信息安全等級保護(hù)操作的指南和操作流程圖

信息安全等級保護(hù)操作流程信息系統(tǒng)定級定級工作實(shí)施范圍“關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知”對于重要信息系統(tǒng)的范圍規(guī)定如下：〔一〕電信、廣電行業(yè)的公用通信網(wǎng)、播送電視傳輸網(wǎng)等根底信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息效勞單位、互聯(lián)網(wǎng)接入效勞單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)?！捕宠F路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、進(jìn)展改革、國防科技、公安、人事勞動和社會保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政治理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、治理、辦公等重要信息系統(tǒng)?！踩呈小驳亍臣壱陨宵h政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)?！菜摹成婕皣译[秘的信息系統(tǒng)〔。注：跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。涉密信息系統(tǒng)的等級確定依據(jù)國家的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。定級依據(jù)標(biāo)準(zhǔn)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意辦發(fā)【2023】27號文件〕2023】66號文件〕《電子政務(wù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南〔國信辦【2023】25號文件〕2023】43號文件〕《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》《電子政務(wù)信息安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)定級指南》《信息系統(tǒng)安全等級保護(hù)根本要求》《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)測評指南》定級工作流程信息系統(tǒng)調(diào)查確定定級對象定級要素分析信息系統(tǒng)調(diào)查確定定級對象定級要素分析網(wǎng)絡(luò)拓?fù)湔{(diào)查資產(chǎn)信息調(diào)查效勞信息調(diào)查……治理機(jī)構(gòu)分析業(yè)務(wù)類型分析物理位置分析運(yùn)行環(huán)境分析……業(yè)務(wù)信息分析系統(tǒng)效勞分析綜合分析確定等級……編寫定級報(bào)告編寫定級報(bào)告……幫助定級備案幫助評審審批形成最終報(bào)告幫助定級備案信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過一系列的信息系統(tǒng)狀況調(diào)查表對信息系統(tǒng)根本狀況進(jìn)展摸底調(diào)查，全面把握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用、效勞范圍、系統(tǒng)構(gòu)造、治理組織和治理方式等根本狀況。同時，通過信息系統(tǒng)調(diào)查還可以明確信息系統(tǒng)存在的資產(chǎn)價值、威逼等級、風(fēng)險(xiǎn)等級以及可能造成的影響客體、影響范圍等根本狀況。信息系統(tǒng)調(diào)查結(jié)果將作為信息系統(tǒng)安全等級保護(hù)定級工作的主要依據(jù)，保證定級結(jié)果的客觀、合理和準(zhǔn)確。調(diào)查工具表通常，信息系統(tǒng)調(diào)查工具表包括系統(tǒng)資產(chǎn)調(diào)查表、系統(tǒng)應(yīng)用調(diào)查表、和治理信息調(diào)查表等。系統(tǒng)資產(chǎn)調(diào)查表用于調(diào)查信息系統(tǒng)的根本狀況，主要包括主機(jī)、網(wǎng)絡(luò)設(shè)備、人員、人員、效勞等信息。在調(diào)查過程中，可以得到系統(tǒng)資產(chǎn)的根本信息、主要用途、重要程度、效勞對象等相關(guān)信息。系統(tǒng)應(yīng)用調(diào)查表用于明確系統(tǒng)應(yīng)用的根本狀況。明確各個系統(tǒng)應(yīng)用的拓?fù)湫畔?、邊界信息、?yīng)用架構(gòu)、數(shù)據(jù)流等根本狀況，為確定和分析定級對象供給具體信息。治理信息調(diào)查表用于明確信息系統(tǒng)的組織構(gòu)造、隸屬關(guān)系等治理信息。調(diào)查方法信息系統(tǒng)調(diào)查的實(shí)施包括信息收集、訪談和核查三個步驟。