【正文】 根據系統(tǒng)實際情況和管理模式，綜合考慮子系統(tǒng)劃分的四個原則，確定適用于各電子政務系統(tǒng)的子系統(tǒng)劃分標準。c） 按 照 網 絡 區(qū) 域 劃 分根據電子政務系統(tǒng)建設現(xiàn)狀，系統(tǒng)可能運行在不同的電子政務網絡范圍內，不同的電子政務網絡在涉密程度、隔離模式和管理模式上差異較大，所以可以按照電子政務系統(tǒng)運行的網絡區(qū)域進行子系統(tǒng)劃分。依據其所服務的目標用戶可分為以下幾類系統(tǒng)：1) 政 務 機 構 對 公 民 的 電 子 政 務 系 統(tǒng)2) 政 務 機 構 對 企 業(yè) 的 電 子 政 務 系 統(tǒng)3) 政 務 機 構 對 政 務 機 構 的 電 子 政 務 系 統(tǒng)4) 政 務 機 構 對 公 務 員 的 電 子 政 務 系 統(tǒng)b） 按 系 統(tǒng) 功 能 類 型 劃 分根 據 系 統(tǒng) 的 功 能 類 型 或 提 供 的 服 務 類 型 劃 分 子 系 統(tǒng) 。e） 系統(tǒng)所包含的主要信息描述系統(tǒng)所輸 入 、 處 理 、 存 儲 、 輸 出 的主要信息和數據。c） 系統(tǒng)范圍和邊界描述系統(tǒng)所涵蓋的信息資產范圍、使用者和管理者范圍、行政區(qū)域范圍和網絡區(qū)域范圍等，并清晰描述出其邊界。圖 31 定級工作流程 系統(tǒng)識別與描述 系統(tǒng)整體識別與描述實施等級保護工作首先要求政務機構對其擁有的或擬建的電子政務系統(tǒng)進行深入的識別和描述，識別和描述的內容至少包括如下信息：a） 系統(tǒng)基本信息系統(tǒng)名稱，系統(tǒng)的簡要描述，所在地點等。b） 等級確定進行系統(tǒng)整體定級和子系統(tǒng)分別定級，形成系統(tǒng)的定級列表，作為后續(xù)階段工作的基礎。定 級 階 段 工 作 主要包 含 兩 個 過 程 ：a） 系統(tǒng)識別與描述應準確識別并描述出整體的電子政務系統(tǒng)，以及系統(tǒng)可以分解的子系統(tǒng)。 定級過程定級階段的主要目標是確定電子政務系統(tǒng)及其子系統(tǒng)的安全等級。3 定級電子政務系統(tǒng)定級可以采用以下兩種方式進行：a） 對系統(tǒng)總體定級系統(tǒng)總體定級是在識別出政務機構所擁有的電子政務系統(tǒng)后，針對系統(tǒng)整體確定其安全等級。c） 涉密系統(tǒng)與其它系統(tǒng)的互聯(lián)互通，按照國家保密部門的有關規(guī)定執(zhí)行。b） 不同等級電子政務系統(tǒng)間的互聯(lián)互通各系統(tǒng)在按照自身安全等級進行相應保護的基礎上，協(xié)商對相互連接的保護。要采取相應的邊界保護、訪問控制等安全措施，防止高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。 系統(tǒng)間互聯(lián)互通的等級保護要求不同安全等級的電子政務系統(tǒng)之間可以根據業(yè)務需要進行互聯(lián)互通。c） 實施人員實施人員是政務機構中實施信息安全等級保護的具體工作人員。b） 技術負責人10 / 45技術負責人是對本單位實施電子政務信息安全等級保護工作的決策支持者、技術決策人和實施管理者。a） 決策者決策者是政務機構中對本單位實施電子政務信息安全等級保護工作的最終決策人。圖 23 等級保護過程與新建和已建系統(tǒng)生命周期對應關系在確定要實施等級保護工作之后，應對系統(tǒng)進行安全現(xiàn)狀分析，深入認識和理解機構所擁有的電子政務系統(tǒng)，對每個系統(tǒng)進行定級，之后進行等級保護的安全規(guī)劃和方案設計，最后進行實施、評估和驗收。e） 系統(tǒng)廢棄階段，要按照所建立的等級保護體系的要求，對廢棄過程進行有效的安全管理。b） 系統(tǒng)設計階段，要根據所確定的系統(tǒng)安全等級，設計系統(tǒng)的安全保護措施，并在可行性分析中論證安全保護措施；c） 系統(tǒng)實施階段，要與信息系統(tǒng)建設同步進行信息安全等級保護體系的實施，之后進行等級評估和驗收。新建電子政務系統(tǒng)在啟動時，應當按照等級保護的要求來建設。附錄 B 給出了大型復雜電子政務系統(tǒng)等級保護實施過程的示例。如果系統(tǒng)只發(fā)生部分變化，例如發(fā)現(xiàn)新的系統(tǒng)漏洞，這些改變不涉及系統(tǒng)的信息資產和威脅狀況的根本改變，則只需要調整和改進相應的安全措施。c） 運行監(jiān)控與改進運行監(jiān)控是在實施等級保護的各種安全措施之后的運行期間，監(jiān)控系統(tǒng)的變化和系統(tǒng)安全風險的變化，評估系統(tǒng)的安全狀況。第三階段：實施、等級評估與改進實施、等級評估與改進階段主要包括三個步驟，分別為：a） 安全措施的實施依據安全解決方案建設和實施等級保護的安全技術措施和安全管理措施。