【正文】 系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn) ?我國(guó)正式頒布的信息系統(tǒng)安全等級(jí)保護(hù)的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)是 GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ，該準(zhǔn)則于 1999年 9月 13日經(jīng)國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布， 2023年 1月 1日起實(shí)施。 （一） GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ?GB 17859 — 1999是建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度，實(shí)施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。 （一） GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 ? GB 17859 — 1999規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)； ?定義了計(jì)算機(jī)信息系統(tǒng)、計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)、客體、主體、敏感標(biāo)記、安全策略、信道、隱蔽信道、訪問監(jiān)控器； ?描述了五個(gè)等級(jí)的細(xì)則。 ? GA/T 390 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 》 作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列的基礎(chǔ)標(biāo)準(zhǔn)，詳細(xì)說明了計(jì)算機(jī)信息系統(tǒng)為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求應(yīng)采取的通用的安全技術(shù)，以及為確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性而采取的保證措施，并將對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的要求，從技術(shù)要求方面進(jìn)行詳細(xì)描述。 ? （ 2）安全保證技術(shù)要求，包括 TCB自身安全保護(hù)、TCB設(shè)計(jì)和實(shí)現(xiàn)、 TCB安全管理。 （三） GA/T 388 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施 ?該標(biāo)準(zhǔn)作為計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的操作系統(tǒng)，主要從對(duì)操作系統(tǒng)的安全等級(jí)進(jìn)行劃分來說明其技術(shù)要求，即主要說明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求對(duì)操作系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)的差異。 （四） GA/T 389 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施。 ?對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 ? （ 2）五個(gè)安全等級(jí)劃分要求技術(shù)方面細(xì)則。 ?對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 ? （ 2）詳細(xì)描述了網(wǎng)絡(luò)基本安全技術(shù)，包括自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、用戶身份鑒別、剩余信息保護(hù)、安全審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)、抗抵賴、密碼支持等。 ? （ 4）五個(gè)安全等級(jí)劃分要求技術(shù)方面細(xì)則。 ?該標(biāo)準(zhǔn)作為 GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 的管理要求，是根據(jù) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 的規(guī)定編寫的，是 GB 17859 — 1999的配套標(biāo)準(zhǔn)中的重要標(biāo)準(zhǔn)之一，與上述所介紹的技術(shù)要求共同組成計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)保護(hù)體系。管理層面貫穿其他五個(gè)層面，是其他五個(gè)層面實(shí)施安全等級(jí)保護(hù)的保證。 ? （ 2）五個(gè)安全等級(jí)劃分要求管理方面細(xì)則。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?根據(jù) 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 中等級(jí)保護(hù)實(shí)施的生命周期，要對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)，首先就要科學(xué)地確定信息系統(tǒng)的安全等級(jí)， 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 給出了如何對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行確定的規(guī)范化規(guī)定和描述。