信息收集幫助信息系統(tǒng)使用治理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫工作，同時收集信息系統(tǒng)所涉及的一系列訪談核查對調(diào)查表中的信息進(jìn)展驗(yàn)證的過程，驗(yàn)證包括檢查和測試等方式。確定定級對象一個單位可能運(yùn)行了比較浩大的信息系統(tǒng)，為了重點(diǎn)保護(hù)重要局部，有效掌握信息安全建設(shè)和治理本錢，優(yōu)化信息安全資源配置等保護(hù)原則，可將較大的信息系統(tǒng)劃分為假設(shè)干個較小的、相對獨(dú)立的、具有不同安全保護(hù)等級的定級對象。這樣，可以保證信息系統(tǒng)安全建設(shè)能夠突出重點(diǎn)、兼顧一般。根本原則假設(shè)信息系統(tǒng)只承載一項(xiàng)業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級，不必劃分業(yè)務(wù)子系統(tǒng)。假設(shè)信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)依據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成假設(shè)干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級，信息系統(tǒng)的安全保護(hù)等級由各業(yè)務(wù)子系統(tǒng)的最高等級打算。信息系統(tǒng)是進(jìn)展等級確定和等級保護(hù)治理的最終對象。主要劃分原則有：一、 具有唯一確定的安全責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。假設(shè)一個單位的某個下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；假設(shè)一個單位中的不同下級單位分別擔(dān)當(dāng)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。二、具有信息系統(tǒng)的根本要素作為定級對象的信息系統(tǒng)應(yīng)當(dāng)是由相關(guān)的和配套的設(shè)備、設(shè)施依據(jù)肯定的應(yīng)用目標(biāo)和規(guī)章組合而成的有形實(shí)體。應(yīng)避開將某個單一的系統(tǒng)組件，如效勞器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。三、 承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨(dú)享全部信息處理設(shè)備。定級”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。信息系統(tǒng)的劃分方法一個組織機(jī)構(gòu)內(nèi)可能運(yùn)行一個或多個信息系統(tǒng)，這些信息系統(tǒng)的安全保護(hù)等級可以是一樣的，也可以是不同的。為表達(dá)重點(diǎn)保護(hù)重要信息系統(tǒng)安全，有效掌握信息安全建設(shè)本錢，優(yōu)化信息安全資源配置的等級保護(hù)原則，在進(jìn)展信息系統(tǒng)的劃分時應(yīng)考慮以下幾個方面：一、 一樣的治理機(jī)構(gòu)信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)在同一個治理機(jī)構(gòu)的治理掌握之下，可以保證遵循一樣的安全治理策略。二、 一樣的業(yè)務(wù)類型信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有一樣的業(yè)務(wù)類型，安全需求相近，可以保證遵循一樣的安全策略。三、 一樣的物理位置或相像的運(yùn)行環(huán)境信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有一樣的物理位置或相像的運(yùn)行環(huán)境意味著系統(tǒng)所面臨的威逼相像，有利于實(shí)行統(tǒng)一的安全保護(hù)。定級要素分析通過針對定級對象分別進(jìn)展業(yè)務(wù)信息安全分析和系統(tǒng)效勞安全分析，最終確定信息系統(tǒng)安全等級保護(hù)系統(tǒng)等級。在進(jìn)展業(yè)務(wù)信息安全分析和系統(tǒng)效勞安全分析時，充分考慮行業(yè)特點(diǎn)、業(yè)務(wù)應(yīng)用特點(diǎn)等因素，細(xì)化受侵害客體組成及損害程度判定要素，從而確保信息系統(tǒng)定級的合理準(zhǔn)確。定級流程依據(jù)定級流程，在定級要素分析時需對業(yè)務(wù)信息安全等級和系統(tǒng)效勞安全等級進(jìn)展分析，分析內(nèi)容包括確定受侵害的客體、確定對客體的侵害程度，從而確定相應(yīng)的業(yè)務(wù)信息安全等級和系統(tǒng)效勞安全等級。最終，綜合業(yè)務(wù)信息安全等級和系統(tǒng)效勞安全等級得到信息系統(tǒng)安全等級保護(hù)系統(tǒng)等級。