【正文】 根據(jù)系統(tǒng)實際情況和管理模式，綜合考慮子系統(tǒng)劃分的四個原則，確定適用于各電子政務(wù)系統(tǒng)的子系統(tǒng)劃分標(biāo)準(zhǔn)。c） 按 照 網(wǎng) 絡(luò) 區(qū) 域 劃 分根據(jù)電子政務(wù)系統(tǒng)建設(shè)現(xiàn)狀，系統(tǒng)可能運行在不同的電子政務(wù)網(wǎng)絡(luò)范圍內(nèi)，不同的電子政務(wù)網(wǎng)絡(luò)在涉密程度、隔離模式和管理模式上差異較大，所以可以按照電子政務(wù)系統(tǒng)運行的網(wǎng)絡(luò)區(qū)域進行子系統(tǒng)劃分。依據(jù)其所服務(wù)的目標(biāo)用戶可分為以下幾類系統(tǒng)：1) 政 務(wù) 機 構(gòu) 對 公 民 的 電 子 政 務(wù) 系 統(tǒng)2) 政 務(wù) 機 構(gòu) 對 企 業(yè) 的 電 子 政 務(wù) 系 統(tǒng)3) 政 務(wù) 機 構(gòu) 對 政 務(wù) 機 構(gòu) 的 電 子 政 務(wù) 系 統(tǒng)4) 政 務(wù) 機 構(gòu) 對 公 務(wù) 員 的 電 子 政 務(wù) 系 統(tǒng)b） 按 系 統(tǒng) 功 能 類 型 劃 分根 據(jù) 系 統(tǒng) 的 功 能 類 型 或 提 供 的 服 務(wù) 類 型 劃 分 子 系 統(tǒng) 。e） 系統(tǒng)所包含的主要信息描述系統(tǒng)所輸 入 、 處 理 、 存 儲 、 輸 出 的主要信息和數(shù)據(jù)。c） 系統(tǒng)范圍和邊界描述系統(tǒng)所涵蓋的信息資產(chǎn)范圍、使用者和管理者范圍、行政區(qū)域范圍和網(wǎng)絡(luò)區(qū)域范圍等，并清晰描述出其邊界。圖 31 定級工作流程 系統(tǒng)識別與描述 系統(tǒng)整體識別與描述實施等級保護工作首先要求政務(wù)機構(gòu)對其擁有的或擬建的電子政務(wù)系統(tǒng)進行深入的識別和描述，識別和描述的內(nèi)容至少包括如下信息：a） 系統(tǒng)基本信息系統(tǒng)名稱，系統(tǒng)的簡要描述，所在地點等。b） 等級確定進行系統(tǒng)整體定級和子系統(tǒng)分別定級，形成系統(tǒng)的定級列表，作為后續(xù)階段工作的基礎(chǔ)。定 級 階 段 工 作 主要包 含 兩 個 過 程 ：a） 系統(tǒng)識別與描述應(yīng)準(zhǔn)確識別并描述出整體的電子政務(wù)系統(tǒng)，以及系統(tǒng)可以分解的子系統(tǒng)。 定級過程定級階段的主要目標(biāo)是確定電子政務(wù)系統(tǒng)及其子系統(tǒng)的安全等級。3 定級電子政務(wù)系統(tǒng)定級可以采用以下兩種方式進行：a） 對系統(tǒng)總體定級系統(tǒng)總體定級是在識別出政務(wù)機構(gòu)所擁有的電子政務(wù)系統(tǒng)后，針對系統(tǒng)整體確定其安全等級。c） 涉密系統(tǒng)與其它系統(tǒng)的互聯(lián)互通，按照國家保密部門的有關(guān)規(guī)定執(zhí)行。b） 不同等級電子政務(wù)系統(tǒng)間的互聯(lián)互通各系統(tǒng)在按照自身安全等級進行相應(yīng)保護的基礎(chǔ)上，協(xié)商對相互連接的保護。要采取相應(yīng)的邊界保護、訪問控制等安全措施，防止高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。 系統(tǒng)間互聯(lián)互通的等級保護要求不同安全等級的電子政務(wù)系統(tǒng)之間可以根據(jù)業(yè)務(wù)需要進行互聯(lián)互通。c） 實施人員實施人員是政務(wù)機構(gòu)中實施信息安全等級保護的具體工作人員。b） 技術(shù)負責(zé)人10 / 45技術(shù)負責(zé)人是對本單位實施電子政務(wù)信息安全等級保護工作的決策支持者、技術(shù)決策人和實施管理者。a） 決策者決策者是政務(wù)機構(gòu)中對本單位實施電子政務(wù)信息安全等級保護工作的最終決策人。圖 23 等級保護過程與新建和已建系統(tǒng)生命周期對應(yīng)關(guān)系在確定要實施等級保護工作之后，應(yīng)對系統(tǒng)進行安全現(xiàn)狀分析，深入認識和理解機構(gòu)所擁有的電子政務(wù)系統(tǒng)，對每個系統(tǒng)進行定級，之后進行等級保護的安全規(guī)劃和方案設(shè)計，最后進行實施、評估和驗收。e） 系統(tǒng)廢棄階段，要按照所建立的等級保護體系的要求，對廢棄過程進行有效的安全管理。b） 系統(tǒng)設(shè)計階段，要根據(jù)所確定的系統(tǒng)安全等級，設(shè)計系統(tǒng)的安全保護措施，并在可行性分析中論證安全保護措施；c） 系統(tǒng)實施階段，要與信息系統(tǒng)建設(shè)同步進行信息安全等級保護體系的實施，之后進行等級評估和驗收。新建電子政務(wù)系統(tǒng)在啟動時，應(yīng)當(dāng)按照等級保護的要求來建設(shè)。附錄 B 給出了大型復(fù)雜電子政務(wù)系統(tǒng)等級保護實施過程的示例。如果系統(tǒng)只發(fā)生部分變化，例如發(fā)現(xiàn)新的系統(tǒng)漏洞，這些改變不涉及系統(tǒng)的信息資產(chǎn)和威脅狀況的根本改變，則只需要調(diào)整和改進相應(yīng)的安全措施。c） 運行監(jiān)控與改進運行監(jiān)控是在實施等級保護的各種安全措施之后的運行期間，監(jiān)控系統(tǒng)的變化和系統(tǒng)安全風(fēng)險的變化，評估系統(tǒng)的安全狀況。