第4章 網(wǎng)絡(luò)安全等級保護(hù)

第4章網(wǎng)絡(luò)安全等級保護(hù)4.1網(wǎng)絡(luò)安全等級保護(hù)概述

4.2網(wǎng)絡(luò)安全等級保護(hù)基本要求

4.3網(wǎng)絡(luò)安全等級保護(hù)實(shí)施流程4.1網(wǎng)絡(luò)安全等級保護(hù)概述4.1.1網(wǎng)絡(luò)安全等級保護(hù)基本內(nèi)容1.基本概念指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。是國家網(wǎng)絡(luò)安全的一項(xiàng)基本制度、基本國策，國家通過制定統(tǒng)一的等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織分等級實(shí)行安全保護(hù)，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。在國家統(tǒng)一政策指導(dǎo)下，各單位、各部門依法開展等級保護(hù)工作，有關(guān)職能部門對等級保護(hù)工作實(shí)施監(jiān)督管理。4.1.1網(wǎng)絡(luò)安全等級保護(hù)基本內(nèi)容2.國家法律政策依據(jù)2017年6月1日施行的《中華人民共和國網(wǎng)絡(luò)安全法》，第二十一條規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一條規(guī)定，國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。4.1.1網(wǎng)絡(luò)安全等級保護(hù)基本內(nèi)容3.實(shí)施等級保護(hù)的基本原則明確責(zé)任，共同保護(hù)依照標(biāo)準(zhǔn)，開展保護(hù)同步建設(shè)，動態(tài)調(diào)整指導(dǎo)監(jiān)督，重點(diǎn)保護(hù)4.1.1網(wǎng)絡(luò)安全等級保護(hù)基本內(nèi)容4．角色及其職責(zé)國家通過制定統(tǒng)一的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織行政機(jī)關(guān)、公民、法人和其他組織按重要程度開展有針對性的保護(hù)工作，對不同安全保護(hù)級別實(shí)行不同強(qiáng)度的監(jiān)管政策。國家統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全等級保護(hù)工作，負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作的統(tǒng)籌協(xié)調(diào)。國務(wù)院公安部門主管網(wǎng)絡(luò)安全等級保護(hù)工作，負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作的監(jiān)督、檢測、指導(dǎo)。行業(yè)主管部門應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)的規(guī)定和有關(guān)標(biāo)準(zhǔn)規(guī)范要求，組織、指導(dǎo)本行業(yè)、本領(lǐng)域落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度，監(jiān)督、檢測、指導(dǎo)本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)安全等級保護(hù)工作。網(wǎng)絡(luò)運(yùn)營者。安全服務(wù)機(jī)構(gòu)、等級測評機(jī)構(gòu)。4.1.1網(wǎng)絡(luò)安全等級保護(hù)基本內(nèi)容5．開展等級保護(hù)的意義