確定受侵害客體定級對象收到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益及公民、法人和其他組織的合法權(quán)益。國家安全影響國家政權(quán)穩(wěn)固和國防實(shí)力；影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定；影響國家對外活動中的政治、經(jīng)濟(jì)利益；影響國家重要的安全保衛(wèi)工作；影響國家經(jīng)濟(jì)競爭力和科技實(shí)力；其他影響國家安全的事項(xiàng)。社會秩序影響國家機(jī)關(guān)社會治理和公共效勞的工作秩序；影響各種類型的經(jīng)濟(jì)活動秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德標(biāo)準(zhǔn)下的正常生活秩序等；其他影響社會秩序的事項(xiàng)。公共利益影響社會成員使用公共設(shè)施；影響社會成員獵取公開信息資源；影響社會成員承受公共效勞等方面；其他影響公共利益的事項(xiàng)。公民、法人和其他組織 由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的肯定的社會權(quán)利和利益。確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先推斷是否侵害國家安全，然后推斷是否侵害社會秩序或公眾利益，最終推斷是否侵害公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定信息和信息系統(tǒng)受到破壞時所侵害的客體。確定對客體的損害程度在針對不同的受侵害客體進(jìn)展侵害程度的推斷時，應(yīng)參照以下的判別基準(zhǔn)。 假設(shè)受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為推斷侵害程度的基準(zhǔn)。 假設(shè)受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為推斷侵害程度的基準(zhǔn)。不同危害后果的三種危害程度危害程度描述如下：一般損害工作職能受到局部影響，業(yè)務(wù)力量有所降低但不影響主要功能的執(zhí)行，消滅較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴(yán)峻損害工作職能受到嚴(yán)峻影響，業(yè)務(wù)力量顯著下降且嚴(yán)峻影響主要功能執(zhí)行，消滅較嚴(yán)峻的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)峻損害。特別嚴(yán)峻損害工作職能受到特別嚴(yán)峻影響或喪失行使力量，業(yè)務(wù)力量嚴(yán)峻下降且或功能無法執(zhí)行，消滅極其嚴(yán)峻的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成格外嚴(yán)峻損害。確定定級對象的安全保護(hù)等級在確定完成受侵害客體以及對客體的侵害程度后，依據(jù)表1分別確定業(yè)務(wù)信息安全等級和系統(tǒng)效勞安全等級。作為定級對象的信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)效勞安全等級的較對客體的侵害程度受侵害的客體對客體的侵害程度受侵害的客體1定級要素與安全保護(hù)等級的關(guān)系公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全一般損害嚴(yán)峻損害特別嚴(yán)峻損害第一級其次級其次級其次級第三級第四級第三級第四級第五級編寫定級報(bào)告依據(jù)定級過程和定級結(jié)果，編寫初步信息系統(tǒng)定級報(bào)告。幫助定級備案在完成初步定級報(bào)告后，幫助信息系統(tǒng)治理使用單位進(jìn)展評審與審批，并最終確定定級報(bào)告，完成信息系統(tǒng)備案工作。等級測試工作內(nèi)容等級測評是信息安全等級保護(hù)實(shí)施中的一個重要環(huán)節(jié)。等級測評是指具有相關(guān)資質(zhì)的、獨(dú)立的第三方評測效勞機(jī)構(gòu)，對信息系統(tǒng)的等級保護(hù)落實(shí)狀況與信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)要求之間的符合程度的測試判定。