【正文】 要依據(jù)電子政務(wù)系統(tǒng)的政務(wù)應(yīng)用功能、資產(chǎn)價(jià)值、資產(chǎn)所面臨的風(fēng)險(xiǎn)，劃分原則如下：a） 系統(tǒng)功能和應(yīng)用相似性原則安全區(qū)域的劃分要以服務(wù)電子政務(wù)應(yīng)用為基本原則，根據(jù)政務(wù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。b） 資產(chǎn)價(jià)值相似性原則同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相近的資產(chǎn)價(jià)值，重要電子政務(wù)應(yīng)用與一般的電子政務(wù)應(yīng)用分成不同區(qū)域。c） 安全要求相似性原則在信息安全的三個(gè)基本屬性方面，同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的機(jī)密性要求、完整性要求和可用性要求。d） 威脅相似性原則同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險(xiǎn)環(huán)境中，面臨相似的威脅。 保護(hù)對(duì)象分類(lèi)保護(hù)對(duì)象是信息系統(tǒng)內(nèi)具有相似安全保護(hù)需求的一組信息資產(chǎn)的組合，是從安全角度對(duì)信息系統(tǒng)的描述。依據(jù)電子政務(wù)系統(tǒng)的功能特性、安全價(jià)值以及面臨威脅的相似性，電子政務(wù)保護(hù)對(duì)象可分為計(jì)算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施三類(lèi)。a) 計(jì)算區(qū)域計(jì)算區(qū)域是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅的一組信息系統(tǒng)組成。計(jì)算區(qū)域的信息資產(chǎn)包括：主機(jī)資產(chǎn)、平臺(tái)資產(chǎn)、應(yīng)用軟件資產(chǎn)和政務(wù)數(shù)據(jù)資產(chǎn)等。涉及區(qū)域內(nèi)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用軟件層、數(shù)據(jù)層和業(yè)務(wù)流程層面。包含的安全屬性包括所屬信息資產(chǎn)的物理安全、網(wǎng)絡(luò)安全、邊界安全、系統(tǒng)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全和業(yè)務(wù)流程安全等。20 / 45計(jì)算區(qū)域可以從安全域劃分的結(jié)果得到。b) 區(qū)域邊界區(qū)域邊界是指兩個(gè)區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是虛擬對(duì)象，不與具體資產(chǎn)對(duì)應(yīng)，邊界是一組功能集合，包括邊界訪問(wèn)控制，邊界入侵檢測(cè)和審計(jì)等。設(shè)計(jì)系統(tǒng)分域保護(hù)框架時(shí)區(qū)域邊界可以作為計(jì)算區(qū)域的一個(gè)屬性進(jìn)行處理。通過(guò)對(duì)各安全區(qū)域之間的連接狀況分析，可以得到某個(gè)安全區(qū)域與其它區(qū)域之間的邊界。c) 網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)基礎(chǔ)設(shè)施是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅來(lái)源的一組網(wǎng)絡(luò)系統(tǒng)組成，包括由路由器、交換機(jī)和防火墻等構(gòu)成的局域網(wǎng)或廣域網(wǎng)，一般指區(qū)域邊界之間的連接網(wǎng)絡(luò)。某一個(gè)安全區(qū)域或多個(gè)安全區(qū)域網(wǎng)絡(luò)支撐平臺(tái)構(gòu)成了該區(qū)域的網(wǎng)絡(luò)基礎(chǔ)實(shí)施。