b） 選擇和調整安全措施根據電子政務系統(tǒng)和子系統(tǒng)的安全等級，選擇對應等級的基本安全要求，并根據風險評估的結果，綜合平衡安全風險和成本，以及各系統(tǒng)特定安全要求，選擇和調整安全措施，確定出電子政務系統(tǒng)、子系統(tǒng)和各類保護對象的安全措施。b） 等級確定完成電子政務系統(tǒng)總體定級和子系統(tǒng)的定級。 實施過程電子政務等級保護的實施過程包括三個階段，分別為：a） 定級階段b） 規(guī)劃與設計階段c） 實施、等級評估與改進階段電子政務等級保護的基本流程如圖 22 所示。 電子政務等級保護實現(xiàn)方法27 號文件指出，實行信息安全等級保護時“要重視信息安全風險評估工作，對網絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網絡與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理” 。2) 系統(tǒng)保護要求類型和強度的差異性，安全風險情況的差異性，決定了選擇不同類型和強度的安全措施。b） 安全措施需要滿足系統(tǒng)安全保護要求，對抗系統(tǒng)所面臨的風險。g） 安全保護措施的成本不同類型和強度的安全保護措施的實現(xiàn)需要不同的成本，安全保護措施的成本應包括設備購買成本、實施成本、維護成本和人員成本等。安全風險由安全事件發(fā)生的可能性及其造成的影響這兩種指標來綜合衡量。d） 安全保護要求不同的電子政務系統(tǒng)具有不同類型和不同強度的安全保護要求。b） 目標5 / 45目標是指電子政務系統(tǒng)的業(yè)務目標和安全目標，電子政務等級保護要保障業(yè)務目標和安全目標的實現(xiàn)。 基本方法 等級保護的要素及其關系電子政務等級保護的基本原理是：依據電子政務系統(tǒng)的使命、目標和重要程度，將系統(tǒng)劃分為不同的安全等級，并綜合平衡系統(tǒng)特定安全保護要求、系統(tǒng)面臨安全風險情況和實施安全保護措施的成本，進行安全措施的調整和定制，形成與系統(tǒng)安全等級相適應的安全保障體系。d） 安全運行安全運行是為了保障電子政務系統(tǒng)運行過程中的安全而制定的安全運維要求，包括風險管理、配置和變更管理、信息系統(tǒng)工程安全管理、日常運行管理、技術資料安全、應急響應等方面。b） 安全組織安全組織是為了保障電子政務信息安全而建立的組織體系，包括各級安全組織機構、崗位安全職責、人員安全管理、第三方安全管理、安全合作與溝通等方面。a） 安全策略安全策略是為了指導和規(guī)范電子政務信息安全工作而制定的安全方針、管理制度、規(guī)范標準、操作流程和記錄模板等文檔的總和。對特定電子政務系統(tǒng)的安全保護，以其相應等級的基本安全要求為基礎，通過對安全措施的調整和定制，得到適用于該電子政務系統(tǒng)的安全保護措施。根據安全需求，由主管部門和運營單位對電子政務系統(tǒng)進行專門控制和保護。第五級 專控保護級適用于關系國家安全、社會秩序、經濟建設和公共利益的核心系統(tǒng)。系統(tǒng)遭到破壞后可能對政務機構履行其政務職能、機構財產、人員造成嚴重的負面影響，可能對國家安全造成較大損害。在主管部門的監(jiān)督下，按國家標準嚴格落實各項保護措施進行保護。第三級 監(jiān)督保護級適用于處理重要政務信息和提供重要政務服務的電子政務系統(tǒng)。系統(tǒng)遭到破壞后對政務機構履行其政務職能、機構財產、人員造成中等程度的負面影響。參照國家標準自主進行保護。表 21 電子政務系統(tǒng)五個安全等級的基本內容安全等級等級名稱基本描述 安全保護要求第一級 自主保護級適用于一般的電子政務系統(tǒng)。 電子政務安全等級的層級劃分66 號文件中規(guī)定信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導保護級、監(jiān)督保護級、強制保護級、專控保護級五個安全等級。d） 同步建設原則電子政務系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設施，保證信息安全與信息化建設相適應。b） “誰主管誰負責、誰運營誰負責”原則電子政務等級保護要貫徹“誰主管誰負責、誰運營誰負責”的原則，由各主管部門和運營單位依照國家相關法規(guī)和標準，自主確定電子政務系統(tǒng)的安全等級并按照相關要求組織實施安全保障。電子政務信息安全等級保護遵循以下原則：a） 重點保護原則電子政務等級保護要突出重點。用戶層的主要工作是依據管理層的要求對電子政務系統(tǒng)進行定級，確定系統(tǒng)應采取的安全保障措施，進行系統(tǒng)安全設計與建設，以及運行監(jiān)控與改進。電子政務等級保護工作分為管理層面和用戶層面兩個方面的工作。要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)。