等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估與安全測(cè)評(píng)三者之間的區(qū)別

1、 HYPERLINK / 等級(jí)愛護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者之間的區(qū)不與聯(lián)系剛接觸安全測(cè)試這項(xiàng)工作的時(shí)候，對(duì)等級(jí)愛護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者之間的聯(lián)系專門不清晰，常常會(huì)弄混淆。幸得有如此一篇文章，詳細(xì)介紹了三者的概念區(qū)不以及聯(lián)系，澄清了他們之間的關(guān)系。好文章不敢獨(dú)享，特在此和大伙兒一起分享。 VUk2pEGO. k? X7h2 一、三者的差不多概念和工作背景 1-4W4# A、等級(jí)愛護(hù) _Uc le %&0_0BU 差不多概念：信息安全等級(jí)愛護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全愛護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)

2、治理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件等等級(jí)響應(yīng)、處置。那個(gè)地點(diǎn)所指的信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。 +Ccj #M; 工作背景：1994年國(guó)務(wù)院頒布的中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全愛護(hù)條例2規(guī)定：計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)愛護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)愛護(hù)的具體方法，由公安部會(huì)同有關(guān)部門制定。1999年公安部組織起草了計(jì)算機(jī)信息系統(tǒng)安全愛護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999），規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全愛護(hù)能力的五個(gè)等級(jí)，即：第一級(jí)：用戶自主愛

3、護(hù)級(jí)；第二級(jí)：系統(tǒng)審計(jì)愛護(hù)級(jí)；第三級(jí)：安全標(biāo)記愛護(hù)級(jí)；第四級(jí):結(jié)構(gòu)化愛護(hù)級(jí)；第五級(jí)：訪問驗(yàn)證愛護(hù)級(jí)。GB17859中的分級(jí)是一種技術(shù)的分級(jí)，即對(duì)系統(tǒng)客觀上具備的安全愛護(hù)技術(shù)能力等級(jí)的劃分。2002年7月18日，公安部在GB17859的基礎(chǔ)上，又公布實(shí)施五個(gè)GA新標(biāo)準(zhǔn)，分不是：GA/T 387-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)愛護(hù)網(wǎng)絡(luò)技術(shù)要求、GA 388-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)愛護(hù)操作系統(tǒng)技術(shù)要求、GA/T 389-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)愛護(hù)數(shù)據(jù)庫(kù)治理系統(tǒng)技術(shù)要求、GA/T 390-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)愛護(hù)通用技術(shù)要求、GA 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)愛

4、護(hù)治理要求。這些標(biāo)準(zhǔn)是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全愛護(hù)等級(jí)系列標(biāo)準(zhǔn)的一部分。關(guān)于信息安全等級(jí)愛護(hù)工作的實(shí)施意見的通知3（簡(jiǎn)稱66號(hào)文）將信息和信息系統(tǒng)的安全愛護(hù)等級(jí)劃分為五級(jí)，即：第一級(jí)：自主愛護(hù)級(jí)；第二級(jí)：指導(dǎo)愛護(hù)級(jí)；第三級(jí)：監(jiān)督愛護(hù)級(jí)；第四級(jí)：強(qiáng)制愛護(hù)級(jí)；第五級(jí)：?？貝圩o(hù)級(jí)。特不強(qiáng)調(diào)的是：66號(hào)文中的分級(jí)要緊是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的阻礙動(dòng)身的，是系統(tǒng)從應(yīng)用需求動(dòng)身必須納入的安全業(yè)務(wù)等級(jí)，而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級(jí)。 # *vIwX-Q 9q(*rAm XDRw!H, hi969 B、風(fēng)險(xiǎn)評(píng)估 tm%3 F &;I=*BkE$ 差不多概念：信息安全風(fēng)險(xiǎn)

5、評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和治理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，推斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)治理措施的過(guò)程。 ( E;!.=% ?zn k8| kqdF)Wa am 工作背景：風(fēng)險(xiǎn)評(píng)估不是一個(gè)新概念，金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)，確實(shí)是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。國(guó)內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快，具體的評(píng)估方法也在不斷改進(jìn)。風(fēng)險(xiǎn)評(píng)估也從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作，逐漸過(guò)渡到目前普遍采納BS7799、OCTAVE、NIST SP800-26、NI