電子政務(wù)保護(hù)對(duì)象及所包括信息資產(chǎn)如圖 42 所示：圖 42 電子政務(wù)的保護(hù)對(duì)象及信息資產(chǎn)各類(lèi)信息資產(chǎn)描述如下：a） 物理環(huán)境是指支撐電子政務(wù)系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)備，包括機(jī)房、門(mén)禁、監(jiān)控、電源、空調(diào)等。b） 人員資產(chǎn)指與電子政務(wù)系統(tǒng)直接相關(guān)的人員，包括各級(jí)安全組織、安全人員、各級(jí)管理人員、網(wǎng)管員、系統(tǒng)管理員、業(yè)務(wù)操作人員和第三方人員等。21 / 45c） 網(wǎng)絡(luò)資產(chǎn)是指電子政務(wù)系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)備，軟件和通信介質(zhì)。網(wǎng)絡(luò)資產(chǎn)包括路由器、交換機(jī)、防火墻、網(wǎng)管、網(wǎng)絡(luò)設(shè)備控制臺(tái)等。d） 主機(jī)資產(chǎn)是指電子政務(wù)系統(tǒng)中承載業(yè)務(wù)系統(tǒng)和軟件的計(jì)算機(jī)系統(tǒng)、外圍系統(tǒng)（不含網(wǎng)絡(luò)設(shè)備）及其操作系統(tǒng)。這里的主機(jī)資產(chǎn)包括大型機(jī)、中型機(jī)、小型機(jī)、磁盤(pán)陣列、Unix服務(wù)器、Windows 服務(wù)器、工作站和終端等。e） 平臺(tái)資產(chǎn)主要是指電子政務(wù)系統(tǒng)的軟件平臺(tái)系統(tǒng)，包括數(shù)據(jù)庫(kù)、中間件、群件、郵件、Web 服務(wù)器、集成開(kāi)發(fā)環(huán)境和工具軟件等。f） 應(yīng)用軟件資產(chǎn)是指為政務(wù)業(yè)務(wù)和管理應(yīng)用而開(kāi)發(fā)的各類(lèi)應(yīng)用軟件及其提供的服務(wù)。g） 數(shù)據(jù)資產(chǎn)是電子政務(wù)系統(tǒng)所存儲(chǔ)、傳輸、處理的數(shù)據(jù)對(duì)象，是電子政務(wù)系統(tǒng)的核心資產(chǎn)。 系統(tǒng)分域保護(hù)框架系統(tǒng)分域保護(hù)框架是從安全角度出發(fā)，通過(guò)對(duì)各保護(hù)對(duì)象進(jìn)行組合來(lái)對(duì)信息系統(tǒng)進(jìn)行結(jié)構(gòu)化處理的方法。結(jié)構(gòu)化是指通過(guò)特定的結(jié)構(gòu)將問(wèn)題拆分成子問(wèn)題的迭代過(guò)程，其目標(biāo)是更好地體現(xiàn)信息系統(tǒng)的安全特性和安全要求。進(jìn)行結(jié)構(gòu)化處理要遵循以下幾條基本原則：a） 充分覆蓋所有子問(wèn)題的總和必須覆蓋原問(wèn)題。如果不能充分覆蓋，那么解決問(wèn)題的方法就可能出現(xiàn)遺漏，嚴(yán)重影響方法的可行性。b） 互不重疊同一級(jí)別的所有子問(wèn)題都不允許出現(xiàn)重復(fù)，類(lèi)似以下的情況不應(yīng)出現(xiàn)在一個(gè)框架中：1) 兩個(gè)不同的子問(wèn)題其實(shí)是同一個(gè)子問(wèn)題的兩種表述；2) 某一個(gè)子問(wèn)題其實(shí)是同一級(jí)別的另外兩個(gè)子問(wèn)題或多個(gè)子問(wèn)題的合集。c） 不需再細(xì)分所有子問(wèn)題都必須細(xì)分到不需再細(xì)分，或不可再細(xì)分的程度。當(dāng)一個(gè)問(wèn)題經(jīng)過(guò)框架分析后，所有不可再細(xì)分的子問(wèn)題組合構(gòu)成了一個(gè)“框架” 。以安全域劃分和保護(hù)對(duì)象分類(lèi)為基礎(chǔ)，經(jīng)過(guò)結(jié)構(gòu)化的分解，可以將電子政務(wù)系統(tǒng)分解為不同類(lèi)別的保護(hù)對(duì)象，形成系統(tǒng)分域保護(hù)框架。