依據(jù)標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》《信息系統(tǒng)安全等級保護(hù)根本要求》《信息系統(tǒng)安全等級保護(hù)定級指南》《電子政務(wù)信息安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)測評指南》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》《信息安全技術(shù)網(wǎng)絡(luò)根底安全技術(shù)要求》《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》《信息安全技術(shù)數(shù)據(jù)庫治理系統(tǒng)安全技術(shù)要求》《信息安全技術(shù)效勞器技術(shù)要求》《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》等級評測內(nèi)容根本內(nèi)容對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)展測試評估，應(yīng)包括兩個方面的內(nèi)容：一是安全掌握測評，主要測評信息安全等級保護(hù)要求的根本安全掌握在信息系統(tǒng)中的實(shí)施配置狀況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全掌握測評是信息系統(tǒng)整體安全測評的根底。對安全掌握測評的描述，使用工作單元方式組織。工作單元分為安全技術(shù)測評和安全治理測評兩大類。安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個層面上的安全掌握測評；安全治理測評包括：安全治理機(jī)構(gòu)、安全治理制度、人員安全治理、系統(tǒng)建設(shè)治理和系統(tǒng)運(yùn)維治理等五個方面的安全掌握測評。信息系統(tǒng)等級測評安全掌握測評系統(tǒng)整體測評安全技術(shù)測評安全治理測評安全掌握間層面間區(qū)域間物理安全網(wǎng)絡(luò)安全主機(jī)系統(tǒng)安全治理機(jī)構(gòu)安全治理制度不同信息系統(tǒng)之間整體安全性整體構(gòu)造安全人員安全治理系統(tǒng)建設(shè)治理系統(tǒng)運(yùn)維治理系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)?、局部?gòu)造，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全掌握配置，與特定信息系統(tǒng)的信息系統(tǒng)等級測評安全掌握測評系統(tǒng)整體測評安全技術(shù)測評安全治理測評安全掌握間層面間區(qū)域間物理安全網(wǎng)絡(luò)安全主機(jī)系統(tǒng)安全治理機(jī)構(gòu)安全治理制度不同信息系統(tǒng)之間整體安全性整體構(gòu)造安全人員安全治理系統(tǒng)建設(shè)治理系統(tǒng)運(yùn)維治理應(yīng)數(shù)安用據(jù)全安安全全1等級測評根本內(nèi)容等級測評工作單元工作單元是安全測評的根本工作單位，對應(yīng)一組相對獨(dú)立和完整的測評內(nèi)容。工作單元由測評項(xiàng)、測評對象、測評方式、測評實(shí)施2示。2工作單元構(gòu)成測評項(xiàng)描述測評目的和測評內(nèi)容，與信息安全等級保護(hù)要求的根本安全掌握要求相全都。測評方式是指測評人員依據(jù)測評目的和測評內(nèi)容應(yīng)選取的、實(shí)施特定測評操作的方式方法，包括三種根本測評方式：訪談、檢查和測試。測評對象是測評實(shí)施過程中涉及到的信息系統(tǒng)的構(gòu)成成分，是客觀存在的人員、文檔、機(jī)制或者設(shè)備等。測評對象是依據(jù)該工作單元中的測評項(xiàng)要求提出的，與測評項(xiàng)的要求相適應(yīng)。一般來說，實(shí)施測評時，面臨的具體測評對象可以是單個人員、文檔、機(jī)制或者設(shè)備等，也可能是由多個人員、文檔、機(jī)制或者設(shè)備等構(gòu)成的集合，它們分別需要使用到某個特定安全掌握的功能。測評實(shí)施是工作單元的主要組成局部，它是依據(jù)測評目的，針對具體測評內(nèi)容開發(fā)出來的具體測評執(zhí)行實(shí)施過程要求。測評實(shí)施描/或應(yīng)當(dāng)取得的測評結(jié)果。結(jié)果判定描述測評人員執(zhí)行完測評實(shí)施過程，產(chǎn)生各種測評證據(jù)后，如何依據(jù)這些測評證據(jù)來判定被測系統(tǒng)是否滿足測評項(xiàng)要求的方法和原則。在給出整個工作單元的測評結(jié)論前，需要先給出單項(xiàng)測評實(shí)施過程的結(jié)論。一般來說，單項(xiàng)測評實(shí)施過程的結(jié)論判定不是直接的，常常需要測評人員的主觀推斷，通常認(rèn)為取得正確的、關(guān)鍵性證據(jù)，該單項(xiàng)測評實(shí)施過程就得到滿足。某些安全掌握可能在多個具體測評對象上實(shí)現(xiàn)〔在測評時覺察只有局部測評對象上的安全掌握滿足要求，它們的結(jié)果判定應(yīng)依據(jù)實(shí)際狀況給出。測評方法主要承受訪談、檢查、測試等方法進(jìn)展等級保護(hù)測評。一、 訪談〔interview〕測評人員通過與信息系統(tǒng)相關(guān)人員〔/群體〕進(jìn)展溝通、討論等活動，獵取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法。