6、ST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現(xiàn)以資產(chǎn)為動(dòng)身點(diǎn)、以威脅為觸發(fā)、以技術(shù)/治理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。國(guó)務(wù)院信息化工作辦公室2004年組織完成了信息安全風(fēng)險(xiǎn)評(píng)估指南及信息安全風(fēng)險(xiǎn)治理指南標(biāo)準(zhǔn)草案的制定，并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)推斷準(zhǔn)則，對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有專門好的指導(dǎo)意義。目前，國(guó)信辦正組織在全國(guó)北京、上海、黑龍江、云南等省市及稅務(wù)、銀行、電力等行業(yè)領(lǐng)域作風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，探討對(duì)上述兩個(gè)風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)治理標(biāo)準(zhǔn)草案的理解修訂及相關(guān)治理問題的研究，可能200

7、5年9月份前完成試點(diǎn)工作，并在試點(diǎn)工作的基礎(chǔ)上形成有關(guān)開展信息安全風(fēng)險(xiǎn)評(píng)估工作的指導(dǎo)意見。 V/P;n 5F&xU$a- 0(F 8 avdH=&= C、系統(tǒng)安全測(cè)評(píng) X p|P+ ;c;N(2 ;XKe) AApWJ3 差不多概念：由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu)，依據(jù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地點(diǎn)標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范，按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng)，以關(guān)心系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問題，并提供安全改進(jìn)建議，從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。 1HPYW7jk b9FfDDOq AXBf ) lyZt PS 工作背景：在我國(guó)

8、，中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（簡(jiǎn)稱CNITSEC）是較早并較有阻礙的開展有關(guān)系統(tǒng)安全測(cè)評(píng)認(rèn)證的機(jī)構(gòu)。那個(gè)地點(diǎn)強(qiáng)調(diào)一下測(cè)評(píng)和認(rèn)證的區(qū)不：測(cè)評(píng)如前述定義，認(rèn)證則是對(duì)測(cè)評(píng)活動(dòng)是否符合標(biāo)準(zhǔn)化要求和質(zhì)量治理要求所作的確認(rèn)，認(rèn)證以標(biāo)準(zhǔn)和測(cè)評(píng)的結(jié)果作為依據(jù)。在美國(guó)，系統(tǒng)認(rèn)證的結(jié)果通常作為主管部門對(duì)新建系統(tǒng)投入運(yùn)行前的安全審批或已建系統(tǒng)安全動(dòng)態(tài)監(jiān)管（即系統(tǒng)認(rèn)可）的依據(jù)。依照美國(guó)FISMA6及NIST SP800-37的規(guī)定，系統(tǒng)認(rèn)證是“對(duì)信息系統(tǒng)的技術(shù)類、治理類和運(yùn)行類安全操縱所進(jìn)行的綜合評(píng)估”，認(rèn)可則是“由治理層作出的決策，用來(lái)授權(quán)一個(gè)信息系統(tǒng)投入運(yùn)行”。我國(guó)的系統(tǒng)認(rèn)證盡管起步較早，但由于認(rèn)證周期、建設(shè)差

9、異等多方面的緣故，目前的系統(tǒng)認(rèn)證數(shù)量還特很多。特不是國(guó)家認(rèn)監(jiān)委成立后，強(qiáng)調(diào)了信息安全要“一個(gè)統(tǒng)一認(rèn)證出口”的要求。國(guó)家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知4（簡(jiǎn)稱57號(hào)文）中已明確規(guī)定了對(duì)信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn)、技術(shù)規(guī)范與合格評(píng)定程序；統(tǒng)一認(rèn)證目錄；統(tǒng)一認(rèn)證標(biāo)志；統(tǒng)一收費(fèi)標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求。在國(guó)家認(rèn)監(jiān)委對(duì)信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見尚未出臺(tái)前，多數(shù)情況下，系統(tǒng)安全測(cè)評(píng)的結(jié)果可直接作為主管部門對(duì)系統(tǒng)安全認(rèn)可的依據(jù)。典型例子如上海市信息安全測(cè)評(píng)認(rèn)證中心，在相關(guān)職能部門授權(quán)下，已完成了對(duì)上海市100余家重要信息系統(tǒng)、涉密信息系統(tǒng)、區(qū)縣以上綜合醫(yī)院的信息系