圖 43 描述了某個(gè)電子政務(wù)系統(tǒng)的系統(tǒng)分域保護(hù)框架的示例，包括了系統(tǒng)所劃分出的計(jì)算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等各類(lèi)保護(hù)對(duì)象。22 / 45示例中的計(jì)算區(qū)域包括兩個(gè)層面，細(xì)分為 7 個(gè)計(jì)算區(qū)域。第一層區(qū)域包括政務(wù)專(zhuān)網(wǎng)區(qū)域和政務(wù)外網(wǎng)區(qū)域。政務(wù)專(zhuān)網(wǎng)區(qū)域又分為核心數(shù)據(jù)區(qū)、業(yè)務(wù)服務(wù)器區(qū)、辦公服務(wù)器區(qū)、網(wǎng)絡(luò)管理區(qū)和機(jī)關(guān)辦公區(qū)；政務(wù)外網(wǎng)區(qū)域分為 WEB 服務(wù)區(qū)和機(jī)關(guān)工作區(qū)。示例中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括政務(wù)專(zhuān)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、政務(wù)外網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。示例中的區(qū)域邊界包括：政務(wù)專(zhuān)網(wǎng)與其它政務(wù)專(zhuān)網(wǎng)系統(tǒng)的邊界、政務(wù)專(zhuān)網(wǎng)與政務(wù)外網(wǎng)的邊界、政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邊界，以及內(nèi)部各計(jì)算區(qū)域之間的邊界。圖 43 系統(tǒng)分域保護(hù)框架示意圖系統(tǒng)分域保護(hù)框架是設(shè)計(jì)解決方案的基礎(chǔ)。大型復(fù)雜系統(tǒng)的分域保護(hù)框架見(jiàn)附錄 B。 選擇和調(diào)整安全措施電子政務(wù)系統(tǒng)或子系統(tǒng)的安全等級(jí)確定后，需要以分域保護(hù)框架為基礎(chǔ)確定具體的安全保護(hù)措施（包括技術(shù)措施和管理措施） 。確定安全措施的過(guò)程如圖 44 所示：23 / 45圖 44 確定安全措施的過(guò)程確定安全措施首先是根據(jù)電子政務(wù)系統(tǒng)的安全等級(jí)選擇適用等級(jí)的基本安全要求，如電子政務(wù)系統(tǒng) A 的安全等級(jí)為 3 級(jí)，應(yīng)選擇 3 級(jí)基本安全要求。在確定了基本安全要求的基礎(chǔ)上，再針對(duì)每個(gè)系統(tǒng)特定安全要求、面臨風(fēng)險(xiǎn)的狀況，并考慮安全措施的成本進(jìn)行安全措施的選擇和調(diào)整，以得到針對(duì)特定系統(tǒng)的安全保護(hù)措施。對(duì)安全措施的調(diào)整基于以下原則：a） 根據(jù)電子政務(wù)系統(tǒng)特定安全要求進(jìn)行調(diào)整1) 如果電子政務(wù)系統(tǒng)的保密性等級(jí)、完整性等級(jí)、可用性等級(jí)之中的一項(xiàng)或兩項(xiàng)低于系統(tǒng)的安全等級(jí)，則可以降低該等級(jí)安全措施中對(duì)應(yīng)的控制項(xiàng)的等級(jí)；2) 如果電子政務(wù)系統(tǒng)的某些特定安全要求在基本安全要求中沒(méi)有相應(yīng)的控制項(xiàng)，則可以添加與特定安全要求相適應(yīng)的安全措施。