使用各類調(diào)查問卷和訪談大綱實(shí)施訪談。二、 檢查〔examine〕不同于行政執(zhí)法意義上的監(jiān)視檢查，而是指測評人員通過對測評對象進(jìn)展觀看、查驗(yàn)、分析等活動，獵取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法?？梢允褂酶鞣N檢查表和相應(yīng)的安全調(diào)查工具實(shí)施檢查。三、測試〔test〕/工具使其產(chǎn)生特定的行為等活動，查看、分析輸出結(jié)果，獵取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法。包括功能測試和滲透性測試、系統(tǒng)漏洞掃描等。：等級測評的一個重要內(nèi)容是對測試目標(biāo)進(jìn)展脆弱性分析，探知產(chǎn)品或系統(tǒng)安全脆弱性的存在，其主要目的是確定測試目標(biāo)能夠抵抗具有不同等級攻擊潛能的攻擊者發(fā)起的滲透性攻擊。因此，滲透性測試就是在測試目標(biāo)預(yù)期使用環(huán)境下進(jìn)展的測試，以確定測試目標(biāo)中潛在的脆弱性的可利用程度。要是利用掃描工具對系統(tǒng)進(jìn)展自動檢查，依據(jù)漏洞庫的描述對系統(tǒng)進(jìn)展模擬攻擊測試，假設(shè)系統(tǒng)被成功入侵，說明存在漏洞。主要分為網(wǎng)絡(luò)漏洞掃描和主機(jī)漏洞掃描等方式。等級測評工作流程一、 測評預(yù)備階段本階段是開呈現(xiàn)場測評工作的前提和根底，是整個等級測評過程有效性的保證。測評預(yù)備工作是否充分直接關(guān)系到現(xiàn)場測評工作能否順當(dāng)開展。本階段的主要工作是把握被測方系統(tǒng)的具體狀況和為實(shí)施現(xiàn)場測評做好方案、文檔及測試工具等方面的預(yù)備。二、 現(xiàn)場實(shí)施階段本階段是開展等級測評工作的關(guān)鍵階段。本階段的主要工作是依據(jù)測評方案的總體要求，嚴(yán)格執(zhí)行作業(yè)指導(dǎo)書，分步實(shí)施全部測評工程，包括單項(xiàng)測評和系統(tǒng)整體測評兩個方面，以了解系統(tǒng)的真實(shí)保護(hù)狀況，獵取足夠證據(jù)，覺察系統(tǒng)存在的安全問題。三、 分析與報(bào)告編制階段該階段是等級測評工作的最終環(huán)節(jié)，是對被測方系統(tǒng)整體安全保護(hù)力量的綜合評價過程。主要工作是依據(jù)現(xiàn)場測評結(jié)果和《測評準(zhǔn)則》的有關(guān)要求，通過單項(xiàng)測評結(jié)論判定和系統(tǒng)整體測評分析等方法，分析整個系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級的保護(hù)要求之間的差距，編制測評報(bào)告。3示。等級測評工程啟動測評預(yù)備階段等級測評工程啟動測評預(yù)備階段信息收集和分析編制測評方案工具和文檔預(yù)備溝通與洽談現(xiàn)場實(shí)施階段方案確認(rèn)和資源協(xié)調(diào)現(xiàn)場測評和記錄結(jié)果結(jié)果確認(rèn)和資料歸還分析與報(bào)告編制階段分析測評結(jié)果編制測評報(bào)告3等級測評根本流程系統(tǒng)整體測評系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)?、局部?gòu)造，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全掌握配置，與特定信息系統(tǒng)的實(shí)際狀況嚴(yán)密相關(guān)，內(nèi)容簡單且布滿系統(tǒng)共性。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。首先測評人員應(yīng)依據(jù)特定信息系統(tǒng)的具體狀況，結(jié)合標(biāo)準(zhǔn)要求，確定系統(tǒng)整體測評的具體內(nèi)容。其次在安全掌握測評的根底上，重點(diǎn)考慮安全掌握間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，測評安全掌握間、層面間和區(qū)域間是否存在安全功能上的增加、補(bǔ)充和減弱作用，最終才能得出測評結(jié)論。安全掌握間安全測評安全掌握間的安全測評主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全掌握間存在的功能增加、補(bǔ)充或減弱等關(guān)聯(lián)作用。安全功能上的增加和補(bǔ)充可以使兩個不同強(qiáng)度、不同等級的安全掌握發(fā)揮更強(qiáng)的綜合效能，可以使單個低等級安全掌握在特定環(huán)境中到達(dá)高等級信息系統(tǒng)的安全要求。安全功能上的減弱會使一個安全掌握的引入影響另一個安全掌握的功能發(fā)揮或者給其帶來的脆弱性。