10、統(tǒng)的安全測(cè)評(píng)工作，并為市信息委、市國(guó)家保密局、市衛(wèi)生局等信息化主管部門或行業(yè)主管部門提供了重要的技術(shù)決策依據(jù)。 &G4yM N!RkV:X E6 glR x|3f$ =b 二、三者的相互內(nèi)在聯(lián)系和區(qū)不 Ll,HgU; +Tc r$z+ D5AXV _DlkTi5(w +aa( YGL 差不多推斷：等級(jí)愛護(hù)是指導(dǎo)我國(guó)信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)治理制度，風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)差不多上在等級(jí)愛護(hù)制度下，對(duì)信息及信息系統(tǒng)安全性評(píng)價(jià)方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。 OanHG MJxTzQE NW82p &nC)T $m$tfa- GQZLOjsop Z :5vo 差不多推斷

11、：風(fēng)險(xiǎn)評(píng)估是等級(jí)愛護(hù)（不同等級(jí)不同安全需求）的動(dòng)身點(diǎn)。風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)和等級(jí)愛護(hù)中的系統(tǒng)定級(jí)均充分考慮到信息資產(chǎn)CIA特性的高低，但風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)加入了對(duì)現(xiàn)有安全操縱措施的確認(rèn)因素，也確實(shí)是講，等級(jí)愛護(hù)中高級(jí)不的信息系統(tǒng)不一定就有高級(jí)不的安全風(fēng)險(xiǎn)。 Yn0l=, n X6Ro es2 LdSBNg#3 ppwjr + 風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的動(dòng)身點(diǎn)，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定，以成本效益平衡的原則，通過(guò)對(duì)用戶關(guān)懷的重要資產(chǎn)（如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等）的分級(jí)、安全威脅（如人為威脅、自然威脅等）發(fā)生的可能性及

12、嚴(yán)峻性分析、對(duì)系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全治理、運(yùn)行措施等方面的安全脆弱性（或稱薄弱環(huán)節(jié)）分析，并通過(guò)對(duì)已有安全操縱措施的確認(rèn)，借助定量、定性分析的方法，推斷出用戶關(guān)懷的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn)，并依照風(fēng)險(xiǎn)的嚴(yán)峻級(jí)不制定風(fēng)險(xiǎn)處理打算，確定下一步的安全需求方向。 ,dze= pv:7kgod a?yO/ 2 $6&P 69 等級(jí)愛護(hù)的前提是對(duì)系統(tǒng)定級(jí)，依照FIPS199，系統(tǒng)定級(jí)依照系統(tǒng)信息的機(jī)密性、完整性、可用性（簡(jiǎn)稱CIA特性）等三性損失的最大值來(lái)確定，即“明確各種信息類型-確定每種信息類型的安全類不-確定系統(tǒng)的安全類不”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。將信息

13、系統(tǒng)安全類不（簡(jiǎn)稱SC）表示為一個(gè)與CIA特性的潛在阻礙相關(guān)的三重函數(shù)，一般模式是：SC= （保密性，阻礙），（完整性，阻礙），（可用性，阻礙）。 m 6Xex.d (WW*yv.J Y 8. MnG9KR 等級(jí)愛護(hù)中的系統(tǒng)分類分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)差不多一致，不同的是：等級(jí)愛護(hù)的級(jí)不是從系統(tǒng)的業(yè)務(wù)需求或CIA特性動(dòng)身，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí)，而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全操縱措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果，也確實(shí)是講，在風(fēng)險(xiǎn)評(píng)估中，CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高。在確定系統(tǒng)安全等級(jí)級(jí)不后，風(fēng)險(xiǎn)評(píng)估的結(jié)果可作

14、為實(shí)施等級(jí)愛護(hù)、等級(jí)安全建設(shè)的動(dòng)身點(diǎn)和參考。 /3MTutM|X 8mQmG4 w- NIgBs C、等級(jí)愛護(hù)與系統(tǒng)測(cè)評(píng)的關(guān)系 5 I q&eUwc Tum9Xa 9Y9 pKTU 6Y#-5oE u/ D、風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)的關(guān)系 A+JM* eB ELF,T ( HvITw% X%+FM 差不多推斷：風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)分不是針對(duì)系統(tǒng)生命周期建設(shè)不同時(shí)期存在的安全風(fēng)險(xiǎn)的相近推斷方法。對(duì)同一個(gè)生命周期的系統(tǒng)，風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的起點(diǎn)，系統(tǒng)測(cè)評(píng)是安全建設(shè)的終點(diǎn)?；蛘吣軌蚶斫鉃?，系統(tǒng)安全測(cè)評(píng)是實(shí)施風(fēng)險(xiǎn)治理措施后的風(fēng)險(xiǎn)再評(píng)估。 (7Pk5 91oIxW 8DNo # ;,b4O7 二者均是對(duì)信息及信

