等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)簡(jiǎn)介課件

等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)簡(jiǎn)介等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)簡(jiǎn)介報(bào)告內(nèi)容第一部分、總體情況介紹第二部分、有關(guān)標(biāo)準(zhǔn)編制內(nèi)容介紹報(bào)告內(nèi)容總體情況介紹機(jī)構(gòu)背景等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景總體情況介紹總體情況介紹----機(jī)構(gòu)背景公安部第三研究所公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心公安部信息安全產(chǎn)品檢測(cè)中心公安部信息安全等級(jí)保護(hù)評(píng)估中心總體情況介紹----機(jī)構(gòu)背景公安部第三研究所公安部計(jì)算機(jī)信息總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景

1994年，《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的發(fā)布

1999年，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999發(fā)布

2001年，國家發(fā)改委“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護(hù)平臺(tái)建設(shè)項(xiàng)目”（1110）工程實(shí)施

2003年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》

2004年，四部委聯(lián)合簽發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景1總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景安全控制定級(jí)指南過程方法確定系統(tǒng)等級(jí)啟動(dòng)采購/開發(fā)實(shí)施運(yùn)行/維護(hù)廢棄確定安全需求設(shè)計(jì)安全方案安全建設(shè)安全測(cè)評(píng)監(jiān)督管理運(yùn)行維護(hù)暫不考慮特殊需求等級(jí)需求基本要求產(chǎn)品使用選型監(jiān)督管理測(cè)評(píng)準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景安全定級(jí)指南過程確有關(guān)標(biāo)準(zhǔn)編制內(nèi)容介紹定級(jí)指南基本要求實(shí)施指南有關(guān)標(biāo)準(zhǔn)編制內(nèi)容介紹定級(jí)指南標(biāo)準(zhǔn)編制

情況介紹定級(jí)指南標(biāo)準(zhǔn)編制

情況介紹定級(jí)指南標(biāo)準(zhǔn)編制情況介紹背景介紹等級(jí)確定的原則決定等級(jí)的主要因素分析等級(jí)確定方法等級(jí)劃分流程定級(jí)指南標(biāo)準(zhǔn)編制情況介紹背景介紹背景介紹與系統(tǒng)等級(jí)相關(guān)的國外資料：FIPS199（美國聯(lián)邦政府）根據(jù)信息系統(tǒng)所處理信息的機(jī)密性、完整性和可用性被破壞的影響確定。IATF（NSA）根據(jù)信息價(jià)值與威脅確定系統(tǒng)強(qiáng)健度等級(jí)。DITSCAP（DOD）根據(jù)互聯(lián)模式、處理模式、業(yè)務(wù)依賴、三性、不可否認(rèn)性等七個(gè)方面確定系統(tǒng)認(rèn)證級(jí)。背景介紹與系統(tǒng)等級(jí)相關(guān)的國外資料：背景介紹上述定級(jí)方法存在問題僅由信息重要性確定信息系統(tǒng)的等級(jí)，對(duì)大型企業(yè)和重點(diǎn)行業(yè)的重要業(yè)務(wù)系統(tǒng)不合適。在通過三性影響分析，并根據(jù)三者取高的方法中，無法為可用性要求高和保密性要求高兩類系統(tǒng)提出統(tǒng)一的技術(shù)要求。確定系統(tǒng)等級(jí)，與業(yè)務(wù)無關(guān)，不滿足等級(jí)保護(hù)的監(jiān)管需要。定級(jí)范圍往往只在局部范圍內(nèi)。背景介紹上述定級(jí)方法存在問題等級(jí)確定的原則全局性原則信息系統(tǒng)安全等級(jí)保護(hù)是針對(duì)全國范圍內(nèi)、涵蓋各個(gè)行業(yè)信息系統(tǒng)的管理制度，信息系統(tǒng)安全保護(hù)等級(jí)的劃分也必須從國家層面考慮，體現(xiàn)全局性。業(yè)務(wù)為核心原則信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)的，信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)依據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要性、業(yè)務(wù)對(duì)信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。等級(jí)確定的原則全局性原則等級(jí)確定的原則滿足監(jiān)管要求原則信息系統(tǒng)安全保護(hù)等級(jí)既不是信息系統(tǒng)安全保障等級(jí)，也不是信息系統(tǒng)所能達(dá)到的技術(shù)能力等級(jí)，而是從安全監(jiān)管需要，從信息系統(tǒng)對(duì)國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級(jí)。合理性原則不同于信息安全產(chǎn)品，信息系統(tǒng)千差萬別，各具特色，只有在劃分安全保護(hù)等級(jí)的過程中，盡可能反映出信息系統(tǒng)的主要安全特征，合理劃分等級(jí)，才能做到突出重點(diǎn)，適度保護(hù)。等級(jí)確定的原則滿足監(jiān)管要求原則決定等級(jí)的主要因素分析

從目前的資料上看，已在不同分級(jí)方法中出現(xiàn)的作為劃分信息系統(tǒng)安全等級(jí)的因素主要包括：?jiǎn)挝粯I(yè)務(wù)在國家事務(wù)中的重要性（實(shí)施意見）；資產(chǎn)（包括有形資產(chǎn)和無形資產(chǎn)）（FIPS199，IATF，DITSCAP，NIST800-37）；威脅（IATF）；信息被破壞后對(duì)國家、社會(huì)公共利益和單位或個(gè)人的影響（FIPS199，通用要求，實(shí)施指南）；單位業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度（DITSCAP）

決定等級(jí)的主要因素分析 從目前的資料上看，已在不同分級(jí)方法中決定等級(jí)的主要因素分析

經(jīng)分析，除排除威脅因素外，劃分等級(jí)時(shí)應(yīng)考慮以下因素：信息系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。信息系統(tǒng)主要處理的業(yè)務(wù)數(shù)據(jù)類別。信息系統(tǒng)服務(wù)范圍，包括服務(wù)對(duì)象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。業(yè)務(wù)處理的自動(dòng)化程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務(wù)的程度。決定等級(jí)的主要因素分析 經(jīng)分析，除排除威脅因素外，劃分等級(jí)時(shí)決定等級(jí)的主要因素分析信息系統(tǒng)所屬類型業(yè)務(wù)數(shù)據(jù)類別信息系統(tǒng)服務(wù)范圍業(yè)務(wù)處理的自動(dòng)化程度業(yè)務(wù)重要性業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性業(yè)務(wù)依賴性決定等級(jí)的主要因素分析信息系統(tǒng)所屬類型業(yè)務(wù)數(shù)據(jù)類別信息系統(tǒng)服決定等級(jí)的主要因素分析業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性信息系統(tǒng)安全保護(hù)等級(jí)決定等級(jí)的主要因素分析業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性信息系統(tǒng)安等級(jí)確定方法