第三階段：實施、等級評估與改進實施、等級評估與改進階段主要包括三個步驟，分別為：a） 安全措施的實施依據(jù)安全解決方案建設(shè)和實施等級保護的安全技術(shù)措施和安全管理措施。b） 選擇和調(diào)整安全措施根據(jù)電子政務(wù)系統(tǒng)和子系統(tǒng)的安全等級，選擇對應(yīng)等級的基本安全要求，并根據(jù)風(fēng)險評估的結(jié)果，綜合平衡安全風(fēng)險和成本，以及各系統(tǒng)特定安全要求，選擇和調(diào)整安全措施，確定出電子政務(wù)系統(tǒng)、子系統(tǒng)和各類保護對象的安全措施。b） 等級確定完成電子政務(wù)系統(tǒng)總體定級和子系統(tǒng)的定級。 實施過程電子政務(wù)等級保護的實施過程包括三個階段，分別為：a） 定級階段b） 規(guī)劃與設(shè)計階段c） 實施、等級評估與改進階段電子政務(wù)等級保護的基本流程如圖 22 所示。 電子政務(wù)等級保護實現(xiàn)方法27 號文件指出，實行信息安全等級保護時“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進行相應(yīng)等級的安全建設(shè)和管理” 。2) 系統(tǒng)保護要求類型和強度的差異性，安全風(fēng)險情況的差異性，決定了選擇不同類型和強度的安全措施。b） 安全措施需要滿足系統(tǒng)安全保護要求，對抗系統(tǒng)所面臨的風(fēng)險。g） 安全保護措施的成本不同類型和強度的安全保護措施的實現(xiàn)需要不同的成本，安全保護措施的成本應(yīng)包括設(shè)備購買成本、實施成本、維護成本和人員成本等。安全風(fēng)險由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來綜合衡量。d） 安全保護要求不同的電子政務(wù)系統(tǒng)具有不同類型和不同強度的安全保護要求。b） 目標(biāo)5 / 45目標(biāo)是指電子政務(wù)系統(tǒng)的業(yè)務(wù)目標(biāo)和安全目標(biāo)，電子政務(wù)等級保護要保障業(yè)務(wù)目標(biāo)和安全目標(biāo)的實現(xiàn)。 基本方法 等級保護的要素及其關(guān)系電子政務(wù)等級保護的基本原理是：依據(jù)電子政務(wù)系統(tǒng)的使命、目標(biāo)和重要程度，將系統(tǒng)劃分為不同的安全等級，并綜合平衡系統(tǒng)特定安全保護要求、系統(tǒng)面臨安全風(fēng)險情況和實施安全保護措施的成本，進行安全措施的調(diào)整和定制，形成與系統(tǒng)安全等級相適應(yīng)的安全保障體系。d） 安全運行安全運行是為了保障電子政務(wù)系統(tǒng)運行過程中的安全而制定的安全運維要求，包括風(fēng)險管理、配置和變更管理、信息系統(tǒng)工程安全管理、日常運行管理、技術(shù)資料安全、應(yīng)急響應(yīng)等方面。b） 安全組織安全組織是為了保障電子政務(wù)信息安全而建立的組織體系，包括各級安全組織機構(gòu)、崗位安全職責(zé)、人員安全管理、第三方安全管理、安全合作與溝通等方面。a） 安全策略安全策略是為了指導(dǎo)和規(guī)范電子政務(wù)信息安全工作而制定的安全方針、管理制度、規(guī)范標(biāo)準(zhǔn)、操作流程和記錄模板等文檔的總和。對特定電子政務(wù)系統(tǒng)的安全保護，以其相應(yīng)等級的基本安全要求為基礎(chǔ)，通過對安全措施的調(diào)整和定制，得到適用于該電子政務(wù)系統(tǒng)的安全保護措施。根據(jù)安全需求，由主管部門和運營單位對電子政務(wù)系統(tǒng)進行專門控制和保護。第五級 專控保護級適用于關(guān)系國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的核心系統(tǒng)。系統(tǒng)遭到破壞后可能對政務(wù)機構(gòu)履行其政務(wù)職能、機構(gòu)財產(chǎn)、人員造成嚴(yán)重的負面影響，可能對國家安全造成較大損害。在主管部門的監(jiān)督下，按國家標(biāo)準(zhǔn)嚴(yán)格落實各項保護措施進行保護。第三級 監(jiān)督保護級適用于處理重要政務(wù)信息和提供重要政務(wù)服務(wù)的電子政務(wù)系統(tǒng)。系統(tǒng)遭到破壞后對政務(wù)機構(gòu)履行其政務(wù)職能、機構(gòu)財產(chǎn)、人員造成中等程度的負面影響。參照國家標(biāo)準(zhǔn)自主進行保護。表 21 電子政務(wù)系統(tǒng)五個安全等級的基本內(nèi)容安全等級等級名稱基本描述 安全保護要求第一級 自主保護級適用于一般的電子政務(wù)系統(tǒng)。 電子政務(wù)安全等級的層級劃分66 號文件中規(guī)定信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、專控保護級五個安全等級。d） 同步建設(shè)原則電子政務(wù)系統(tǒng)在新建、改建、擴建時應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施，保證信息安全與信息化建設(shè)相適應(yīng)。b） “誰主管誰負責(zé)、誰運營誰負責(zé)”原則電子政務(wù)等級保護要貫徹“誰主管誰負責(zé)、誰運營誰負責(zé)”的原則，由各主管部門和運營單位依照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定電子政務(wù)系統(tǒng)的安全等級并按照相關(guān)要求組織實施安全保障。