15、息系統(tǒng)系統(tǒng)安全性的一種評(píng)價(jià)推斷方法，因此，二者并沒有本質(zhì)的區(qū)不，或者講，二者的安全工作目標(biāo)差不多一致，二者的工作核心差不多上對(duì)信息及系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)價(jià)，因此，二者在實(shí)施內(nèi)容上有許多共同之處。具體講二者在操作方面的差異性，則風(fēng)險(xiǎn)評(píng)估是系統(tǒng)明確安全需求，確定成本效益適合的安全操縱措施的動(dòng)身點(diǎn)，風(fēng)險(xiǎn)評(píng)估通過(guò)對(duì)被評(píng)估用戶廣泛的、戰(zhàn)略性的分析來(lái)推斷機(jī)構(gòu)內(nèi)各類重要資產(chǎn)的風(fēng)險(xiǎn)級(jí)不；系統(tǒng)安全測(cè)評(píng)則是對(duì)已采取的安全操縱措施（如治理措施、運(yùn)行措施、技術(shù)措施等）有效性的驗(yàn)證，安全測(cè)評(píng)更關(guān)注于對(duì)系統(tǒng)現(xiàn)有安全操縱措施的技術(shù)驗(yàn)證，從而給出系統(tǒng)現(xiàn)存安全脆弱性的準(zhǔn)確推斷。行業(yè)主管部門或信息化主管部門在系統(tǒng)測(cè)評(píng)結(jié)果的基礎(chǔ)上，推

16、斷系統(tǒng)安全風(fēng)險(xiǎn)是否可同意或已得到了有效的治理，從而給出是否批準(zhǔn)系統(tǒng)投入運(yùn)行或接著運(yùn)行的最終結(jié)論。 #ynyg%| _8Si8+j oR.KtS$uh N=) E$h 三、對(duì)三者在SDLC過(guò)程中的實(shí)施建議 ;SBM7fwRk GaEJ$c MBoWHe) uJ S+;H 通常情況下，我們將信息系統(tǒng)建設(shè)生命周期（SDLC）劃分為五個(gè)時(shí)期：規(guī)劃需求時(shí)期、設(shè)計(jì)開發(fā)時(shí)期、實(shí)施時(shí)期、運(yùn)行維護(hù)時(shí)期、廢棄時(shí)期。也確實(shí)是講，系統(tǒng)是不斷變化的，安全建設(shè)也應(yīng)隨之發(fā)生變化。因此，從理論上分析，不管是等級(jí)愛護(hù)、風(fēng)險(xiǎn)評(píng)估或是系統(tǒng)測(cè)評(píng)，均適用于SDLC的各個(gè)時(shí)期。為幸免三者之間相近的工作內(nèi)容在SDLC的同一個(gè)時(shí)期重復(fù)進(jìn)行，

17、按照“誰(shuí)主管，誰(shuí)負(fù)責(zé)；誰(shuí)運(yùn)行，誰(shuí)負(fù)責(zé)”的原則，從系統(tǒng)建設(shè)單位（多數(shù)情況下建設(shè)單位即運(yùn)行單位）、行業(yè)主管部門或信息化主管部門（簡(jiǎn)稱主管部門）等兩類不同發(fā)起主體或組織主體的角度考慮，建議按下述內(nèi)容實(shí)施： SdI) Sr_R? 5 zysY xbex6iZE 1、規(guī)劃需求時(shí)期 $CaF5?Ke dMsX=EIl!9K wVCZ=L iARIvhfdi EfY|S3Av 建設(shè)單位按照既定等級(jí)的風(fēng)險(xiǎn)評(píng)估治理要求和國(guó)家有關(guān)風(fēng)險(xiǎn)評(píng)估的技術(shù)標(biāo)準(zhǔn)自覺進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確系統(tǒng)在機(jī)密性、完整性、可用性等方面的安全需求目標(biāo)。 h?2qX (3C6Wt 2nj9a5 2、設(shè)計(jì)開發(fā)時(shí)期及實(shí)施時(shí)期 |9POl= pR2QS