具體步驟：通過對(duì)信息系統(tǒng)類型和業(yè)務(wù)數(shù)據(jù)類型賦值，確定信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性等級(jí)；通過對(duì)信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)處理自動(dòng)化程度賦值，確定信息系統(tǒng)的業(yè)務(wù)處理連續(xù)性等級(jí)；通過業(yè)務(wù)數(shù)據(jù)安全性等級(jí)和業(yè)務(wù)處理連續(xù)性等級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)。等級(jí)調(diào)整

等級(jí)確定方法 具體步驟：信息系統(tǒng)類型賦值信息系統(tǒng)所屬類型賦值表信息系統(tǒng)所屬類型賦值信息系統(tǒng)的社會(huì)影響1信息系統(tǒng)受到破壞會(huì)對(duì)單位利益有直接影響2信息系統(tǒng)受到破壞會(huì)對(duì)公共利益有直接影響，或?qū)野踩嬗虚g接影響3信息系統(tǒng)受到破壞會(huì)對(duì)國家安全利益有直接影響信息系統(tǒng)類型賦值信息系統(tǒng)所屬類型賦值表信息系統(tǒng)所屬類型賦值信信息系統(tǒng)類型舉例典型的信息系統(tǒng)所屬類型

信息系統(tǒng)所屬類型賦值信息系統(tǒng)所屬類型1屬于一般企事業(yè)單位，處理其內(nèi)部事務(wù)的信息系統(tǒng)2屬于重要行業(yè)、重要領(lǐng)域和國家基礎(chǔ)設(shè)施，為國計(jì)民生、經(jīng)濟(jì)建設(shè)等提供重要服務(wù)的信息系統(tǒng)3屬于黨政機(jī)關(guān)，處理國家事務(wù)的信息系統(tǒng)信息系統(tǒng)類型舉例典型的信息系統(tǒng)所屬類型信息系統(tǒng)所屬類型賦值確定業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)數(shù)據(jù)安全性等級(jí)矩陣

業(yè)務(wù)數(shù)據(jù)類型信息系統(tǒng)類型12311222233344確定業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)數(shù)據(jù)安全性等級(jí)矩陣業(yè)務(wù)數(shù)據(jù)類型信息系確定信息系統(tǒng)安全保護(hù)等級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)數(shù)據(jù)安全性等級(jí)和業(yè)務(wù)處理連續(xù)性等級(jí)較高者決定。

確定信息系統(tǒng)安全保護(hù)等級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)數(shù)據(jù)安組合形式信息系統(tǒng)安全保護(hù)等級(jí)對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)安全性要求級(jí)別（Sx）和業(yè)務(wù)處理連續(xù)性要求級(jí)別(Cy)的組合。

系統(tǒng)保護(hù)安全等級(jí)各種組合（Sx，Cy）第一級(jí)（S1，C1）第二級(jí)（S1，C2）,（S2，C2）,（S2，C1）第三級(jí)（S1，C3）,（S2，C3）,（S3，C3）,（S3，C2）,（S3，C1）第四級(jí)（S1，C4）,（S2，C4）,（S3，C4）,（S4，C4）,（S4，C3）,（S4，C2）,（S4，C1）組合形式信息系統(tǒng)安全保護(hù)等級(jí)對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)安全性要求級(jí)別（S等級(jí)劃分流程劃分信息系統(tǒng)/子系統(tǒng)分析承載的業(yè)務(wù)重要性和依賴度確定信息系統(tǒng)/子系統(tǒng)安全保護(hù)等級(jí)調(diào)整信息系統(tǒng)/子系統(tǒng)安全保護(hù)等級(jí)等級(jí)劃分流程劃分信息系統(tǒng)/子系統(tǒng)分析承載的業(yè)務(wù)重要性和依賴度基本要求標(biāo)準(zhǔn)編制

情況介紹基本要求標(biāo)準(zhǔn)編制

情況介紹基本要求標(biāo)準(zhǔn)編制的主要思路根據(jù)6號(hào)文件描述的5個(gè)監(jiān)管等級(jí)對(duì)象，確定保護(hù)對(duì)象；根據(jù)保護(hù)對(duì)象所可能面臨的威脅，確定系統(tǒng)的整體保護(hù)能力；根據(jù)所應(yīng)具有的整體保護(hù)能力，確定系統(tǒng)的安全目標(biāo)；提出滿足安全目標(biāo)的安全要求?；疽髽?biāo)準(zhǔn)編制的主要思路根據(jù)6號(hào)文件描述的5個(gè)監(jiān)管等級(jí)對(duì)象5個(gè)監(jiān)管等級(jí)對(duì)象第一級(jí)：信息系統(tǒng)所承載業(yè)務(wù)涉及公民、法人和其他組織的權(quán)益，受到破壞后對(duì)公民、法人和其他組織的權(quán)益造成一定損害；該業(yè)務(wù)的開展在一定程度上依托于信息系統(tǒng)，系統(tǒng)受到破壞后對(duì)業(yè)務(wù)正常開展產(chǎn)生一定影響。第二級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)直接關(guān)系到公民、法人和其他組織的權(quán)益，受到破壞后會(huì)對(duì)公民、法人和其他組織的權(quán)益造成嚴(yán)重?fù)p害；該業(yè)務(wù)的開展主要依托于信息系統(tǒng)，系統(tǒng)受到破壞后影響業(yè)務(wù)正常開展。第三級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)涉及國家、社會(huì)和公共利益，受到破壞后會(huì)對(duì)國家、社會(huì)和公共利益造成損害的；該業(yè)務(wù)的開展主要依托于信息系統(tǒng)，系統(tǒng)受到破壞后影響業(yè)務(wù)正常開展。5個(gè)監(jiān)管等級(jí)對(duì)象第一級(jí)：信息系統(tǒng)所承載業(yè)務(wù)涉及公民、法人和其5個(gè)監(jiān)管等級(jí)對(duì)象第四級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)直接關(guān)系到國家、社會(huì)和公共利益，受到破壞后會(huì)對(duì)國家、社會(huì)和公共利益造成嚴(yán)重?fù)p害的；該業(yè)務(wù)的開展完全依托于信息系統(tǒng)，系統(tǒng)受到破壞后業(yè)務(wù)無法開展。第五級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)受到破壞后，會(huì)直接對(duì)國家安全造成嚴(yán)重?fù)p害。5個(gè)監(jiān)管等級(jí)對(duì)象第四級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)直接關(guān)系到國家、整體保護(hù)能力各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力是不同的，即能夠?qū)瓜到y(tǒng)面臨的威脅的程度以及在遭到威脅破壞后，系統(tǒng)能夠恢復(fù)之前的各種狀態(tài)的能力是不同的。系統(tǒng)的整體保護(hù)能力就是由威脅對(duì)抗能力和恢復(fù)能力的組合而成。

