【正文】 一個組織機構(gòu)內(nèi)可能運行一個或多個信息系統(tǒng)，這些信息系統(tǒng)的安全保護等級可以是相同的，也可以是不同的。 ? 系統(tǒng)服務范圍，包括服務對象和服務網(wǎng)絡覆蓋范圍。 決定等級的主要因素分析 已在不同分級方法中出現(xiàn)的作為劃分信息系統(tǒng)安全等級的因素主要包括： ? 業(yè)務系統(tǒng)在國家事務中的重要性 （實施意見）； ? 資產(chǎn) （包括有形資產(chǎn)和無形資產(chǎn)）（ FIPS199，IATF， DITSCAP， NIST80037）； ? 威脅 （ IATF）； ? 信息被破壞后對國家、社會公共利益和單位或個人的 影響 （ FIPS199，通用要求，實施指南）； ? 業(yè)務對信息系統(tǒng)的依賴程度 （ DITSCAP） 決定等級的主要因素分析 劃分等級時應考慮以下因素： ? 系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。 等級確定的原則 ? 業(yè)務為核心原則 ? 信息系統(tǒng)是為業(yè)務應用服務的，信息系統(tǒng)的安全保護等級應當依據(jù)信息系統(tǒng)承載業(yè)務的重要性、業(yè)務對信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。 等級確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護等級既不是信息系統(tǒng)安全保障等級，也不是信息系統(tǒng)所能達到的技術能力等級，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經(jīng)濟建設、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴重性角度確定的信息系統(tǒng)應達到的安全等級。 業(yè)務處理流程完全依賴信息系統(tǒng)，手工方式無法完成，自動化程度高。 業(yè)務處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動化程度中。 業(yè)務依賴程度舉例 賦值 業(yè)務系統(tǒng)影響 業(yè)務處理流程的大部分可以通過手工方式或其他方式替代完成，自動化程度低。 3 信息系統(tǒng)因無法提供服務或無法提供有效服務會對全國范圍的資產(chǎn)造成損害。 2 信息系統(tǒng)因無法提供服務或無法提供有效服務會對較大范圍的資產(chǎn)造成損害。 1 信息系統(tǒng)因無法提供服務或無法提供有效服務會對局部范圍的資產(chǎn)造成損害。 決定信息系統(tǒng)重要性的要素 ?（三）信息系統(tǒng)服務范圍，包括服務對象和服務網(wǎng)絡覆蓋范圍 ?根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務或無法提供有效服務造成的社會影響范圍大小，典型的信息系統(tǒng)服務范圍、賦值和相關影響如下表所示。 涉及國家安全利益，影響國家經(jīng)濟建設的信息。 法人和其他組織及公民的專有信息，如內(nèi)部敏感信息、關鍵技術數(shù)據(jù)、科技情報、商業(yè)秘密等。 業(yè)務信息類型舉例 賦值 業(yè)務信息的安全影響 可以對外公開發(fā)布的信息，或不對外發(fā)布的單位內(nèi)部一般信息。 3 信息系統(tǒng)資產(chǎn)受到破壞會對國家安全利益有直接影響。 2 信息系統(tǒng)資產(chǎn)受到破壞會對公共利益有直接影響，或?qū)野踩嬗虚g接影響。 1 信息系統(tǒng)資產(chǎn)受到破壞會對本單位利益有直接影響。根據(jù)社會影響高低，典型的信息系統(tǒng)所屬類型、賦值及其社會影響如下表所示。從另一個角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對國家安全、經(jīng)濟建設、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。信息系統(tǒng)是進行等級確定和等級保護管理的最終對象。如果信息系統(tǒng)承載多項業(yè)務，應根據(jù)各項業(yè)務的性質(zhì)和特點，將信息系統(tǒng)分成若干業(yè)務子系統(tǒng)，分別為各業(yè)務子系統(tǒng)確定安全保護等級。業(yè)務子系統(tǒng)應具有信息系統(tǒng)的全部特點，是由計算機硬件、計算機網(wǎng)絡硬件以及安裝于這些硬件上的軟件、提供的服務以及相關人員構(gòu)成的一個有形實體，并且承載確定的業(yè)務。 ?業(yè)務子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務對信息系統(tǒng)進行劃分所形成的子系統(tǒng)。 ?按照信息系統(tǒng)的定義，典型的信息系統(tǒng)應由計算機硬件設備（包括服務器設備、客戶端設備、打印機及存儲器等外圍設備）、計算機網(wǎng)絡硬件設備（包括交換機、路由器、各種適配器以及通信線路等）、安裝于這些硬件設備上的軟件、所提供的服務以及相關的人員構(gòu)成。 一、信息系統(tǒng)和業(yè)務子系統(tǒng) ?信息系統(tǒng)是基于計算機或計算機網(wǎng)絡，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索和服務的人機系統(tǒng)。信息系統(tǒng)安全等級的確定是否準確直接關系到是否對信息系統(tǒng)采取了足夠的安全保護措施，是否能夠?qū)⑿畔⑾到y(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度降到最低。 ?由于是已經(jīng)存在的信息系統(tǒng)，工作的重點應放在系統(tǒng)定級階段如何劃分信息系統(tǒng)并確定安全等級、在安全規(guī)劃設計階段如何規(guī)劃設計出符合國家等級保護要求的安全改造方案、在安全實施階段如何保證在不影響現(xiàn)有業(yè)務應用的情況下使各類安全措施可以順利落實等方面。 ? 在啟動準備階段，應該仔細分析和合理劃分各個信息系統(tǒng)，確定各個信息系統(tǒng)的安全等級，定級過程也可能在設計 /開發(fā)階段實施； ? 在設計 /開發(fā)階段，應該根據(jù)各個信息系統(tǒng)的安全等級，進行安全需求分析，合理規(guī)劃設計網(wǎng)絡結(jié)構(gòu)、應用系統(tǒng)、安全保護措施等，確保各個信息系統(tǒng)按照國家等級保護的要求進行規(guī)劃設計； ? 在實施 /實現(xiàn)階段，應在系統(tǒng)建設的同時，同步進行安全措施的落實和實現(xiàn)； ? 在運行維護階段，應按照國家等級保護的要求進行安全維護和安全管理； ? 在系統(tǒng)終止階段，應對系統(tǒng)的廢棄過程進行有效安全管理。 安全等級保護實施的過程與信息系統(tǒng)生命周期的關系 安全等級保護實施的過程與信息系統(tǒng)生命周期的關系 ?安全等級保護的實施分為： ? 新建信息系統(tǒng)安全等級保護的實施 ? 已建信息系統(tǒng)安全等級保護的實施 ?兩者在信息系統(tǒng)生命周期中的切入點是不同的。 四、安全等級保護與信息系統(tǒng)生命周期的關系 ?信息系統(tǒng)生命周期包括五個階段，即啟動準備階段、設計 /開發(fā)階段、實施 /實現(xiàn)階段、運行維護階段和系統(tǒng)終止階段。系統(tǒng)終止階段的主要活動可能包括對信息的轉(zhuǎn)移、暫存或清除，對設備的遷移或廢棄，對存儲介質(zhì)的清除或銷毀。安全運行維護階段需要進行的安全控制活動很多，如運行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應急預案等。安全管理體系的建設應該貫穿信息系統(tǒng)的整個生命周期，涉及等級保護實施過程的各個階段。 （三）安全實施階段 ?安全實施階段通過安全方案詳細設計、安全產(chǎn)品的采購、安全控制的開發(fā)、安全控制集成、機構(gòu)和人員的配置、安全管理制度的建設、人員的安全技能培訓等環(huán)節(jié)，將安全規(guī)劃設計階段的安全方針和策略，具體落實到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。 （二）安全規(guī)劃設計階段 ?安全規(guī)劃設計階段通過安全需求分析判斷信息系統(tǒng)的安全保護現(xiàn)狀與國家等級保護基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級情況、信息系統(tǒng)承載業(yè)務情況和安全需求等，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規(guī)劃等，以指導后續(xù)的信息系統(tǒng)安全建設工程的實施。 三、實施過程 ?對信息系統(tǒng)實施等級保護的過程劃分為五個階段 （一）系統(tǒng)定級階段 ?