18、W?8 |h fU_itb( 建設(shè)單位（或托付承建單位）依照既定的安全需求目標(biāo)，按照國(guó)家有關(guān)等級(jí)愛護(hù)的治理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行系統(tǒng)安全體系結(jié)構(gòu)及詳細(xì)實(shí)施方案的設(shè)計(jì)，采購(gòu)和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施。 Klh7&HzR XA ! A Pr h9c54Ux wIv5&X-B &Cp)y 3、運(yùn)行維護(hù)時(shí)期 |lAu6d ! EHXbj t8 gW K s QfP8U 主管部門在系統(tǒng)安全建設(shè)差不多完成后，托付或指定第三方機(jī)構(gòu)對(duì)差不多建成的系統(tǒng)進(jìn)行安全測(cè)評(píng)，以評(píng)價(jià)系統(tǒng)當(dāng)前運(yùn)行環(huán)境下的安全操縱措施是否和既定等級(jí)的安全需求一致、關(guān)鍵資產(chǎn)的安全風(fēng)險(xiǎn)是否操縱在可同意范圍之內(nèi)，并將

19、第三方機(jī)構(gòu)的安全測(cè)評(píng)報(bào)告作為是否批準(zhǔn)系統(tǒng)投入運(yùn)行（即系統(tǒng)認(rèn)可）的依據(jù)。此外，考慮到信息技術(shù)、安全技術(shù)、安全攻防技術(shù)及相關(guān)標(biāo)準(zhǔn)、理論、方法的不斷進(jìn)展，即使系統(tǒng)在認(rèn)可有效期內(nèi)沒有任何關(guān)于技術(shù)、業(yè)務(wù)及治理內(nèi)容的變更，主管部門也應(yīng)該發(fā)起周期性的安全測(cè)評(píng)和安全認(rèn)可，以保持系統(tǒng)的安全狀態(tài)維持在標(biāo)準(zhǔn)許可及公眾同意的范圍之內(nèi)。 8r(S=dA U)aXRS vttmSdY w+ gA3Dg 在關(guān)于進(jìn)一步加強(qiáng)上海市信息安全保障工作的實(shí)施意見5中，對(duì)上海行政區(qū)域內(nèi)公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，銀行/稅務(wù)/證券/海關(guān)/鐵道/電力/民航/水務(wù)/燃?xì)?軌道交通/醫(yī)療衛(wèi)生和大型國(guó)有企業(yè)等涉及國(guó)計(jì)民生的信息系統(tǒng)

20、，以及使用財(cái)政性資金建設(shè)的信息系統(tǒng)（統(tǒng)稱重要信息系統(tǒng)）作出了強(qiáng)制實(shí)行等級(jí)愛護(hù)和安全測(cè)評(píng)的要求。對(duì)新建、改建、擴(kuò)建的重要信息系統(tǒng)，在立項(xiàng)后由安全測(cè)評(píng)機(jī)構(gòu)評(píng)審其安全設(shè)計(jì)方案，評(píng)審報(bào)告報(bào)有關(guān)主管部門確認(rèn)，未通過(guò)評(píng)審的不得實(shí)施；正式投入運(yùn)行前，應(yīng)進(jìn)行系統(tǒng)安全測(cè)評(píng)，測(cè)評(píng)結(jié)果報(bào)有關(guān)主管部門確認(rèn)，未達(dá)到要求的不得投入運(yùn)行、不予驗(yàn)收；對(duì)已通過(guò)安全測(cè)評(píng)的重要信息系統(tǒng)，投入運(yùn)行后要接著加強(qiáng)安全愛護(hù)，由安全測(cè)評(píng)機(jī)構(gòu)定期進(jìn)行安全測(cè)評(píng)。 2/O/h azKbGS/X wMNtN3 udM4 $8 $EHAHNL?Lx p6u$)wt 建設(shè)單位重點(diǎn)對(duì)廢棄處理不當(dāng)對(duì)資產(chǎn)（如硬件、軟件、設(shè)備、文檔等）的阻礙、對(duì)信息/硬件/軟件的廢棄處置方面威脅、對(duì)訪問操縱方面的弱點(diǎn)