【正文】 劃分 一個(gè)組織機(jī)構(gòu)內(nèi)可能運(yùn)行一個(gè)或多個(gè)信息系統(tǒng)，這些信息系統(tǒng)的安全保護(hù)等級可以是相同的，也可以是不同的。 ? 系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。 決定等級的主要因素分析 已在不同分級方法中出現(xiàn)的作為劃分信息系統(tǒng)安全等級的因素主要包括： ? 業(yè)務(wù)系統(tǒng)在國家事務(wù)中的重要性 （實(shí)施意見）； ? 資產(chǎn) （包括有形資產(chǎn)和無形資產(chǎn)）（ FIPS199，IATF， DITSCAP， NIST80037）； ? 威脅 （ IATF）； ? 信息被破壞后對國家、社會公共利益和單位或個(gè)人的 影響 （ FIPS199，通用要求，實(shí)施指南）； ? 業(yè)務(wù)對信息系統(tǒng)的依賴程度 （ DITSCAP） 決定等級的主要因素分析 劃分等級時(shí)應(yīng)考慮以下因素： ? 系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。 等級確定的原則 ? 業(yè)務(wù)為核心原則 ? 信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)的，信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)依據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要性、業(yè)務(wù)對信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。 等級確定的原則 ? 滿足國家管理要求原則 ? 信息系統(tǒng)安全保護(hù)等級既不是信息系統(tǒng)安全保障等級，也不是信息系統(tǒng)所能達(dá)到的技術(shù)能力等級，而是從國家管理的需要出發(fā)，從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級。 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成，自動(dòng)化程度高。 業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成，自動(dòng)化程度中。 業(yè)務(wù)依賴程度舉例 賦值 業(yè)務(wù)系統(tǒng)影響 業(yè)務(wù)處理流程的大部分可以通過手工方式或其他方式替代完成，自動(dòng)化程度低。 3 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對全國范圍的資產(chǎn)造成損害。 2 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對較大范圍的資產(chǎn)造成損害。 1 信息系統(tǒng)因無法提供服務(wù)或無法提供有效服務(wù)會對局部范圍的資產(chǎn)造成損害。 決定信息系統(tǒng)重要性的要素 ?（三）信息系統(tǒng)服務(wù)范圍，包括服務(wù)對象和服務(wù)網(wǎng)絡(luò)覆蓋范圍 ?根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)造成的社會影響范圍大小，典型的信息系統(tǒng)服務(wù)范圍、賦值和相關(guān)影響如下表所示。 涉及國家安全利益，影響國家經(jīng)濟(jì)建設(shè)的信息。 法人和其他組織及公民的專有信息，如內(nèi)部敏感信息、關(guān)鍵技術(shù)數(shù)據(jù)、科技情報(bào)、商業(yè)秘密等。 業(yè)務(wù)信息類型舉例 賦值 業(yè)務(wù)信息的安全影響 可以對外公開發(fā)布的信息，或不對外發(fā)布的單位內(nèi)部一般信息。 3 信息系統(tǒng)資產(chǎn)受到破壞會對國家安全利益有直接影響。 2 信息系統(tǒng)資產(chǎn)受到破壞會對公共利益有直接影響，或?qū)野踩嬗虚g接影響。 1 信息系統(tǒng)資產(chǎn)受到破壞會對本單位利益有直接影響。根據(jù)社會影響高低，典型的信息系統(tǒng)所屬類型、賦值及其社會影響如下表所示。從另一個(gè)角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對國家安全、經(jīng)濟(jì)建設(shè)、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。信息系統(tǒng)是進(jìn)行等級確定和等級保護(hù)管理的最終對象。如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級。業(yè)務(wù)子系統(tǒng)應(yīng)具有信息系統(tǒng)的全部特點(diǎn)，是由計(jì)算機(jī)硬件、計(jì)算機(jī)網(wǎng)絡(luò)硬件以及安裝于這些硬件上的軟件、提供的服務(wù)以及相關(guān)人員構(gòu)成的一個(gè)有形實(shí)體，并且承載確定的業(yè)務(wù)。 ?業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對信息系統(tǒng)進(jìn)行劃分所形成的子系統(tǒng)。 ?