b） 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行調(diào)整1) 如果電子政務(wù)系統(tǒng)（或其保護(hù)對(duì)象）不存在五個(gè)等級(jí)基本安全要求中某個(gè)控制項(xiàng)所要控制的安全風(fēng)險(xiǎn)，或其控制項(xiàng)不適用，則該控制項(xiàng)可以進(jìn)行刪減；2) 如果風(fēng)險(xiǎn)評(píng)估中識(shí)別的某個(gè)風(fēng)險(xiǎn)，在五個(gè)等級(jí)基本安全要求中沒(méi)有相應(yīng)的控制項(xiàng)，則可以增加此類(lèi)控制項(xiàng)；3) 如果風(fēng)險(xiǎn)評(píng)估的結(jié)果顯示，與五個(gè)等級(jí)基本安全要求提供的某個(gè)安全措施的安全強(qiáng)度相比，風(fēng)險(xiǎn)較低，則可以降低控制項(xiàng)的強(qiáng)度等級(jí)；4) 如果風(fēng)險(xiǎn)評(píng)估的結(jié)果顯示，與五個(gè)等級(jí)基本安全要求提供的某個(gè)安全措施的安全強(qiáng)度相比，風(fēng)險(xiǎn)較高，則可以提高控制項(xiàng)的強(qiáng)度等級(jí)。c） 根據(jù)安全措施的成本進(jìn)行調(diào)整在安全措施的調(diào)整過(guò)程中，安全措施的成本也是一個(gè)重要的考慮因素，各機(jī)構(gòu)要根據(jù)實(shí)際情況，基于合理成本選擇和調(diào)整安全措施。如果某些安全措施的成本太高，機(jī)構(gòu)無(wú)法承受，可以通過(guò)其他措施進(jìn)行彌補(bǔ)。如果無(wú)法找到其他措施進(jìn)行彌補(bǔ)，則需要改變機(jī)構(gòu)的業(yè)務(wù)流程、運(yùn)作方式或管理模式。表 41 安全措施的調(diào)整因素和調(diào)整方式序號(hào) 調(diào)整因素 調(diào)整方式1 電子政務(wù)系統(tǒng)的保密性等級(jí)、完整性等級(jí)、可用性等級(jí)之中的一項(xiàng)或兩項(xiàng)低于系統(tǒng)的安全等級(jí)降低對(duì)應(yīng)控制項(xiàng)的等級(jí)2 電子政務(wù)系統(tǒng)的某些特定安全要求在基本安全要求中沒(méi)有相應(yīng)的控制項(xiàng)增加控制項(xiàng)24 / 453 電子政務(wù)系統(tǒng)（或其保護(hù)對(duì)象）不存在相應(yīng)等級(jí)基本安全要求中某個(gè)控制項(xiàng)所要控制的安全風(fēng)險(xiǎn)刪減控制項(xiàng)4 對(duì)電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估中識(shí)別的某個(gè)風(fēng)險(xiǎn)，在相應(yīng)等級(jí)基本安全要求中沒(méi)有相應(yīng)的控制項(xiàng)增加控制項(xiàng)5 與相應(yīng)等級(jí)基本安全要求提供的安全強(qiáng)度相比，風(fēng)險(xiǎn)較低降低控制項(xiàng)的強(qiáng)度等級(jí)6 與五個(gè)等級(jí)基本安全要求提供的安全強(qiáng)度相比，風(fēng)險(xiǎn)較高提高控制項(xiàng)的強(qiáng)度等級(jí)7 相應(yīng)等級(jí)基本安全要求中某些安全措施的成本太高，機(jī)構(gòu)無(wú)法承受可以通過(guò)其他措施進(jìn)行彌補(bǔ)。如果無(wú)法彌補(bǔ)，則需要改變機(jī)構(gòu)的業(yè)務(wù)流程、運(yùn)作方式或管理模式。 安全規(guī)劃與方案設(shè)計(jì)安全規(guī)劃與方案設(shè)計(jì)階段的目的是提出科學(xué)實(shí)施安全措施的方案，規(guī)劃綜合防范的安全保障體系，實(shí)現(xiàn)整體安全。安全規(guī)劃與方案設(shè)計(jì)包括安全需求分析、安全項(xiàng)目規(guī)劃、安全工作規(guī)劃、安全方案設(shè)計(jì)等幾個(gè)步驟。 安全需求分析通過(guò)對(duì)現(xiàn)有安全措施的評(píng)估明確系統(tǒng)的安全現(xiàn)狀，通過(guò)對(duì)比系統(tǒng)將要達(dá)到的安全等級(jí)的安全要求，得到現(xiàn)狀和要求間的差距，即為安全需求。如圖 45 所示：圖 45 系統(tǒng)安全需求25 / 45 安全項(xiàng)目規(guī)劃安全項(xiàng)目規(guī)劃是通過(guò)對(duì)安全項(xiàng)目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進(jìn)行分析，確定實(shí)施的先后順序。