電子政務(wù)信息安全等級保護遵循以下原則：a） 重點保護原則電子政務(wù)等級保護要突出重點。用戶層的主要工作是依據(jù)管理層的要求對電子政務(wù)系統(tǒng)進行定級，確定系統(tǒng)應(yīng)采取的安全保障措施，進行系統(tǒng)安全設(shè)計與建設(shè)，以及運行監(jiān)控與改進。電子政務(wù)等級保護工作分為管理層面和用戶層面兩個方面的工作。要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)。2 / 452 基本原理 基本概念 電子政務(wù)等級保護的基本含義信息安全等級保護是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。附錄 A 介紹了本指南術(shù)語定義；附錄 B 介紹了大型復(fù)雜電子政務(wù)系統(tǒng)等級保護實施過程的示例。 文檔結(jié)構(gòu)本指南包括五個章節(jié)和兩個附錄。因此，組織編制《電子政務(wù)信息安全等級保護實施指南》 ，規(guī)范電子政務(wù)信息安全等級保護工作的基本思路和實施方法，指導(dǎo)我國電子政務(wù)建設(shè)中的信息安全保障工作，對搞好電子政務(wù)信息安全保障具有十分重要的現(xiàn)實意義。27 號文件和 66 號文件不但為各行業(yè)開展信息安全等級保護工作指明了方向，同時也為各行業(yè)如何根據(jù)自身特點做好信息安全等級保護工作提出了更高的要求。電子政務(wù)信息安全等級保護實施指南（試行）ii / 45國務(wù)院信息化工作辦公室2022 年 9 月i / 45目 錄1 引言 .................................................................................................................................1 編寫目的 .....................................................................................................................................1 適用范圍 .....................................................................................................................................1 文檔結(jié)構(gòu) .....................................................................................................................................12 基本原理 ..........................................................................................................................2 基本概念 .....................................................................................................................................2 電子政務(wù)等級保護的基本含義 ..............................................................................................2 電子政務(wù)安全等級的層級劃分 ..............................................................................................3 電子政務(wù)等級保護的基本安全要求 ......................................................................................4 基本方法 .....................................................................................................................................4 等級保護的要素及其關(guān)系 ......................................................................................................4 電子政務(wù)等級保護實現(xiàn)方法 ..................................................................................................5 實施過程 .....................................................................................................................................6 角色及職責(zé) .........................................................