例如，某金融機(jī)構(gòu)的核心系統(tǒng)，它的訪問路徑未承受SSL加密設(shè)置，簡潔導(dǎo)致數(shù)據(jù)被嗅探和非法篡改，但核心系統(tǒng)承受SSL對網(wǎng)絡(luò)上數(shù)據(jù)傳輸進(jìn)展加密，可以有效保護(hù)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?。所以，在進(jìn)展測評綜合判定時，該測評項(xiàng)就可以判為通過。層面間安全測評層面間的安全測評主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增加、補(bǔ)充和減弱等關(guān)聯(lián)作用。安全功能上的增加和補(bǔ)充可以使兩個不同層面上的安全掌握發(fā)揮更強(qiáng)的綜合效能，可以使單個低等級安全掌握在特定環(huán)境中到達(dá)高等級信息系統(tǒng)的安全要求。安全功能上的減弱會使一個層面上的安全掌握影響另一個層面安全掌握的功能發(fā)揮或者給其帶來的脆弱性。例如，某金融機(jī)構(gòu)，它的網(wǎng)絡(luò)核心設(shè)備對內(nèi)部的訪問掌握存在缺乏，安全風(fēng)險(xiǎn)主要來自內(nèi)部人員的誤用、濫用和惡用，但是它的教育、治理和考核制度都比較完善，對內(nèi)部員工要求也比較嚴(yán)格，所以在肯定程度上降低了這種來自內(nèi)部的風(fēng)險(xiǎn)，對網(wǎng)絡(luò)訪問掌握進(jìn)展了相應(yīng)的補(bǔ)充和增加。區(qū)域間安全測評區(qū)域間的安全測評主要考慮互連互通〔包括物理上和規(guī)律上的互連互通等〕的不同區(qū)域之間存在的安全功能增加、補(bǔ)充和減弱等關(guān)聯(lián)作用，特別是有數(shù)據(jù)交換的兩個不同區(qū)域。安全功能上的增加和補(bǔ)充可以使兩個不同區(qū)域上的安全掌握發(fā)揮更強(qiáng)的綜合效能，可以使單個低等級安全掌握在特定環(huán)境中到達(dá)高等級信息系統(tǒng)的安全要求。安全功能上的減弱會使一個區(qū)域上的安全功能影響另一個區(qū)域安全功能的發(fā)揮或者給其帶來的脆弱性。例如，某金融機(jī)構(gòu)的核心數(shù)據(jù)機(jī)房位于中心機(jī)房內(nèi)部，它只有一個出入口，該出入口在中24小時專人值守等措施，可以解決核心數(shù)據(jù)機(jī)房區(qū)域上的物理訪問掌握等相應(yīng)措施的安全功能，使其到達(dá)該區(qū)域物理安全所要求的安全保護(hù)強(qiáng)度。全面生疏和正確實(shí)施信息安全等級保護(hù)全面生疏信息安全等級保護(hù)信息安全等級保護(hù)信息安全等級保護(hù)的各項(xiàng)工作是圍繞對信息系統(tǒng)的安全等級保護(hù)開展的。全面生疏信息安全等級保護(hù)，需要確立以下根本觀點(diǎn)： 整體看，信息安全等級保護(hù)是制度；分開看，信息安全是目的，等級保護(hù)是方法；對信息安全劃分等級是治理的需要；信息安全是圍繞信息系統(tǒng)安全開展的一系列工作的總稱； 風(fēng)險(xiǎn)等級、需求等級、安全保護(hù)等級、安全技術(shù)等級和安全治理等級是信息系統(tǒng)安全等級保護(hù)對等級劃分的全面反映； 安全系統(tǒng)等級與安全技術(shù)等級和安全治理等級既相互關(guān)聯(lián)又各有其不同的含義；安全治理是信息安全的生命線。整體看，“信息安全等級保護(hù)”是制度；分開看，“信息安全是目的，等級保護(hù)是方法”，這一根本生疏明確定位了信息安全等級保護(hù)的重要位置以及信息安全與等級保護(hù)之間的關(guān)系。用分等級保護(hù)的方法實(shí)現(xiàn)國家信息安全的總體目標(biāo)，既是一項(xiàng)制度，也是一種方法。其根本思想是：重點(diǎn)保護(hù)和適度保護(hù)。進(jìn)一步理解可以包括以下含義：方法是可選的，不是唯一的；但制度一經(jīng)確定就是不行轉(zhuǎn)變的；等級的劃分可以是多種多樣的，但作為要具體執(zhí)行的制度，就應(yīng)有確定的等級劃分；對已經(jīng)確定的等級劃分，假設(shè)沒有覺察其不行執(zhí)行的缺陷，就不要輕易轉(zhuǎn)變。“對信息安全劃分等級是治理的需要”，這一根本生疏說明：分等級保護(hù)是從便于治理的角度對實(shí)現(xiàn)信息安全的考慮。其實(shí)，等級化治理是人類社會普遍承受的治理方法。縱觀人類社會活動的各個環(huán)節(jié)，無不存在著按等級治理的狀況。就信息安全而言，等級化管--TCSEC和最國際信息安全技術(shù)標(biāo)準(zhǔn)--CC等無不以分等級的方法對信息安全技術(shù)的不同要求進(jìn)展描述，盡管他們各拘束描述方法上有所不同〔CC沒有對安全功能要求進(jìn)展等級劃分，很大程度上是由于各個國家沒有取得共識。從我國當(dāng)前的實(shí)際狀況動身，承受分等級保護(hù)的方法實(shí)現(xiàn)信息安全，無疑是適用于我國當(dāng)前實(shí)際的一種有效的信息安全治理方法?！靶畔踩菄@信息系統(tǒng)安全開展的一系列工作的總稱”。這一根本生疏說明：信息安全是指信息系統(tǒng)和信息系統(tǒng)中存儲、傳輸和處理的數(shù)據(jù)信息的安全。