整體保護(hù)能力各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力是不同的，即能夠?qū)瓜到y(tǒng)面整體保護(hù)能力--威脅分類整體保護(hù)能力--威脅分類整體保護(hù)能力--威脅分級(jí)描述不同級(jí)別對(duì)抗的威脅的種類不同對(duì)于同類威脅，不同級(jí)別對(duì)抗的具體威脅的破壞能力也不同。整體保護(hù)能力--威脅分級(jí)描述不同級(jí)別對(duì)抗的威脅的種類不同安全目標(biāo)

每一級(jí)的安全目標(biāo)與威脅之間存在對(duì)應(yīng)關(guān)系，每個(gè)威脅至少被一個(gè)安全目標(biāo)所覆蓋；反過來，每個(gè)安全目標(biāo)至少覆蓋一個(gè)威脅。一級(jí)具有15個(gè)技術(shù)目標(biāo)，16個(gè)管理目標(biāo)；二級(jí)具有29個(gè)技術(shù)目標(biāo)，25個(gè)管理目標(biāo)；三級(jí)具有36個(gè)技術(shù)目標(biāo)，27個(gè)管理目標(biāo)；四級(jí)具有41個(gè)技術(shù)目標(biāo)，28個(gè)管理目標(biāo)。安全目標(biāo)每一級(jí)的安全目標(biāo)與威脅之間存在對(duì)應(yīng)關(guān)安全要求的選擇信息系統(tǒng)的安全要求包括安全技術(shù)要求和安全管理要求兩類。根據(jù)信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性等級(jí)（S）和業(yè)務(wù)處理連續(xù)性等級(jí)（C），分別選擇S類技術(shù)要求、C類技術(shù)要求和G類技術(shù)要求。信息系統(tǒng)的安全等級(jí)與技術(shù)要求組合是一對(duì)多的關(guān)系。

安全要求的選擇信息系統(tǒng)的安全要求包括安全技術(shù)要求和安全管理要安全要求等級(jí)區(qū)別安全要求的增加安全要求的增強(qiáng)安全要求等級(jí)區(qū)別安全要求的增加安全技術(shù)要求的組成安全技術(shù)要求的組成安全技術(shù)要求-物理安全技術(shù)要求-物理安全技術(shù)要求-網(wǎng)絡(luò)安全技術(shù)要求-網(wǎng)絡(luò)安全技術(shù)要求-主機(jī)安全技術(shù)要求-主機(jī)安全技術(shù)要求-應(yīng)用安全技術(shù)要求-應(yīng)用安全技術(shù)要求-數(shù)據(jù)安全技術(shù)要求-數(shù)據(jù)安全管理要求安全管理要求管理部分形成的基本思路系統(tǒng)規(guī)劃管理機(jī)構(gòu)和人員政策和制度系統(tǒng)設(shè)計(jì)管理系統(tǒng)實(shí)施管理系統(tǒng)運(yùn)維管理系統(tǒng)廢棄管理信息系統(tǒng)生命周期檢查和監(jiān)督管理指導(dǎo)限制執(zhí)行監(jiān)督管理部分形成的基本思路系統(tǒng)規(guī)劃管理機(jī)構(gòu)和人員政策和制度系統(tǒng)設(shè)管理部分的覆蓋范圍信息系統(tǒng)的生命周期系統(tǒng)規(guī)劃(定級(jí)\規(guī)劃等)系統(tǒng)設(shè)計(jì)(設(shè)計(jì)\開發(fā)\采購等)系統(tǒng)實(shí)施(安裝\配置\測(cè)試等)系統(tǒng)運(yùn)維系統(tǒng)廢棄管理人員管理制度組織的使命\目標(biāo)\戰(zhàn)略\政策系統(tǒng)變更管理機(jī)構(gòu)管理部分的覆蓋范圍信息系統(tǒng)的生命周期系統(tǒng)規(guī)劃(定級(jí)\規(guī)劃等)不同級(jí)別之間的區(qū)別管理活動(dòng)控制點(diǎn)的增加每個(gè)控制點(diǎn)具體管理要求的增多管理活動(dòng)的能力逐步加強(qiáng)借鑒能力成熟度模型（CMM）一級(jí)非正式執(zhí)行二級(jí)計(jì)劃和跟蹤三級(jí)良好定義四級(jí)持續(xù)改進(jìn)不同級(jí)別之間的區(qū)別管理活動(dòng)控制點(diǎn)的增加安全管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查安全管理機(jī)構(gòu)崗位設(shè)置安全管理制度管理制度制定和發(fā)布評(píng)審和修訂安全管理制度管理制度安全管理人員人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)第三方人員管理安全管理人員人員錄用系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)安全風(fēng)險(xiǎn)評(píng)估安全方案設(shè)計(jì)產(chǎn)品采購自行開發(fā)設(shè)計(jì)外包開發(fā)設(shè)計(jì)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付安全測(cè)評(píng)系統(tǒng)備案安全服務(wù)商選擇系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)工程實(shí)施系統(tǒng)運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備使用管理運(yùn)行維護(hù)和監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防護(hù)管理密碼管理變更管理備份和恢復(fù)管理安全事件處置應(yīng)急計(jì)劃管理系統(tǒng)運(yùn)維管理環(huán)境管理系統(tǒng)安全管理實(shí)施指南標(biāo)準(zhǔn)編制