安全項(xiàng)目規(guī)劃主要包括：a） 將安全措施依據(jù)相關(guān)性，打包成一個(gè)或多個(gè)的安全項(xiàng)目b） 進(jìn)行項(xiàng)目分析1) 對(duì)項(xiàng)目進(jìn)行支持或依賴等相關(guān)性分析；2) 對(duì)項(xiàng)目進(jìn)行緊迫性分析；3) 對(duì)項(xiàng)目進(jìn)行實(shí)施難易程度分析；4) 對(duì)項(xiàng)目進(jìn)行預(yù)期效果分析。c） 綜合項(xiàng)目分析結(jié)果，形成項(xiàng)目實(shí)施先后順序的列表 安全工作規(guī)劃我們?cè)诎踩?guī)劃中，不僅要做項(xiàng)目建設(shè)的規(guī)劃，還要做安全工作方面的規(guī)劃，以此來(lái)讓等級(jí)保護(hù)的建設(shè)實(shí)施和運(yùn)行能夠融入到日常的安全管理和運(yùn)維工作當(dāng)中去，來(lái)確保等級(jí)保護(hù)工作落到實(shí)處。安全工作規(guī)劃需要確定安全工作的宗旨、遠(yuǎn)期安全工作目標(biāo)和當(dāng)年目標(biāo)、關(guān)鍵和重點(diǎn)的工作，并分析潛在的風(fēng)險(xiǎn)和障礙、所需的資源和預(yù)算，從而進(jìn)行實(shí)施策略選擇，確定當(dāng)年的安全工作計(jì)劃和等級(jí)保護(hù)項(xiàng)目建設(shè)計(jì)劃。 安全方案設(shè)計(jì)在解決方案設(shè)計(jì)階段，將對(duì)安全規(guī)劃中所提到的近期應(yīng)實(shí)現(xiàn)的安全措施和項(xiàng)目進(jìn)行分析，編制系列的技術(shù)解決方案和管理解決方案。5 實(shí)施、等級(jí)評(píng)估與運(yùn)行 安全措施的實(shí)施安全措施的實(shí)施是在完成等級(jí)保護(hù)的安全規(guī)劃與設(shè)計(jì)之后，依據(jù)安全解決方案進(jìn)行安全管理措施和安全技術(shù)措施建設(shè)。圖 51 安全措施的實(shí)施26 / 45安全措施的實(shí)施應(yīng)依據(jù)國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。在工程實(shí)施過(guò)程中應(yīng)充分考慮施工對(duì)業(yè)務(wù)系統(tǒng)可能造成的影響，做好應(yīng)急預(yù)案，保障業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)。應(yīng)與第三方實(shí)施單位簽訂保密協(xié)議和服務(wù)質(zhì)量協(xié)議，同時(shí)要加強(qiáng)對(duì)第三方履行保密協(xié)議和服務(wù)質(zhì)量協(xié)議的監(jiān)督。工程實(shí)施過(guò)程中應(yīng)避免因第三方人員進(jìn)場(chǎng)帶來(lái)新的安全風(fēng)險(xiǎn)。 等級(jí)評(píng)估與驗(yàn)收完成電子政務(wù)系統(tǒng)定級(jí)、安全措施選擇與實(shí)施之后，應(yīng)啟動(dòng)等級(jí)評(píng)估與驗(yàn)收工作，以便評(píng)估電子政務(wù)系統(tǒng)是否滿足信息安全等級(jí)保護(hù)的要求，并由電子政務(wù)系統(tǒng)的擁有單位或主管單位組織驗(yàn)收。電子政務(wù)等級(jí)保護(hù)工作的等級(jí)評(píng)估可以采取以下三種方式：a） 自評(píng)估自評(píng)估是由電子政務(wù)系統(tǒng)的擁有單位組織單位內(nèi)部人員，評(píng)估本單位的電子政務(wù)系統(tǒng)是否滿足電子政務(wù)信息安全等級(jí)保護(hù)的要求。b） 檢查評(píng)估檢查評(píng)估是由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，依據(jù)已經(jīng)頒布的電子政務(wù)等級(jí)保護(hù)的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的評(píng)估活動(dòng)。