一方面“信息安全”是一個具有較廣泛概念的稱謂，是包括從中心到地方、從法律到法規(guī)、從治理到技術(shù)、從系統(tǒng)到產(chǎn)品等，涉及國家有關(guān)機(jī)構(gòu)和部門圍繞對信息的安全保護(hù)所進(jìn)展的全部活動；另一方面“，信息安全”的全部活動則完全是圍繞對信息系統(tǒng)和信息系統(tǒng)中所存儲、傳輸和處理的數(shù)據(jù)信息進(jìn)展安全保護(hù)應(yīng)實(shí)行的安全技術(shù)和安全治理措施這一目標(biāo)開展的，并且具體落實(shí)到各個單位和部門的全部信息系統(tǒng)的建設(shè)和運(yùn)行掌握的全過程。“風(fēng)險(xiǎn)等級、需求等級、安全保護(hù)等級、安全技術(shù)和安全治理等級是信息系統(tǒng)安全等級保護(hù)對等級劃分的全面反映”這一根本生疏說明：圍繞信息系統(tǒng)的安全等級保護(hù)，需要對信息系統(tǒng)的安全風(fēng)險(xiǎn)、安全需求、安全保護(hù)、安全技術(shù)和安全治理等各個階段和層面進(jìn)展等級劃分。信息系統(tǒng)的安全風(fēng)險(xiǎn)等級是依據(jù)對目標(biāo)信息系統(tǒng)進(jìn)展風(fēng)險(xiǎn)分析所確定的風(fēng)險(xiǎn)度的表示，665個安全等級，就是建立在對國家各行各業(yè)的信息系統(tǒng)的安全保護(hù)要求進(jìn)展總體風(fēng)險(xiǎn)分析的根底上確定的信息系統(tǒng)的安全風(fēng)險(xiǎn)框架，是各有關(guān)單位確定其所屬信息系統(tǒng)的安全風(fēng)險(xiǎn)等級的根本依據(jù)；信息系統(tǒng)安全需求等級是依據(jù)目標(biāo)信息系統(tǒng)的安全風(fēng)險(xiǎn)等級確定的；信息系統(tǒng)的安全保護(hù)等級是對信息系統(tǒng)安全保護(hù)的總體要求，是確定目標(biāo)信息系統(tǒng)應(yīng)選取何種等級的安全保護(hù)措施〔包括安全技術(shù)措施和安全治理措施〕的根本依據(jù)，這些安全措施共同確保信息系統(tǒng)安全到達(dá)其安全性目標(biāo)；安全技術(shù)等級和安全治理等級分別從技術(shù)和治理的角度對安全保護(hù)措施的安全性進(jìn)展區(qū)分，為不同安全等級的信息系統(tǒng)進(jìn)展技術(shù)和治理措施的選擇供給支持?！鞍踩到y(tǒng)等級與安全技術(shù)等級和安全治理等級既相互關(guān)聯(lián)又各有其不同的含義”。這一根本生疏說明：安全技術(shù)等級和安全治理等級與系統(tǒng)安全等級有著格外親熱的關(guān)系但兩者并不是等同的關(guān)系。為了貫徹重點(diǎn)保護(hù)和適度保護(hù)的原則，信息系統(tǒng)需要劃分等級，信息安全技術(shù)和信息安全治理同樣需要劃分等級。然而，信息系統(tǒng)的安全等級與安全技術(shù)的安全等級和安全治理的安全等級〔以下簡稱“技術(shù)和治理的安全等級”〕是兩個既有聯(lián)系又不完全一樣的概念。信息系統(tǒng)的安全等級是依據(jù)信息系統(tǒng)的風(fēng)險(xiǎn)程度〔或者說風(fēng)險(xiǎn)等級〕確定的，是與信息系統(tǒng)的重要性〔或資產(chǎn)價值〕及其所處的環(huán)境和條件〔或安全威逼〕有關(guān)的。而技術(shù)和治理的安全等級則是按安全技術(shù)和安全治理要素的安全性強(qiáng)度劃分并與環(huán)境和條件無關(guān)的。由于信息系統(tǒng)所處環(huán)境和條件的各不一樣，信息系統(tǒng)的安全等級劃分難以制定出明確的標(biāo)準(zhǔn)，而技術(shù)和治理的安全等級完全可以依據(jù)其所實(shí)現(xiàn)的安全功能和所實(shí)行的安全保證措施制定出明確的劃分標(biāo)準(zhǔn)。到目前為止，所制定的一系列與信息安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)，其等級的劃分都是以安全要素為單位進(jìn)展劃分的。不同安全要素所實(shí)現(xiàn)的安全功能的安全性強(qiáng)度〔依據(jù)其所承受的安全機(jī)制的不同和安全保證措施的不同而定。至于劃分為幾個等級和每個安全等級之間的差異，完全是人為確定的。固然，這里所說的人為確定并是由哪一個隨便確定的，而是由有關(guān)主管部門組織業(yè)內(nèi)有關(guān)專家，依據(jù)信息安全等級保護(hù)的需要，參考國際和國外的相關(guān)標(biāo)準(zhǔn)，結(jié)合我國安全技術(shù)進(jìn)展和信息系統(tǒng)安全等級劃分的具體狀況，認(rèn)真爭論確定的。這就是我們當(dāng)前所制定的一系列安全技術(shù)和安全治理標(biāo)準(zhǔn)等級劃分的根底和依據(jù)。對一個具體的信息系統(tǒng)，在選擇承受何種等級的安全技術(shù)和安全治理措施時，需要考慮目標(biāo)信息系統(tǒng)所處的環(huán)境和條件對安全性要求的影響，而并非簡潔的按對應(yīng)等級進(jìn)展選擇。“安全治理是信息安全的生命線”。