情況介紹實(shí)施指南標(biāo)準(zhǔn)編制

情況介紹實(shí)施指南標(biāo)準(zhǔn)編制目標(biāo)《實(shí)施指南》作為一個(gè)對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的指南性文件，其目標(biāo)是介紹和描述實(shí)施信息系統(tǒng)等級(jí)保護(hù)過程中應(yīng)該涉及的階段和從事的活動(dòng)，包括：活動(dòng)的內(nèi)容和控制方法；活動(dòng)的主要參與者；活動(dòng)中將要使用的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)；活動(dòng)的主要工作產(chǎn)品等通過過程和活動(dòng)的介紹，使讀者了解和知曉對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的方法，不同的角色在不同階段的作用等等。實(shí)施指南標(biāo)準(zhǔn)編制目標(biāo)《實(shí)施指南》作為一個(gè)對(duì)信息系統(tǒng)實(shí)施等級(jí)保實(shí)施指南標(biāo)準(zhǔn)編制的主要思路以信息系統(tǒng)等級(jí)保護(hù)建設(shè)為主要線索定義信息系統(tǒng)等級(jí)保護(hù)實(shí)施的生命周期對(duì)每個(gè)階段介紹和描述主要的實(shí)施活動(dòng)對(duì)每個(gè)活動(dòng)說明實(shí)施主體、主要內(nèi)容和輸入輸出實(shí)施指南標(biāo)準(zhǔn)編制的主要思路以信息系統(tǒng)等級(jí)保護(hù)建設(shè)為主要線索實(shí)施指南內(nèi)容介紹---角色和職責(zé)

信息系統(tǒng)等級(jí)保護(hù)的實(shí)施過程中涉及到各類組織和人員，他們將會(huì)參與不同的或相同的活動(dòng)，比如信息系統(tǒng)的主管單位和信息系統(tǒng)的運(yùn)營單位將參與系統(tǒng)定級(jí)活動(dòng)，如果委托安全服務(wù)商進(jìn)行定級(jí)，則安全服務(wù)商也會(huì)參與定級(jí)活動(dòng)；又如信息系統(tǒng)的運(yùn)營單位可以自己完成風(fēng)險(xiǎn)分析活動(dòng)，也可以委托安全服務(wù)商完成風(fēng)險(xiǎn)分析活動(dòng)。實(shí)施指南內(nèi)容介紹---角色和職責(zé)信息系統(tǒng)等級(jí)保護(hù)的實(shí)施過程實(shí)施指南內(nèi)容介紹---角色和職責(zé)

本指南將面臨的使用對(duì)象將是：信息系統(tǒng)的主管單位；運(yùn)營單位；建設(shè)單位；安全服務(wù)商；安全測(cè)評(píng)機(jī)構(gòu)；監(jiān)督管理機(jī)構(gòu)等。為了保證實(shí)施指南的描述有一個(gè)清晰的思路，各類使用人員都能夠理解和較好地使用，實(shí)施指南并不以某個(gè)特定單位的活動(dòng)為主線進(jìn)行描述，而是以信息系統(tǒng)等級(jí)保護(hù)建設(shè)所要從事的活動(dòng)為主線，有些活動(dòng)可能是這個(gè)單位執(zhí)行的，另一些活動(dòng)可能是另一個(gè)單位執(zhí)行的。本指南的讀者根據(jù)自己的角色和從事的活動(dòng)選擇相應(yīng)的內(nèi)容作為指導(dǎo)。實(shí)施指南內(nèi)容介紹---角色和職責(zé)本指南將面臨的使用對(duì)象將是實(shí)施指南內(nèi)容介紹---實(shí)施的生命周期