按照信息系統(tǒng)的定義，典型的信息系統(tǒng)應(yīng)由計(jì)算機(jī)硬件設(shè)備（包括服務(wù)器設(shè)備、客戶端設(shè)備、打印機(jī)及存儲器等外圍設(shè)備）、計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備（包括交換機(jī)、路由器、各種適配器以及通信線路等）、安裝于這些硬件設(shè)備上的軟件、所提供的服務(wù)以及相關(guān)的人員構(gòu)成。 一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?信息系統(tǒng)是基于計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索和服務(wù)的人機(jī)系統(tǒng)。信息系統(tǒng)安全等級的確定是否準(zhǔn)確直接關(guān)系到是否對信息系統(tǒng)采取了足夠的安全保護(hù)措施，是否能夠?qū)⑿畔⑾到y(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度降到最低。 ?由于是已經(jīng)存在的信息系統(tǒng)，工作的重點(diǎn)應(yīng)放在系統(tǒng)定級階段如何劃分信息系統(tǒng)并確定安全等級、在安全規(guī)劃設(shè)計(jì)階段如何規(guī)劃設(shè)計(jì)出符合國家等級保護(hù)要求的安全改造方案、在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)應(yīng)用的情況下使各類安全措施可以順利落實(shí)等方面。 ? 在啟動(dòng)準(zhǔn)備階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)信息系統(tǒng)，確定各個(gè)信息系統(tǒng)的安全等級，定級過程也可能在設(shè)計(jì) /開發(fā)階段實(shí)施； ? 在設(shè)計(jì) /開發(fā)階段，應(yīng)該根據(jù)各個(gè)信息系統(tǒng)的安全等級，進(jìn)行安全需求分析，合理規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、安全保護(hù)措施等，確保各個(gè)信息系統(tǒng)按照國家等級保護(hù)的要求進(jìn)行規(guī)劃設(shè)計(jì)； ? 在實(shí)施 /實(shí)現(xiàn)階段，應(yīng)在系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的落實(shí)和實(shí)現(xiàn)； ? 在運(yùn)行維護(hù)階段，應(yīng)按照國家等級保護(hù)的要求進(jìn)行安全維護(hù)和安全管理； ? 在系統(tǒng)終止階段，應(yīng)對系統(tǒng)的廢棄過程進(jìn)行有效安全管理。 安全等級保護(hù)實(shí)施的過程與信息系統(tǒng)生命周期的關(guān)系 安全等級保護(hù)實(shí)施的過程與信息系統(tǒng)生命周期的關(guān)系 ?安全等級保護(hù)的實(shí)施分為： ? 新建信息系統(tǒng)安全等級保護(hù)的實(shí)施 ? 已建信息系統(tǒng)安全等級保護(hù)的實(shí)施 ?兩者在信息系統(tǒng)生命周期中的切入點(diǎn)是不同的。 四、安全等級保護(hù)與信息系統(tǒng)生命周期的關(guān)系 ?信息系統(tǒng)生命周期包括五個(gè)階段，即啟動(dòng)準(zhǔn)備階段、設(shè)計(jì) /開發(fā)階段、實(shí)施 /實(shí)現(xiàn)階段、運(yùn)行維護(hù)階段和系統(tǒng)終止階段。系統(tǒng)終止階段的主要活動(dòng)可能包括對信息的轉(zhuǎn)移、暫存或清除，對設(shè)備的遷移或廢棄，對存儲介質(zhì)的清除或銷毀。安全運(yùn)行維護(hù)階段需要進(jìn)行的安全控制活動(dòng)很多，如運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應(yīng)急預(yù)案等。安全管理體系的建設(shè)應(yīng)該貫穿信息系統(tǒng)的整個(gè)生命周期，涉及等級保護(hù)實(shí)施過程的各個(gè)階段。 （三）安全實(shí)施階段 ?安全實(shí)施階段通過安全方案詳細(xì)設(shè)計(jì)、安全產(chǎn)品的采購、安全控制的開發(fā)、安全控制集成、機(jī)構(gòu)和人員的配置、安全管理制度的建設(shè)、人員的安全技能培訓(xùn)等環(huán)節(jié)，將安全規(guī)劃設(shè)計(jì)階段的安全方針和策略，具體落實(shí)到信息系統(tǒng)中去，其最終的成果是提交滿足用戶安全需求的信息系統(tǒng)以及配套的安全管理體系。 （二）安全規(guī)劃設(shè)計(jì)階段 ?安全規(guī)劃設(shè)計(jì)階段通過安全需求分析判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與國家等級保護(hù)基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃等，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程的實(shí)施。 三、實(shí)施過程 ?對信息系統(tǒng)實(shí)施等級保護(hù)的過程劃分為五個(gè)階段 （一）系統(tǒng)定級階段 ?系統(tǒng)定級階段通過對信息系統(tǒng)的調(diào)查和分析進(jìn)行信息系統(tǒng)劃分，確定包括相對獨(dú)立的信息系統(tǒng)的個(gè)數(shù)，選擇合適的信息系統(tǒng)安全等級定級方法，科學(xué)、準(zhǔn)確地確定每個(gè)信息系統(tǒng)的安全等級。 