這一根本生疏說明：安全治理在信息安全等級保護(hù)制度實(shí)施過程中重要作用。人們通常用“三分技術(shù)，七分治理”來形容治理對技術(shù)的重要性。其實(shí)，用“安全治理是信息安全的生命線”來描述安全治理對信息安全的重要性可能更為貼切。對信息安全等級保護(hù)的治理分為“宏觀治理”和“微觀治理”。宏觀治理是指從國家的政策法規(guī)到設(shè)置各種治理機(jī)構(gòu)等全局性的治理措施微觀治理是指圍繞信息系統(tǒng)的安全等級保護(hù)所實(shí)施的一系具體治理。從宏觀治理看，沒有政策法規(guī)的明確要求，信息安全等級保護(hù)就是依據(jù)空話。從微觀治理看，安全治理貫穿從確定信息系統(tǒng)安全需求到掌握信息系統(tǒng)安全運(yùn)行的信息系統(tǒng)整個生命周期的全過程，是信息安全的每一個環(huán)節(jié)實(shí)現(xiàn)的前提和保證。沒有嚴(yán)格的組織治理，無法進(jìn)展信息安全的需求分析，從而無法確定信息安全的等級需求；無法確定信息系統(tǒng)的安全方案；無法確保信息系統(tǒng)安全工程按確定的安全目標(biāo)實(shí)現(xiàn)；無法確保設(shè)計(jì)、實(shí)現(xiàn)的信息安全系統(tǒng)的運(yùn)行到達(dá)所要求的安全目標(biāo)；無法應(yīng)對安全系統(tǒng)運(yùn)行中出現(xiàn)的狀況和問題?？傊?，在信息安全系統(tǒng)生周期的每一個環(huán)節(jié)，沒有嚴(yán)格的符合要求的治理，安全技術(shù)的作用就會打折扣，甚至成為攻擊的弱點(diǎn)和漏洞。技術(shù)是手段，治理是前提和保證目標(biāo)只有一個，那就是信息安全。依據(jù)我國的國情，治理的重要性還表達(dá)在領(lǐng)導(dǎo)的重要性。實(shí)踐證明，在我國信息系統(tǒng)建設(shè)階段，單位領(lǐng)導(dǎo)的重視與支持對單位的信息系統(tǒng)建設(shè)和進(jìn)展的重要性已經(jīng)成為不爭的事實(shí)。同樣，單位領(lǐng)導(dǎo)，特別是主要領(lǐng)導(dǎo)的重視與支持，對單位信息安全系統(tǒng)建設(shè)和運(yùn)行具有格外重要的作用。正確實(shí)施信息安全等級保護(hù)正確實(shí)施信息安全等級保護(hù)需要承受以下根本方法： 風(fēng)險(xiǎn)治理與信息安全等級保護(hù)相結(jié)合是貫穿信息系統(tǒng)整個生命周期的有效措施； 構(gòu)建等級化的信息安全保障體系是實(shí)施信息安全等級保護(hù)的正確途徑； 按區(qū)域分類、分層、分等級保護(hù)是對信息系統(tǒng)實(shí)施安全等級保護(hù)的有效方法；安全的全都性原理是等級化信息系統(tǒng)安全設(shè)計(jì)的重要思想。在進(jìn)展等級化的信息系統(tǒng)安全設(shè)計(jì)時，首先承受風(fēng)險(xiǎn)分析的方法確定安全風(fēng)險(xiǎn)程度〔等級〕和安全需求，然后將這些安全需求轉(zhuǎn)化為相應(yīng)的安全要求，再依據(jù)這些安全要求，確定對應(yīng)的安全技術(shù)和安全治理措施。依據(jù)這些安全技術(shù)和安全治理措施在相關(guān)的安全技術(shù)標(biāo)準(zhǔn)和安全治理標(biāo)準(zhǔn)中的安全級，從而最終確定信息系統(tǒng)的安全等級。由于安全技術(shù)和安全治理標(biāo)準(zhǔn)的等級劃分已經(jīng)充分考慮到信息系統(tǒng)安全等級的劃分，所以從整體上兩者的等級應(yīng)當(dāng)是根本全都的。但這里并不要求完全對應(yīng)。由于從本質(zhì)上講，技術(shù)和治理的安全等級的劃分是比較單一的，而信息系統(tǒng)安全等級的劃分是比較復(fù)雜的，而且與信息系統(tǒng)所在的環(huán)境和條件有關(guān)的?？梢詭椭覀兝斫膺@一觀點(diǎn)的一個例子是，美國的NIST系列文檔將信息系統(tǒng)的安全等級劃分為根本級、增加級、強(qiáng)健級三個等級，并通過選取C C中的相應(yīng)安全組件來構(gòu)建所需要的信息安全系統(tǒng)。通過風(fēng)險(xiǎn)分析確定安全風(fēng)險(xiǎn)等級，威逼針對脆弱性和資產(chǎn)所產(chǎn)生的后果是，在脆弱性和資產(chǎn)確定的狀況下，安全風(fēng)險(xiǎn)隨威逼的增加/或脆弱性的增加而增加；安全需求等級由安全風(fēng)險(xiǎn)等級產(chǎn)生，安全目標(biāo)等級由安全需求等級確定，安全目標(biāo)等級通過選擇相應(yīng)安全等級的安全措施〔安全技術(shù)措施和安全治理措施〕來實(shí)現(xiàn)；安全措施通過對抗威逼、保護(hù)資產(chǎn)和降低脆弱性來削減安全風(fēng)險(xiǎn)，使剩余風(fēng)險(xiǎn)降低到可承受的范圍，從而到達(dá)對信息系統(tǒng)進(jìn)展安全保護(hù)的目標(biāo)?！皹?gòu)建等級化的信息安全保障體系是實(shí)施信息安全等級保護(hù)的正確途徑”，這一根本方法說明：對信息系統(tǒng)實(shí)施安全等級保護(hù)，需要依