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 為各單位開展、實(shí)施等級(jí)保護(hù)提供了一個(gè)通用標(biāo)準(zhǔn)奠定了堅(jiān)實(shí)的基礎(chǔ)。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)的基本要求，包括基本技術(shù)要求和基本管理要求，適用于不同安全等級(jí)的信息系統(tǒng)的安全保護(hù)。每一級(jí)別的技術(shù)措施和管理手段具體要求都被明確提出并分類組織。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 為安全等級(jí)保護(hù)的每一級(jí)別所規(guī)定的技術(shù)措施和管理手段的要求，各單位應(yīng)當(dāng)根據(jù)本單位信息系統(tǒng)安全級(jí)別的具體情況嚴(yán)格遵循。評(píng)價(jià)信息系統(tǒng)是否達(dá)到了相應(yīng)級(jí)別的安全保護(hù)要求的過程，是對(duì)信息系統(tǒng)等級(jí)保護(hù)進(jìn)行測(cè)評(píng)的活動(dòng)。 （十） 《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 ?《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 將測(cè)評(píng)分為安全控制測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩方面。安全控制測(cè)評(píng)是信息系統(tǒng)整體安全性測(cè)評(píng)的基礎(chǔ)。 ?等級(jí)保護(hù)在實(shí)施過程中應(yīng)遵循以下基本原則： ?（一）自主保護(hù)原則 ? 由各主管部門和運(yùn)營(yíng)、使用單位按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級(jí)，自行組織實(shí)施安全保護(hù)。 一、基本原則 ?（三）重點(diǎn)保護(hù)原則 ? 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同的安全等級(jí)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。因?yàn)樾畔⑾到y(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級(jí)，根據(jù)信息系統(tǒng)安全等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。次要角色將參與等級(jí)保護(hù)實(shí)施過程的某一個(gè)或多個(gè)活動(dòng)。 等級(jí)保護(hù)實(shí)施過程中各類角色的職責(zé) ?（二）信息系統(tǒng)運(yùn)營(yíng)、使用單位 ? 信息系統(tǒng)運(yùn)營(yíng)、使用單位的主要責(zé)任是按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全等級(jí)，并報(bào)其主管部門審批同意；對(duì)安全等級(jí)在三級(jí)以上的信息系統(tǒng)，報(bào)送本地區(qū)地市級(jí)公安機(jī)關(guān)備案；根據(jù)已經(jīng)確定的安全等級(jí)，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工；采購和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施；對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評(píng)估，發(fā)現(xiàn)問題及時(shí)整改；加強(qiáng)和完善自身等級(jí)保護(hù)制度的建設(shè)，加強(qiáng)自我保護(hù)；定期進(jìn)行安全狀況檢測(cè)評(píng)估，及時(shí)消除安全隱患和漏洞，建立安全制度，制定不同等級(jí)信息安全事件的響應(yīng)、處置預(yù)案，加強(qiáng)信息系統(tǒng)的安全管理。 等級(jí)保護(hù)實(shí)施過程中各類角色的職責(zé) ?（四）信息安全監(jiān)管機(jī)構(gòu) ? 信息安全監(jiān)管機(jī)構(gòu)的主要責(zé)任是對(duì)不同重要程度的信息系統(tǒng)的等級(jí)保護(hù)工作給予相應(yīng)的指導(dǎo)，確保等級(jí)保護(hù)工作順利開展；按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點(diǎn)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的等級(jí)保護(hù)狀況進(jìn)行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達(dá)到等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的要限期整改，使信息系統(tǒng)的安全保護(hù)措施更加完善；對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品的等級(jí)進(jìn)行監(jiān)督檢查。 等級(jí)保護(hù)實(shí)施過程中各類角色的職責(zé) ?（六）安全產(chǎn)品供應(yīng)商 ? 安全產(chǎn)品供應(yīng)商的主要責(zé)任是按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，開發(fā)符合等級(jí)保護(hù)要求的信息安全產(chǎn)品；提交信息安全產(chǎn)品進(jìn)行安全等級(jí)測(cè)評(píng)并按照等級(jí)保護(hù)要求銷售信息安全產(chǎn)品。 ?通常情況下，系統(tǒng)定級(jí)階段包括系統(tǒng)識(shí)別和描述、信息系統(tǒng)劃分和安全等級(jí)確定等幾個(gè)主要活動(dòng)。 ?通常情況下，安全規(guī)劃設(shè)計(jì)階段包括安全需求分析、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃等幾個(gè)主要活動(dòng)。 ?通常情況下，安全實(shí)施階段包括安全方案詳細(xì)設(shè)計(jì)、等級(jí)保護(hù)安全測(cè)評(píng)、等級(jí)保護(hù)技術(shù)實(shí)施和等級(jí)保護(hù)管理實(shí)施等幾個(gè)主要活動(dòng)。 （四）安全運(yùn)行維護(hù)階段 ?安全運(yùn)行維護(hù)階段將介紹運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控以及安全事件處置和應(yīng)急預(yù)案等過程；通過運(yùn)行管理和控制、變更管理和控制、對(duì)安全狀態(tài)進(jìn)行監(jiān)控、對(duì)發(fā)生的安全事件及時(shí)響應(yīng)，確保信息系統(tǒng)正常運(yùn)行；通過安全檢查和持續(xù)改進(jìn)不斷跟蹤信息系統(tǒng)的變化，并依據(jù)變化進(jìn)行調(diào)整，確保信息系統(tǒng)滿足相應(yīng)等級(jí)的安全要求，處于良好安全狀態(tài)。 （五）系統(tǒng)終止階段 ?系統(tǒng)終止階段是對(duì)信息系統(tǒng)的過時(shí)或無用部分進(jìn)行報(bào)廢處理的過程，主要涉及對(duì)信息、設(shè)備、存儲(chǔ)介質(zhì)或整個(gè)信息系統(tǒng)的廢棄處理。系統(tǒng)終止階段遷移或廢棄系統(tǒng)組件時(shí)，核心關(guān)注點(diǎn)是防止敏感信息泄漏。 ?安全等級(jí)保護(hù)實(shí)施活動(dòng)與信息系統(tǒng)生命周期中的其他活動(dòng)有著不可分割的關(guān)系；同時(shí)，安全等級(jí)保護(hù)實(shí)施活動(dòng)又有自己的特點(diǎn)，安全等級(jí)保護(hù)工作將貫穿信息系統(tǒng)生命周期的各個(gè)階段。 新建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ? 新建信息系統(tǒng)在生命周期中的各個(gè)階段應(yīng)同步考慮安全等級(jí)保護(hù)實(shí)施的主要活動(dòng)。 已建信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施 ?已建信息系統(tǒng)通常處于系統(tǒng)運(yùn)行維護(hù)階段，但由于在啟動(dòng)準(zhǔn)備階段、設(shè)計(jì) /開發(fā)階段和實(shí)施 /實(shí)現(xiàn)階段可能沒有同步考慮國(guó)家等級(jí)保護(hù)的要求，因此，應(yīng)在信息系統(tǒng)運(yùn)行維護(hù)階段開始啟動(dòng)等級(jí)保護(hù)工作，等級(jí)保護(hù)實(shí)施過程中的系統(tǒng)定級(jí)階段、安全規(guī)劃設(shè)計(jì)階段、安全實(shí)施階段的主要活動(dòng)都將在信息系統(tǒng)生命周期的系統(tǒng)運(yùn)行維護(hù)階段完成。 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?一、信息系統(tǒng)和業(yè)務(wù)子系統(tǒng) ?二、決定信息系統(tǒng)安全保護(hù)等級(jí)的因素 ?三、確定信息系統(tǒng)安全保護(hù)等級(jí)的步驟 ?四、信息系統(tǒng)安全保護(hù)等級(jí)的確定方法 ?五、定級(jí)案例分析 第三節(jié) 信息系統(tǒng)安全等級(jí)確定 ?系統(tǒng)定級(jí)是實(shí)施等級(jí)保護(hù)的前提和基礎(chǔ)。 ?《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 中闡述了如何對(duì)信息系統(tǒng)的安全級(jí)別進(jìn)行定級(jí)，提出了量化流程和方法，各行業(yè)信息系統(tǒng)的主管部門可以根據(jù)該指南制定適合本行業(yè)或部門的具體定級(jí)方法和指導(dǎo)意見。 ?業(yè)務(wù)子系統(tǒng)由信息系統(tǒng)的一部分組件構(gòu)成，是信息系統(tǒng)中能夠承載某項(xiàng)業(yè)務(wù)工作的子系統(tǒng)。信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。業(yè)務(wù)子系統(tǒng)是信息系統(tǒng)中可以為定級(jí)要素賦值的最小單元。 ?如果信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定安全等級(jí)，不必劃分業(yè)務(wù)子系統(tǒng)。信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。 二、決定信息系統(tǒng)安全保護(hù)等級(jí)的因素 ?信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度決定。 決定信息系統(tǒng)重要性的要素 ? （一）信息系統(tǒng)所屬類型，即信息系統(tǒng)資產(chǎn)的安全利益主體 ? 信息系統(tǒng)所屬類型在較大程度上決定了信息系統(tǒng)受到破壞后對(duì)其社會(huì)價(jià)值的影響程度。 信息系統(tǒng)所屬類型舉例 賦值 信息系統(tǒng)的社會(huì)影響 屬于一般企事業(yè)單位處理其內(nèi)部事務(wù)的信息系統(tǒng)。 屬于重要行業(yè)、重要領(lǐng)域和國(guó)家基礎(chǔ)設(shè)施為國(guó)計(jì)民生、經(jīng)濟(jì)建設(shè)等提供重要服務(wù)的信息系統(tǒng)，或本身雖屬于一般企事業(yè)單位，但為黨政或重要信息系統(tǒng)提供支撐服務(wù)的信息系統(tǒng)。 屬于黨政機(jī)關(guān)處理國(guó)家事務(wù)的信息系統(tǒng)。 決定信息系統(tǒng)重要性的要素 ? （二）信息系