本指南將根據(jù)信息系統(tǒng)等級(jí)保護(hù)實(shí)施的特點(diǎn)，結(jié)合風(fēng)險(xiǎn)管理和安全工程方法提出信息系統(tǒng)等級(jí)保護(hù)實(shí)施的生命周期，將等級(jí)保護(hù)實(shí)施過程劃分為4個(gè)不同的階段，然后分章節(jié)介紹和描述不同階段的安全活動(dòng)，同時(shí)也將表述信息系統(tǒng)等級(jí)保護(hù)實(shí)施的生命周期和信息系統(tǒng)生命周期的關(guān)系，指導(dǎo)系統(tǒng)建設(shè)者和系統(tǒng)運(yùn)營者在系統(tǒng)建設(shè)和運(yùn)營期間更好地同步進(jìn)行等級(jí)保護(hù)建設(shè)。將通過信息系統(tǒng)等級(jí)保護(hù)實(shí)施生命周期的提出，更好地描述信息系統(tǒng)等級(jí)保護(hù)實(shí)施的不斷循環(huán)過程；系統(tǒng)變更可能導(dǎo)致系統(tǒng)的等級(jí)變化從而觸發(fā)另一個(gè)等級(jí)保護(hù)實(shí)施過程的執(zhí)行過程；風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)可能導(dǎo)致的等級(jí)保護(hù)實(shí)施過程局部活動(dòng)的重復(fù)執(zhí)行過程等。實(shí)施指南內(nèi)容介紹---實(shí)施的生命周期本指南將根據(jù)信息系統(tǒng)等實(shí)施指南內(nèi)容介紹---主要階段和主要過程系統(tǒng)定級(jí)階段安全規(guī)劃設(shè)計(jì)階段產(chǎn)品采購和工程實(shí)施階段運(yùn)行管理和狀態(tài)監(jiān)控階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分子系統(tǒng)定級(jí)子系統(tǒng)邊界設(shè)定等級(jí)化風(fēng)險(xiǎn)評(píng)估分級(jí)保護(hù)模型化處理安全策略規(guī)劃安全建設(shè)規(guī)劃安全建設(shè)詳細(xì)方案設(shè)計(jì)安全產(chǎn)品采購安全控制開發(fā)安全控制集成測(cè)試與驗(yàn)收安全等級(jí)測(cè)評(píng)運(yùn)行批準(zhǔn)系統(tǒng)備案操作管理和控制配置管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處理和應(yīng)急預(yù)案監(jiān)督和檢查持續(xù)改進(jìn)定級(jí)結(jié)果文檔化實(shí)施指南內(nèi)容介紹---主要階段和主要過程系統(tǒng)定級(jí)階段安全規(guī)劃實(shí)施指南內(nèi)容介紹---系統(tǒng)定級(jí)過程系統(tǒng)調(diào)查、標(biāo)識(shí)和描述子系統(tǒng)劃分子系統(tǒng)定級(jí)子系統(tǒng)邊界設(shè)定輸入輸出過程信息系統(tǒng)描述文件子系統(tǒng)列表系統(tǒng)安全保護(hù)等級(jí)定級(jí)結(jié)果邊界設(shè)定結(jié)果信息系統(tǒng)基本信息、管理框架、業(yè)務(wù)特性信息系統(tǒng)描述文件子系統(tǒng)列表，信息系統(tǒng)/子系統(tǒng)業(yè)務(wù)特性安全保護(hù)等級(jí)定級(jí)結(jié)果、子系統(tǒng)業(yè)務(wù)流程，網(wǎng)絡(luò)拓?fù)涠?jí)結(jié)果文檔化信息系統(tǒng)等級(jí)化分析報(bào)告信息系統(tǒng)描述文件、子系統(tǒng)列表、定級(jí)及邊界設(shè)定結(jié)果實(shí)施指南內(nèi)容介紹---系統(tǒng)定級(jí)過程系統(tǒng)調(diào)查、標(biāo)識(shí)和描述子系統(tǒng)實(shí)施指南內(nèi)容介紹---系統(tǒng)調(diào)查和描述過程為了能夠進(jìn)行信息系統(tǒng)子系統(tǒng)劃分、確定安全等級(jí)以及后續(xù)的安全規(guī)劃設(shè)計(jì)等工作，要了解和知道信息系統(tǒng)的各種特性，應(yīng)通過查詢相關(guān)文檔、填寫調(diào)查表、有關(guān)人員詢問、現(xiàn)場(chǎng)實(shí)地觀察等等方式收集信息系統(tǒng)相關(guān)信息，對(duì)收集到的信息系統(tǒng)相關(guān)信息進(jìn)行分析和整理，并根據(jù)分析和整理的內(nèi)容準(zhǔn)確描述信息系統(tǒng)，形成信息系統(tǒng)的描述性文檔。參與角色：系統(tǒng)運(yùn)營部門、安全服務(wù)機(jī)構(gòu)。過程輸入：信息系統(tǒng)基本信息、管理框架、業(yè)務(wù)特性過程描述：略過程輸出：信息系統(tǒng)描述文件 實(shí)施指南內(nèi)容介紹---系統(tǒng)調(diào)查和描述過程為了能夠進(jìn)行信息系統(tǒng)謝謝！謝謝！請(qǐng)關(guān)注我們的網(wǎng)站:

公安部第三研究所

WWW.CHINA-INFOSEC.ORG.CN

公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心

WWW.MCTC.GOV.CN

公安部信息安全等級(jí)保護(hù)評(píng)估中心

WWW.CSPEC.GOV.CN請(qǐng)關(guān)注我們的網(wǎng)站:

公安部第三研究所

WWW.CHINA-I等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)簡(jiǎn)介等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)簡(jiǎn)介報(bào)告內(nèi)容第一部分、總體情況介紹第二部分、有關(guān)標(biāo)準(zhǔn)編制內(nèi)容介紹報(bào)告內(nèi)容總體情況介紹機(jī)構(gòu)背景等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景總體情況介紹總體情況介紹----機(jī)構(gòu)背景公安部第三研究所公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心公安部信息安全產(chǎn)品檢測(cè)中心公安部信息安全等級(jí)保護(hù)評(píng)估中心總體情況介紹----機(jī)構(gòu)背景公安部第三研究所公安部計(jì)算機(jī)信息總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景

1994年，《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的發(fā)布

1999年，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999發(fā)布

2001年，國家發(fā)改委“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估體系及互聯(lián)網(wǎng)絡(luò)電子身份管理與安全保護(hù)平臺(tái)建設(shè)項(xiàng)目”（1110）工程實(shí)施

2003年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》

2004年，四部委聯(lián)合簽發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景1總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景安全控制定級(jí)指南過程方法確定系統(tǒng)等級(jí)啟動(dòng)采購/開發(fā)實(shí)施運(yùn)行/維護(hù)廢棄確定安全需求設(shè)計(jì)安全方案安全建設(shè)安全測(cè)評(píng)監(jiān)督管理運(yùn)行維護(hù)暫不考慮特殊需求等級(jí)需求基本要求產(chǎn)品使用選型監(jiān)督管理測(cè)評(píng)準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)總體情況介紹----等級(jí)保護(hù)標(biāo)準(zhǔn)制修訂背景安全定級(jí)指南過程確有關(guān)標(biāo)準(zhǔn)編制內(nèi)容介紹定級(jí)指南基本要求實(shí)施指南有關(guān)標(biāo)準(zhǔn)編制內(nèi)容介紹定級(jí)指南標(biāo)準(zhǔn)編制