系統(tǒng)定級階段通過對信息系統(tǒng)的調(diào)查和分析進行信息系統(tǒng)劃分，確定包括相對獨立的信息系統(tǒng)的個數(shù)，選擇合適的信息系統(tǒng)安全等級定級方法，科學、準確地確定每個信息系統(tǒng)的安全等級。 等級保護實施過程中各類角色的職責 ?（五）安全測評機構(gòu) ? 安全測評機構(gòu)的主要責任是根據(jù)信息系統(tǒng)運營、使用單位的委托或根據(jù)信息安全監(jiān)管機構(gòu)的委托，協(xié)助信息系統(tǒng)運營、使用單位或信息安全監(jiān)管機構(gòu)按照等級保護的管理規(guī)范和技術標準，對已經(jīng)完成等級保護建設的信息系統(tǒng)進行檢查評估，對安全產(chǎn)品供應商提供的信息安全產(chǎn)品進行檢查評估。 等級保護實施過程中各類角色的職責 ?（三）信息系統(tǒng)安全服務商 ? 信息系統(tǒng)安全服務商的主要責任是根據(jù)信息系統(tǒng)運營、使用單位的委托，按照等級保護的管理規(guī)范和技術標準，協(xié)助信息系統(tǒng)運營、使用單位完成等級保護的相關工作，可能包括確定其信息系統(tǒng)的安全等級、進行安全需求分析、進行信息系統(tǒng)的規(guī)劃設計、建設施工等。 等級保護實施過程中各類角色的職責 ?（一）信息系統(tǒng)主管部門 ? 主要責任： ? 做好下屬單位的等級保護監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級保護的管理規(guī)范和技術標準對信息系統(tǒng)進行等級保護； ? 對下屬單位確定的信息系統(tǒng)安全等級進行審批； ? 督促下屬單位定期進行安全狀況檢測評估，及時消除安全隱患和漏洞等。 二、參與角色和職責 ?信息系統(tǒng)安全等級保護系列標準中的 《 信息安全技術 ——信息系統(tǒng)安全等級保護實施指南 》 ，將參與等級保護過程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運營、使用單位；主要角色將參與等級保護實施過程的所有活動 ? 次要角色：是指信息系統(tǒng)安全服務商、信息安全監(jiān)管機構(gòu)、安全測評機構(gòu)和安全產(chǎn)品供應商。 ?（四）適當調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。 ?（二）同步建設原則 ? 信息系統(tǒng)在新建、改建、擴建時應當同步規(guī)劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。 第二節(jié) 信息安全等級保護實施 ?一、基本原則 ?二、參與角色和職責 ?三、實施過程 ?四、安全等級保護與信息系統(tǒng)生命周期的關系 一、基本原則 ?等級保護的核心是對信息系統(tǒng)分等級、按標準進行建設、管理和監(jiān)督。安全控制測評，主要是測評信息系統(tǒng)安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施和配置情況；系統(tǒng)整體測評，主要對信息系統(tǒng)的整體安全性進行測評。為了規(guī)范安全等級保護的測評活動， 《 信息系統(tǒng)安全等級保護測評準則 》 對每一特定安全級別的信息系統(tǒng)從技術措施和管理措施兩方面提出了測評要求。 （十） 《 信息系統(tǒng)安全等級保護測評準則 》 ?各單位對信息系統(tǒng)安全等級保護的實施力度和遵循情況，不僅需要各單位自身進行檢查和評估，而且需要信息安全監(jiān)管職能部門依法進行監(jiān)督、檢查。其中，技術措施的要求分為物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全五個不同層次；管理手段的要求分為安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運行維護管理五個不同類別。 （九） 《 信息安全技術 ——信息系統(tǒng)安全等級保護基本要求 》 ?《 信息安全技術 ——信息系統(tǒng)安全等級保護基本要求 》 為安全等級保護的每一個級別（共五個級別）都規(guī)定了要實現(xiàn)的安全目標，以及為了實現(xiàn)安全目標所必須采用的技術措施和管理手段。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護等級定級指南》 中的標準方法，明確確定本單位信息系統(tǒng)的安全等級，一旦等級確定完成，后續(xù)的建設和運行維護工作，再參考 《 信息安全技術 ——信息系統(tǒng)安全等級保護基本要求 》 實施。 （八） 《