等級保護(hù)實(shí)施過程中各類角色的職責(zé) ?（五）安全測評機(jī)構(gòu) ? 安全測評機(jī)構(gòu)的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營、使用單位的委托或根據(jù)信息安全監(jiān)管機(jī)構(gòu)的委托，協(xié)助信息系統(tǒng)運(yùn)營、使用單位或信息安全監(jiān)管機(jī)構(gòu)按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評估，對安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行檢查評估。 等級保護(hù)實(shí)施過程中各類角色的職責(zé) ?（三）信息系統(tǒng)安全服務(wù)商 ? 信息系統(tǒng)安全服務(wù)商的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營、使用單位的委托，按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營、使用單位完成等級保護(hù)的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級、進(jìn)行安全需求分析、進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工等。 等級保護(hù)實(shí)施過程中各類角色的職責(zé) ?（一）信息系統(tǒng)主管部門 ? 主要責(zé)任： ? 做好下屬單位的等級保護(hù)監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行等級保護(hù)； ? 對下屬單位確定的信息系統(tǒng)安全等級進(jìn)行審批； ? 督促下屬單位定期進(jìn)行安全狀況檢測評估，及時(shí)消除安全隱患和漏洞等。 二、參與角色和職責(zé) ?信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)中的 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)實(shí)施指南 》 ，將參與等級保護(hù)過程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運(yùn)營、使用單位；主要角色將參與等級保護(hù)實(shí)施過程的所有活動(dòng) ? 次要角色：是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測評機(jī)構(gòu)和安全產(chǎn)品供應(yīng)商。 ?（四）適當(dāng)調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。 ?（二）同步建設(shè)原則 ? 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 第二節(jié) 信息安全等級保護(hù)實(shí)施 ?一、基本原則 ?二、參與角色和職責(zé) ?三、實(shí)施過程 ?四、安全等級保護(hù)與信息系統(tǒng)生命周期的關(guān)系 一、基本原則 ?等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。安全控制測評，主要是測評信息系統(tǒng)安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施和配置情況；系統(tǒng)整體測評，主要對信息系統(tǒng)的整體安全性進(jìn)行測評。為了規(guī)范安全等級保護(hù)的測評活動(dòng)， 《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 對每一特定安全級別的信息系統(tǒng)從技術(shù)措施和管理措施兩方面提出了測評要求。 （十） 《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 ?各單位對信息系統(tǒng)安全等級保護(hù)的實(shí)施力度和遵循情況，不僅需要各單位自身進(jìn)行檢查和評估，而且需要信息安全監(jiān)管職能部門依法進(jìn)行監(jiān)督、檢查。其中，技術(shù)措施的要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)不同層次；管理手段的要求分為安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)行維護(hù)管理五個(gè)不同類別。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 為安全等級保護(hù)的每一個(gè)級別（共五個(gè)級別）都規(guī)定了要實(shí)現(xiàn)的安全目標(biāo)，以及為了實(shí)現(xiàn)安全目標(biāo)所必須采用的技術(shù)措施和管理手段。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護(hù)等級定級指南》 中的標(biāo)準(zhǔn)方法，明確確定本單位信息系統(tǒng)的安全等級，一旦等級確定完成，后續(xù)的建設(shè)和運(yùn)行維護(hù)工作，再參考 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 實(shí)施。 （八