情況介紹定級(jí)指南標(biāo)準(zhǔn)編制

情況介紹定級(jí)指南標(biāo)準(zhǔn)編制情況介紹背景介紹等級(jí)確定的原則決定等級(jí)的主要因素分析等級(jí)確定方法等級(jí)劃分流程定級(jí)指南標(biāo)準(zhǔn)編制情況介紹背景介紹背景介紹與系統(tǒng)等級(jí)相關(guān)的國外資料：FIPS199（美國聯(lián)邦政府）根據(jù)信息系統(tǒng)所處理信息的機(jī)密性、完整性和可用性被破壞的影響確定。IATF（NSA）根據(jù)信息價(jià)值與威脅確定系統(tǒng)強(qiáng)健度等級(jí)。DITSCAP（DOD）根據(jù)互聯(lián)模式、處理模式、業(yè)務(wù)依賴、三性、不可否認(rèn)性等七個(gè)方面確定系統(tǒng)認(rèn)證級(jí)。背景介紹與系統(tǒng)等級(jí)相關(guān)的國外資料：背景介紹上述定級(jí)方法存在問題僅由信息重要性確定信息系統(tǒng)的等級(jí)，對(duì)大型企業(yè)和重點(diǎn)行業(yè)的重要業(yè)務(wù)系統(tǒng)不合適。在通過三性影響分析，并根據(jù)三者取高的方法中，無法為可用性要求高和保密性要求高兩類系統(tǒng)提出統(tǒng)一的技術(shù)要求。確定系統(tǒng)等級(jí)，與業(yè)務(wù)無關(guān)，不滿足等級(jí)保護(hù)的監(jiān)管需要。定級(jí)范圍往往只在局部范圍內(nèi)。背景介紹上述定級(jí)方法存在問題等級(jí)確定的原則全局性原則信息系統(tǒng)安全等級(jí)保護(hù)是針對(duì)全國范圍內(nèi)、涵蓋各個(gè)行業(yè)信息系統(tǒng)的管理制度，信息系統(tǒng)安全保護(hù)等級(jí)的劃分也必須從國家層面考慮，體現(xiàn)全局性。業(yè)務(wù)為核心原則信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)的，信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)依據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要性、業(yè)務(wù)對(duì)信息系統(tǒng)的依賴度和系統(tǒng)特殊的安全需求確定。等級(jí)確定的原則全局性原則等級(jí)確定的原則滿足監(jiān)管要求原則信息系統(tǒng)安全保護(hù)等級(jí)既不是信息系統(tǒng)安全保障等級(jí)，也不是信息系統(tǒng)所能達(dá)到的技術(shù)能力等級(jí)，而是從安全監(jiān)管需要，從信息系統(tǒng)對(duì)國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息或信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度確定的信息系統(tǒng)應(yīng)達(dá)到的安全等級(jí)。合理性原則不同于信息安全產(chǎn)品，信息系統(tǒng)千差萬別，各具特色，只有在劃分安全保護(hù)等級(jí)的過程中，盡可能反映出信息系統(tǒng)的主要安全特征，合理劃分等級(jí)，才能做到突出重點(diǎn)，適度保護(hù)。等級(jí)確定的原則滿足監(jiān)管要求原則決定等級(jí)的主要因素分析

從目前的資料上看，已在不同分級(jí)方法中出現(xiàn)的作為劃分信息系統(tǒng)安全等級(jí)的因素主要包括：?jiǎn)挝粯I(yè)務(wù)在國家事務(wù)中的重要性（實(shí)施意見）；資產(chǎn)（包括有形資產(chǎn)和無形資產(chǎn)）（FIPS199，IATF，DITSCAP，NIST800-37）；威脅（IATF）；信息被破壞后對(duì)國家、社會(huì)公共利益和單位或個(gè)人的影響（FIPS199，通用要求，實(shí)施指南）；單位業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度（DITSCAP）

決定等級(jí)的主要因素分析 從目前的資料上看，已在不同分級(jí)方法中決定等級(jí)的主要因素分析

經(jīng)分析，除排除威脅因素外，劃分等級(jí)時(shí)應(yīng)考慮以下因素：信息系統(tǒng)所屬類型，即信息系統(tǒng)的安全利益主體。信息系統(tǒng)主要處理的業(yè)務(wù)數(shù)據(jù)類別。信息系統(tǒng)服務(wù)范圍，包括服務(wù)對(duì)象和服務(wù)網(wǎng)絡(luò)覆蓋范圍。業(yè)務(wù)處理的自動(dòng)化程度，或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務(wù)的程度。決定等級(jí)的主要因素分析 經(jīng)分析，除排除威脅因素外，劃分等級(jí)時(shí)決定等級(jí)的主要因素分析信息系統(tǒng)所屬類型業(yè)務(wù)數(shù)據(jù)類別信息系統(tǒng)服務(wù)范圍業(yè)務(wù)處理的自動(dòng)化程度業(yè)務(wù)重要性業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性業(yè)務(wù)依賴性決定等級(jí)的主要因素分析信息系統(tǒng)所屬類型業(yè)務(wù)數(shù)據(jù)類別信息系統(tǒng)服決定等級(jí)的主要因素分析業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性信息系統(tǒng)安全保護(hù)等級(jí)決定等級(jí)的主要因素分析業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性信息系統(tǒng)安等級(jí)確定方法

具體步驟：通過對(duì)信息系統(tǒng)類型和業(yè)務(wù)數(shù)據(jù)類型賦值，確定信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性等級(jí)；通過對(duì)信息系統(tǒng)服務(wù)范圍和業(yè)務(wù)處理自動(dòng)化程度賦值，確定信息系統(tǒng)的業(yè)務(wù)處理連續(xù)性等級(jí)；通過業(yè)務(wù)數(shù)據(jù)安全性等級(jí)和業(yè)務(wù)處理連續(xù)性等級(jí)確定信息系統(tǒng)安全保護(hù)等級(jí)。等級(jí)調(diào)整

等級(jí)確定方法 具體步驟：信息系統(tǒng)類型賦值信息系統(tǒng)所屬類型賦值表信息系統(tǒng)所屬類型賦值信息系統(tǒng)的社會(huì)影響1信息系統(tǒng)受到破壞會(huì)對(duì)單位利益有直接影響2信息系統(tǒng)受到破壞會(huì)對(duì)公共利益有直接影響，或?qū)野踩嬗虚g接影響3信息系統(tǒng)受到破壞會(huì)對(duì)國家安全利益有直接影響信息系統(tǒng)類型賦值信息系統(tǒng)所屬類型賦值表信息系統(tǒng)所屬類型賦值信信息系統(tǒng)類型舉例典型的信息系統(tǒng)所屬類型

信息系統(tǒng)所屬類型賦值信息系統(tǒng)所屬類型1屬于一般企事業(yè)單位，處理其內(nèi)部事務(wù)的信息系統(tǒng)2屬于重要行業(yè)、重要領(lǐng)域和國家基礎(chǔ)設(shè)施，為國計(jì)民生、經(jīng)濟(jì)建設(shè)等提供重要服務(wù)的信息系統(tǒng)3屬于黨政機(jī)關(guān)，處理國家事務(wù)的信息系統(tǒng)信息系統(tǒng)類型舉例典型的信息系統(tǒng)所屬類型信息系統(tǒng)所屬類型賦值確定業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)數(shù)據(jù)安全性等級(jí)矩陣

業(yè)務(wù)數(shù)據(jù)類型信息系統(tǒng)類型12311222233344確定業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)數(shù)據(jù)安全性等級(jí)矩陣業(yè)務(wù)數(shù)據(jù)類型信息系確定信息系統(tǒng)安全保護(hù)等級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)數(shù)據(jù)安全性等級(jí)和業(yè)務(wù)處理連續(xù)性等級(jí)較高者決定。