2 / 452 基本原理 基本概念 電子政務等級保護的基本含義信息安全等級保護是國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。附錄 A 介紹了本指南術語定義；附錄 B 介紹了大型復雜電子政務系統(tǒng)等級保護實施過程的示例。 文檔結構本指南包括五個章節(jié)和兩個附錄。因此，組織編制《電子政務信息安全等級保護實施指南》 ，規(guī)范電子政務信息安全等級保護工作的基本思路和實施方法，指導我國電子政務建設中的信息安全保障工作，對搞好電子政務信息安全保障具有十分重要的現(xiàn)實意義。27 號文件和 66 號文件不但為各行業(yè)開展信息安全等級保護工作指明了方向，同時也為各行業(yè)如何根據自身特點做好信息安全等級保護工作提出了更高的要求。電子政務信息安全等級保護實施指南（試行）ii / 45國務院信息化工作辦公室2022 年 9 月i / 45目 錄1 引言 .................................................................................................................................1 編寫目的 .....................................................................................................................................1 適用范圍 .....................................................................................................................................1 文檔結構 .....................................................................................................................................12 基本原理 ..........................................................................................................................2 基本概念 .....................................................................................................................................2 電子政務等級保護的基本含義 ..............................................................................................2 電子政務安全等級的層級劃分 ..............................................................................................3 電子政務等級保護的基本安全要求 ......................................................................................4 基本方法 .....................................................................................................................................4 等級保護的要素及其關系 ......................................................................................................4 電子政務等級保護實現(xiàn)方法 ..................................................................................................5 實施過程 .....................................................................................................................................6 角色及職責 .........................................................