c） 委托評(píng)估委托評(píng)估指信息系統(tǒng)擁有單位委托具有風(fēng)險(xiǎn)評(píng)估能力的專(zhuān)業(yè)評(píng)估機(jī)構(gòu)（包括國(guó)家建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)或安全企業(yè)）實(shí)施的評(píng)估活動(dòng)。電子政務(wù)系統(tǒng)的擁有單位應(yīng)根據(jù)系統(tǒng)的安全等級(jí)選擇一種或多種評(píng)估模式。等級(jí)評(píng)估結(jié)束后，應(yīng)由電子政務(wù)系統(tǒng)的擁有單位或主管單位主持驗(yàn)收工作，確定完成等級(jí)保護(hù)建設(shè)工作的電子政務(wù)系統(tǒng)是否達(dá)到相應(yīng)的安全等級(jí)，以及是否可以投入運(yùn)行。 運(yùn)行監(jiān)控與改進(jìn)電子政務(wù)等級(jí)保護(hù)在完成實(shí)施、評(píng)估與驗(yàn)收工作之后，則進(jìn)入了安全運(yùn)行與改進(jìn)階段。這一階段的主要工作是對(duì)系統(tǒng)的安全風(fēng)險(xiǎn)和等級(jí)保護(hù)體系的運(yùn)行狀況進(jìn)行持續(xù)監(jiān)控，確保在系統(tǒng)發(fā)生變化、系統(tǒng)的安全風(fēng)險(xiǎn)發(fā)生變化的情況下，能夠及時(shí)調(diào)整系統(tǒng)的安全措施，并在系統(tǒng)或系統(tǒng)的安全風(fēng)險(xiǎn)發(fā)生重大變化時(shí)，進(jìn)行系統(tǒng)的重新定級(jí)和安全措施的調(diào)整，以確保系統(tǒng)得到相應(yīng)的保護(hù)。等級(jí)保護(hù)的運(yùn)行改進(jìn)過(guò)程如圖 52 所示。27 / 45圖 52 等級(jí)保護(hù)的運(yùn)行改進(jìn)過(guò)程附錄 A 術(shù)語(yǔ)與定義a） 信息資產(chǎn)對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。b） 服務(wù)信息系統(tǒng)通過(guò)提供某些功能來(lái)滿足用戶需求的過(guò)程。c） 信息系統(tǒng)生命周期信息系統(tǒng)生命周期是某一信息系統(tǒng)從無(wú)到有，再到廢棄的整個(gè)過(guò)程，包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個(gè)階段。d） 威脅可能對(duì)資產(chǎn)或組織造成損害的潛在原因。威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)刻畫(huà)。e） 脆弱性可能被威脅利用對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié)。f） 影響信息安全事件造成的后果。g） 風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指人為或自然的威脅利用系統(tǒng)存在的脆弱性，導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來(lái)衡量。28 / 45h） 信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。i） 風(fēng)險(xiǎn)管理組織中識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的活動(dòng)。j） 安全措施保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱(chēng)。附錄 B 大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)實(shí)施過(guò)程示例　大型復(fù)雜電子政務(wù)系統(tǒng)描述大型復(fù)雜電子政務(wù)系統(tǒng)主要是指涉及多個(gè)行政級(jí)別、多種網(wǎng)絡(luò)以及各類(lèi)繁雜的信息系統(tǒng)等特征的系統(tǒng)，一般具