確定信息系統(tǒng)安全保護(hù)等級(jí)信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)數(shù)據(jù)安組合形式信息系統(tǒng)安全保護(hù)等級(jí)對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)安全性要求級(jí)別（Sx）和業(yè)務(wù)處理連續(xù)性要求級(jí)別(Cy)的組合。

系統(tǒng)保護(hù)安全等級(jí)各種組合（Sx，Cy）第一級(jí)（S1，C1）第二級(jí)（S1，C2）,（S2，C2）,（S2，C1）第三級(jí)（S1，C3）,（S2，C3）,（S3，C3）,（S3，C2）,（S3，C1）第四級(jí)（S1，C4）,（S2，C4）,（S3，C4）,（S4，C4）,（S4，C3）,（S4，C2）,（S4，C1）組合形式信息系統(tǒng)安全保護(hù)等級(jí)對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)安全性要求級(jí)別（S等級(jí)劃分流程劃分信息系統(tǒng)/子系統(tǒng)分析承載的業(yè)務(wù)重要性和依賴度確定信息系統(tǒng)/子系統(tǒng)安全保護(hù)等級(jí)調(diào)整信息系統(tǒng)/子系統(tǒng)安全保護(hù)等級(jí)等級(jí)劃分流程劃分信息系統(tǒng)/子系統(tǒng)分析承載的業(yè)務(wù)重要性和依賴度基本要求標(biāo)準(zhǔn)編制

情況介紹基本要求標(biāo)準(zhǔn)編制

情況介紹基本要求標(biāo)準(zhǔn)編制的主要思路根據(jù)6號(hào)文件描述的5個(gè)監(jiān)管等級(jí)對(duì)象，確定保護(hù)對(duì)象；根據(jù)保護(hù)對(duì)象所可能面臨的威脅，確定系統(tǒng)的整體保護(hù)能力；根據(jù)所應(yīng)具有的整體保護(hù)能力，確定系統(tǒng)的安全目標(biāo)；提出滿足安全目標(biāo)的安全要求。基本要求標(biāo)準(zhǔn)編制的主要思路根據(jù)6號(hào)文件描述的5個(gè)監(jiān)管等級(jí)對(duì)象5個(gè)監(jiān)管等級(jí)對(duì)象第一級(jí)：信息系統(tǒng)所承載業(yè)務(wù)涉及公民、法人和其他組織的權(quán)益，受到破壞后對(duì)公民、法人和其他組織的權(quán)益造成一定損害；該業(yè)務(wù)的開展在一定程度上依托于信息系統(tǒng)，系統(tǒng)受到破壞后對(duì)業(yè)務(wù)正常開展產(chǎn)生一定影響。第二級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)直接關(guān)系到公民、法人和其他組織的權(quán)益，受到破壞后會(huì)對(duì)公民、法人和其他組織的權(quán)益造成嚴(yán)重?fù)p害；該業(yè)務(wù)的開展主要依托于信息系統(tǒng)，系統(tǒng)受到破壞后影響業(yè)務(wù)正常開展。第三級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)涉及國家、社會(huì)和公共利益，受到破壞后會(huì)對(duì)國家、社會(huì)和公共利益造成損害的；該業(yè)務(wù)的開展主要依托于信息系統(tǒng)，系統(tǒng)受到破壞后影響業(yè)務(wù)正常開展。5個(gè)監(jiān)管等級(jí)對(duì)象第一級(jí)：信息系統(tǒng)所承載業(yè)務(wù)涉及公民、法人和其5個(gè)監(jiān)管等級(jí)對(duì)象第四級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)直接關(guān)系到國家、社會(huì)和公共利益，受到破壞后會(huì)對(duì)國家、社會(huì)和公共利益造成嚴(yán)重?fù)p害的；該業(yè)務(wù)的開展完全依托于信息系統(tǒng)，系統(tǒng)受到破壞后業(yè)務(wù)無法開展。第五級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)受到破壞后，會(huì)直接對(duì)國家安全造成嚴(yán)重?fù)p害。5個(gè)監(jiān)管等級(jí)對(duì)象第四級(jí)：信息系統(tǒng)所承載的業(yè)務(wù)直接關(guān)系到國家、整體保護(hù)能力各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力是不同的，即能夠?qū)瓜到y(tǒng)面臨的威脅的程度以及在遭到威脅破壞后，系統(tǒng)能夠恢復(fù)之前的各種狀態(tài)的能力是不同的。系統(tǒng)的整體保護(hù)能力就是由威脅對(duì)抗能力和恢復(fù)能力的組合而成。

整體保護(hù)能力各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力是不同的，即能夠?qū)瓜到y(tǒng)面整體保護(hù)能力--威脅分類整體保護(hù)能力--威脅分類整體保護(hù)能力--威脅分級(jí)描述不同級(jí)別對(duì)抗的威脅的種類不同對(duì)于同類威脅，不同級(jí)別對(duì)抗的具體威脅的破壞能力也不同。整體保護(hù)能力--威脅分級(jí)描述不同級(jí)別對(duì)抗的威脅的種類不同安全目標(biāo)

每一級(jí)的安全目標(biāo)與威脅之間存在對(duì)應(yīng)關(guān)系，每個(gè)威脅至少被一個(gè)安全目標(biāo)所覆蓋；反過來，每個(gè)安全目標(biāo)至少覆蓋一個(gè)威脅。一級(jí)具有15個(gè)技術(shù)目標(biāo)，16個(gè)管理目標(biāo)；二級(jí)具有29個(gè)技術(shù)目標(biāo)，25個(gè)管理目標(biāo)；三級(jí)具有36個(gè)技術(shù)目標(biāo)，27個(gè)管理目標(biāo)；四級(jí)具有41個(gè)技術(shù)目標(biāo)，28個(gè)管理目標(biāo)。安全目標(biāo)每一級(jí)的安全目標(biāo)與威脅之間存在對(duì)應(yīng)關(guān)安全要求的選擇信息系統(tǒng)的安全要求包括安全技術(shù)要求和安全管理要求兩類。根據(jù)信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性等級(jí)（S）和業(yè)務(wù)處理連續(xù)性等級(jí)（C），分別選擇S類技術(shù)要求、C類技術(shù)要求和G類技術(shù)要求。信息系統(tǒng)的安全等級(jí)與技術(shù)要求組合是一對(duì)多的關(guān)系。

