保護(hù)實(shí)施活動(dòng)與信息系統(tǒng)生命周期中的其他活動(dòng)有著不可分割的關(guān)系；同時(shí)，安全等級(jí)保護(hù)實(shí)施活動(dòng)又有自己的特點(diǎn)，安全等級(jí)保護(hù)工作將貫穿信息系統(tǒng)生命周期的各個(gè)階段。 安全等級(jí)保護(hù)實(shí)施的過程與信息系統(tǒng)生命周期的關(guān)系 安全等級(jí)保護(hù)實(shí)施的過程與信息系統(tǒng)生命周期的關(guān)系 ?安全等級(jí)保護(hù)的實(shí)施分為： ? 新建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ? 已建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ?兩者在信息系統(tǒng)生命周期中的切入點(diǎn)是不同的。 新建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ? 新建信息系統(tǒng)在生命周期中的各個(gè)階段應(yīng)同步考慮安全等級(jí)保護(hù)實(shí)施的主要活動(dòng)。 ? 在啟動(dòng)準(zhǔn)備階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)信息系統(tǒng)，確定各個(gè)信息系統(tǒng)的安全等級(jí)，定級(jí)過程也可能在設(shè)計(jì) /開發(fā)階段實(shí)施； ? 在設(shè)計(jì) /開發(fā)階段，應(yīng)該根據(jù)各個(gè)信息系統(tǒng)的安全等級(jí)，進(jìn)行安全需求分析，合理規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、安全保護(hù)措施等，確保各個(gè)信息系統(tǒng)按照國家等級(jí)保護(hù)的要求進(jìn)行規(guī)劃設(shè)計(jì)； ? 在實(shí)施 /實(shí)現(xiàn)階段，應(yīng)在系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的落實(shí)和實(shí)現(xiàn)； ? 在運(yùn)行維護(hù)階段，應(yīng)按照國家等級(jí)保護(hù)的要求進(jìn)行安全維護(hù)和安全管理； ? 在系統(tǒng)終止階段，應(yīng)對(duì)系統(tǒng)的廢棄過程進(jìn)行有效安全管理。 已建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ?已建信息系統(tǒng)通常處于系統(tǒng)運(yùn)行維護(hù)階段，但由于在啟動(dòng)準(zhǔn)備階段、設(shè)計(jì) /開發(fā)階段和實(shí)施 /實(shí)現(xiàn)階段可能沒有同步考慮國家等級(jí)保護(hù)的要求，因此，應(yīng)在信息系統(tǒng)運(yùn)行維護(hù)階段開始啟動(dòng)等級(jí)保護(hù)工作，等級(jí)保護(hù)實(shí)施過程中的系統(tǒng)定級(jí)階段、安全規(guī)劃設(shè)計(jì)階段、安全實(shí)施階段的主要活動(dòng)都將在信息系統(tǒng)生命周期的系統(tǒng)運(yùn)行維護(hù)階段完成。 ?由于是已經(jīng)存在的信息系統(tǒng)，工作的重點(diǎn)應(yīng)放在系統(tǒng)定級(jí)階段如何劃分信息系統(tǒng)并確定安全等級(jí)、在安全規(guī)劃設(shè)計(jì)階段如何規(guī)劃設(shè)計(jì)出符合國家等級(jí)保護(hù)要求的安全改造方案、在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)應(yīng)用的情況下使各類安全措施可以順利落實(shí)等方面。 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?二、決定信息系統(tǒng)安全保護(hù)等級(jí)的因素 ?三、確定信息系統(tǒng)安全保護(hù)等級(jí)的步驟 ?四、信息系統(tǒng)安全保護(hù)等級(jí)的確定方法 ?五、定級(jí)案例分析 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?系統(tǒng)定級(jí)是實(shí)施等級(jí)保護(hù)的前提和基礎(chǔ)。信息系統(tǒng)安全等級(jí)的確定是否準(zhǔn)確直接關(guān)系到是否對(duì)信息系統(tǒng)采取了足夠的安全保護(hù)措施，是否能夠?qū)⑿畔⑾到y(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度降到最低。 ?《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 中闡述了如何對(duì)信息系統(tǒng)的安全級(jí)別進(jìn)行定級(jí)，提出了量化流程和方法，各行業(yè)信息系統(tǒng)的主管部門可以根據(jù)該指南制定適合本行業(yè)或部門的具體定級(jí)方法和指導(dǎo)意見。 一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?信息系統(tǒng)是基于計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索和服務(wù)的人機(jī)系統(tǒng)。 ?業(yè)務(wù)子系統(tǒng)由信息系統(tǒng)的一部分組件構(gòu)成，是信息系統(tǒng)中能夠承載某項(xiàng)業(yè)務(wù)工作的子系統(tǒng)。 ?按照信息系統(tǒng)的定義，典型的信息系統(tǒng)應(yīng)由計(jì)算機(jī)硬件設(shè)備（包括服務(wù)器設(shè)備、客戶端設(shè)備、打印機(jī)及存儲(chǔ)器等外圍設(shè)備）、計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備（包括交換機(jī)、路由器、各種適配器以及通信線路等）、安裝于這些硬件設(shè)備上的軟件、所提供的服務(wù)以及相關(guān)的人員構(gòu)成。信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 ?業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對(duì)信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)。業(yè)務(wù)子系統(tǒng)是信息系統(tǒng)中可以為定級(jí)要素賦值的最小單元。業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點(diǎn)，是由計(jì)算機(jī)硬件、計(jì)算機(jī)網(wǎng)絡(luò)硬件以及安裝于這些硬件上的軟件、提供的服務(wù)以及相關(guān)人員構(gòu)成的一個(gè)有形實(shí)體，并且承載確定的業(yè)務(wù)。 ?如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定安全等級(jí)，不必劃分業(yè)務(wù)子系統(tǒng)。如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)。信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。信息系統(tǒng)是進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。 二、決定信息系統(tǒng)安全保護(hù)等級(jí)的因素 ?信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度決定。從另一個(gè)角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對(duì)國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。 決定信息系統(tǒng)重要性的要素 ? （一）信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)所屬類型在較大程度上決定了信息系統(tǒng)受到破壞后對(duì)其社會(huì)價(jià)值的影響程度。根據(jù)社會(huì)影響高低，典型的信息系統(tǒng)所屬類型、賦值及其社會(huì)影響如下表所示。 信息系統(tǒng)所屬類型舉例 賦值 信息系統(tǒng)的社會(huì)影響 屬于一般企事業(yè)單位處理其內(nèi)部事務(wù)的信息系統(tǒng)。 1 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對(duì)本單位利益有直接影響。 屬于重要行業(yè)、重要領(lǐng)域和國家基礎(chǔ)設(shè)施為國計(jì)民生、經(jīng)濟(jì)建設(shè)等提供重要服務(wù)的信息系統(tǒng)，或本身雖屬于一般企事業(yè)單位，但為黨政或重要信息系統(tǒng)提供支撐服務(wù)的信息系統(tǒng)。 2 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對(duì)公共利益有直接影響，或?qū)野踩嬗虚g接影響。 屬于黨政機(jī)關(guān)處理國家事務(wù)的信息系統(tǒng)。 3 信息系統(tǒng)資產(chǎn)受到破壞會(huì)對(duì)國家安全利益有直接影響。 決定信息系統(tǒng)重要性的要素 ? （二）信息系統(tǒng)主要處理的業(yè)務(wù)信息類型 ? 根據(jù)信息系統(tǒng)中業(yè)務(wù)信息保密性、完整性或可用性被破壞后，對(duì)國家安全利益、經(jīng)濟(jì)建設(shè)、公共利益或單位利益的影響程度，典型的業(yè)務(wù)信息類型、賦值及其安全影響如下表所示。 業(yè)務(wù)信息類型舉例 賦值 業(yè)務(wù)信息的安全影響 可以對(duì)外公開發(fā)布的信息，或不對(duì)外發(fā)布的單位內(nèi)部一般信息。 1 業(yè)務(wù)信息保密性、完整性或可用性被破壞會(huì)對(duì)公共利益或本單位經(jīng)濟(jì)利益造成一定損害。 法人和其他組織及公民的專有信息，如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報(bào)、商業(yè)秘密等。 2 業(yè)務(wù)信息保密性、完整性或可用性被破壞會(huì)對(duì)公共利益或本單位經(jīng)濟(jì)利益造成嚴(yán)重?fù)p害。 涉及國家安全利益，影響國家經(jīng)濟(jì)建設(shè)的信息。 3 業(yè)務(wù)信息保密性、完整性或可用性被破壞會(huì)對(duì)國家安全利益和國家經(jīng)濟(jì)建設(shè)造成損害。 決定信息系統(tǒng)重要性的要素 ?（三）信息系統(tǒng)服務(wù)范圍，包括服務(wù)對(duì)象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ?根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)造成的社會(huì)影響范圍大小，典型的信息系統(tǒng)服務(wù)范圍、賦值和相關(guān)影響如下表所示。 信息系統(tǒng)服務(wù)范圍舉例 賦值 服務(wù)范圍的影響 地區(qū)范圍的服務(wù)網(wǎng)絡(luò)。 1 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)局部范圍的資產(chǎn)造成損害。 省級(jí)范圍的服務(wù)網(wǎng)絡(luò)。 2 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)較大范圍的資產(chǎn)造成損害。 全國范圍的服務(wù)網(wǎng)絡(luò)。 3 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會(huì)對(duì)全國范圍的資產(chǎn)造成損害。 決定信息系統(tǒng)重要性的要素 ? （四）業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度 ? 根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命的最大影響程度，典型的業(yè)務(wù)依賴程度、賦值及相關(guān)影響如下表所示。 業(yè)務(wù)依賴程度舉例 賦值 業(yè)務(wù)系統(tǒng)影響 業(yè)務(wù)處理流程的大部分可以通過手工方式或其他方式替代完成，自動(dòng)化程度低。 1 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較小。 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動(dòng)化程度中。 2 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較大。 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成，自動(dòng)化程度高。 3 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)使單位無法完成其業(yè)務(wù)使命。 等級(jí)確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護(hù)等級(jí)既不是信息系統(tǒng)安全保障等級(jí)，也不是信息系統(tǒng)所能達(dá)到的技術(shù)能力等級(jí)，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對(duì)國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的