安全要求的選擇信息系統(tǒng)的安全要求包括安全技術(shù)要求和安全管理要安全要求等級(jí)區(qū)別安全要求的增加安全要求的增強(qiáng)安全要求等級(jí)區(qū)別安全要求的增加安全技術(shù)要求的組成安全技術(shù)要求的組成安全技術(shù)要求-物理安全技術(shù)要求-物理安全技術(shù)要求-網(wǎng)絡(luò)安全技術(shù)要求-網(wǎng)絡(luò)安全技術(shù)要求-主機(jī)安全技術(shù)要求-主機(jī)安全技術(shù)要求-應(yīng)用安全技術(shù)要求-應(yīng)用安全技術(shù)要求-數(shù)據(jù)安全技術(shù)要求-數(shù)據(jù)安全管理要求安全管理要求管理部分形成的基本思路系統(tǒng)規(guī)劃管理機(jī)構(gòu)和人員政策和制度系統(tǒng)設(shè)計(jì)管理系統(tǒng)實(shí)施管理系統(tǒng)運(yùn)維管理系統(tǒng)廢棄管理信息系統(tǒng)生命周期檢查和監(jiān)督管理指導(dǎo)限制執(zhí)行監(jiān)督管理部分形成的基本思路系統(tǒng)規(guī)劃管理機(jī)構(gòu)和人員政策和制度系統(tǒng)設(shè)管理部分的覆蓋范圍信息系統(tǒng)的生命周期系統(tǒng)規(guī)劃(定級(jí)\規(guī)劃等)系統(tǒng)設(shè)計(jì)(設(shè)計(jì)\開發(fā)\采購等)系統(tǒng)實(shí)施(安裝\配置\測(cè)試等)系統(tǒng)運(yùn)維系統(tǒng)廢棄管理人員管理制度組織的使命\目標(biāo)\戰(zhàn)略\政策系統(tǒng)變更管理機(jī)構(gòu)管理部分的覆蓋范圍信息系統(tǒng)的生命周期系統(tǒng)規(guī)劃(定級(jí)\規(guī)劃等)不同級(jí)別之間的區(qū)別管理活動(dòng)控制點(diǎn)的增加每個(gè)控制點(diǎn)具體管理要求的增多管理活動(dòng)的能力逐步加強(qiáng)借鑒能力成熟度模型（CMM）一級(jí)非正式執(zhí)行二級(jí)計(jì)劃和跟蹤三級(jí)良好定義四級(jí)持續(xù)改進(jìn)不同級(jí)別之間的區(qū)別管理活動(dòng)控制點(diǎn)的增加安全管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查安全管理機(jī)構(gòu)崗位設(shè)置安全管理制度管理制度制定和發(fā)布評(píng)審和修訂安全管理制度管理制度安全管理人員人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)第三方人員管理安全管理人員人員錄用系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)安全風(fēng)險(xiǎn)評(píng)估安全方案設(shè)計(jì)產(chǎn)品采購自行開發(fā)設(shè)計(jì)外包開發(fā)設(shè)計(jì)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付安全測(cè)評(píng)系統(tǒng)備案安全服務(wù)商選擇系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)工程實(shí)施系統(tǒng)運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備使用管理運(yùn)行維護(hù)和監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防護(hù)管理密碼管理變更管理備份和恢復(fù)管理安全事件處置應(yīng)急計(jì)劃管理系統(tǒng)運(yùn)維管理環(huán)境管理系統(tǒng)安全管理實(shí)施指南標(biāo)準(zhǔn)編制

情況介紹實(shí)施指南標(biāo)準(zhǔn)編制

情況介紹實(shí)施指南標(biāo)準(zhǔn)編制目標(biāo)《實(shí)施指南》作為一個(gè)對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的指南性文件，其目標(biāo)是介紹和描述實(shí)施信息系統(tǒng)等級(jí)保護(hù)過程中應(yīng)該涉及的階段和從事的活動(dòng)，包括：活動(dòng)的內(nèi)容和控制方法；活動(dòng)的主要參與者；活動(dòng)中將要使用的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)；活動(dòng)的主要工作產(chǎn)品等通過過程和活動(dòng)的介紹，使讀者了解和知曉對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的方法，不同的角色在不同階段的作用等等。實(shí)施指南標(biāo)準(zhǔn)編制目標(biāo)《實(shí)施指南》作為一個(gè)對(duì)信息系統(tǒng)實(shí)施等級(jí)保實(shí)施指南標(biāo)準(zhǔn)編制的主要思路以信息系統(tǒng)等級(jí)保護(hù)建設(shè)為主要線索定義信息系統(tǒng)等級(jí)保護(hù)實(shí)施的生命周期對(duì)每個(gè)階段介紹和描述主要的實(shí)施活動(dòng)對(duì)每個(gè)活動(dòng)說明實(shí)施主體、主要內(nèi)容和輸入輸出實(shí)施指南標(biāo)準(zhǔn)編制的主要思路以信息系統(tǒng)等級(jí)保護(hù)建設(shè)為主要線索實(shí)施指南內(nèi)容介紹---角色和職責(zé)

信息系統(tǒng)等級(jí)保護(hù)的實(shí)施過程中涉及到各類組織和人員，他們將會(huì)參與不同的或相同的活動(dòng)，比如信息系統(tǒng)的主管單位和信息系統(tǒng)的運(yùn)營單位將參與系統(tǒng)定級(jí)活動(dòng)，如果委托安全服務(wù)商進(jìn)行定級(jí)，則安全服務(wù)商也會(huì)參與定級(jí)活動(dòng)；又如信息系統(tǒng)的運(yùn)營單位可以自己完成風(fēng)險(xiǎn)分析活動(dòng)，也可以委托安全服務(wù)商完成風(fēng)險(xiǎn)分析活動(dòng)。實(shí)施指南內(nèi)容介紹---角色和職責(zé)信息系統(tǒng)等級(jí)保護(hù)的實(shí)施過程實(shí)施指南內(nèi)容介紹---角色和職責(zé)

本指