網(wǎng)絡(luò)安全等級保護(hù)制度是國家網(wǎng)絡(luò)安全保障工作的基本制度，關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)安全等級保護(hù)的重點(diǎn)，網(wǎng)絡(luò)安全等級保護(hù)制度涵蓋關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)。4.1.1網(wǎng)絡(luò)安全等級保護(hù)基本內(nèi)容6．正確理解網(wǎng)絡(luò)安全等級保護(hù)制度與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的關(guān)系等級保護(hù)制度是普適性的制度，是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護(hù)制度的保護(hù)重點(diǎn)；等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是網(wǎng)絡(luò)安全的兩個重要方面，不可分割。關(guān)鍵信息基礎(chǔ)設(shè)施必須按照網(wǎng)絡(luò)安全等級保護(hù)制度要求，開展定級備案、等級測評、安全建設(shè)整改、安全檢查等強(qiáng)制性、規(guī)定性工作；網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)在第三級（含）以上網(wǎng)絡(luò)中確定關(guān)鍵信息基礎(chǔ)設(shè)施；關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，要落實(shí)公安機(jī)關(guān)、保密部門、密碼部門的保衛(wèi)、保護(hù)、監(jiān)管責(zé)任，落實(shí)網(wǎng)絡(luò)運(yùn)營者和行業(yè)主管部門的主體責(zé)任；公安機(jī)關(guān)在情報(bào)偵察、追蹤溯源、快速處置、打擊犯罪、等級保護(hù)、通報(bào)預(yù)警、互聯(lián)網(wǎng)管理等方面，發(fā)揮職能作用，發(fā)揮主力軍作用，保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全。4.1.2網(wǎng)絡(luò)安全等級保護(hù)架構(gòu)4.2網(wǎng)絡(luò)安全等級保護(hù)基本要求4.2.1保護(hù)對象基本概念等級保護(hù)對象（targetofclassifiedprotection）是指：網(wǎng)絡(luò)安全等級保護(hù)工作的作用對象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（例如工業(yè)控制系統(tǒng)、云計(jì)算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的信息系統(tǒng)以及其他信息系統(tǒng)）和大數(shù)據(jù)等?？腕w（object）定義為：受法律保護(hù)的、等級保護(hù)對象受到破壞時所侵害的社會關(guān)系。如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權(quán)益。4.2.1保護(hù)對象基本概念等級保護(hù)對象的安全保護(hù)等級分為以下五級：第一級，等級保護(hù)對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，等級保護(hù)對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，等級保護(hù)對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，等級保護(hù)對象受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，等級保護(hù)對象受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。4.2.2安全保護(hù)能力不同等級的保護(hù)對象應(yīng)具備的基本安全保護(hù)能力如下：第一級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能；第二級安全保護(hù)能力：應(yīng)能夠防護(hù)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在自身遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能；第三級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能；4.2.2安全保護(hù)能力不同等級的保護(hù)對象應(yīng)具備的基本安全保護(hù)能力如下：第四級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能；第五級安全保護(hù)能力：（略）。4.2.3安全要求

應(yīng)依據(jù)保護(hù)對象的安全保護(hù)等級保證它們具有相應(yīng)等級的安全護(hù)能力，不同安全保護(hù)等級的保護(hù)對象要求具有不同的安全保護(hù)能力。

安全通用要求是針對不同安全保護(hù)等級對象應(yīng)該具有的安全保護(hù)能力提出的安全要求，根據(jù)實(shí)現(xiàn)方式的不同，安全要求分為技術(shù)要求和管理要求兩大類。

技術(shù)類安全要求從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全幾個層面提出，與提供的技術(shù)安全機(jī)制有關(guān)，主要通過部署軟硬件并正確地配置其安全功能來實(shí)現(xiàn)；

管理類安全要求與各種角色參與的活動有關(guān)，從安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理幾個方面提出，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。4.3網(wǎng)絡(luò)安全等級保護(hù)實(shí)施流程4.3.1等級保護(hù)的基本流程1．等級保護(hù)的工作環(huán)節(jié)網(wǎng)絡(luò)定級。備案：第二級以上網(wǎng)絡(luò)運(yùn)營者，應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級確定后30日內(nèi)，由網(wǎng)絡(luò)運(yùn)營者到所在地區(qū)的地市級以上公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門辦理備案手續(xù)，提交定級報(bào)告。建設(shè)整改。等級測評：第三級以上網(wǎng)絡(luò)運(yùn)營者（含關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者）應(yīng)每年開展一次網(wǎng)絡(luò)安全等級測評。監(jiān)督檢查：網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對本單位落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度情況和網(wǎng)絡(luò)安全狀況，每年至少開展一次自查；公安機(jī)關(guān)監(jiān)督檢查運(yùn)營者開展等級保護(hù)工作，定期對第三級以上的網(wǎng)絡(luò)進(jìn)行安全檢查；運(yùn)營者應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)。4.3.1等級保護(hù)的基本流程2．等級保護(hù)工作過程的基本要求網(wǎng)絡(luò)運(yùn)營者應(yīng)按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認(rèn)真整改、科學(xué)測評”的要求完成等級保護(hù)的定級、備案、整改、測評等工作。網(wǎng)絡(luò)安全保護(hù)等級是網(wǎng)絡(luò)本身的客觀屬性，不應(yīng)以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以網(wǎng)絡(luò)的重要性和網(wǎng)絡(luò)遭受到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定網(wǎng)絡(luò)安全等級。4.3.2定級1．定級要素保護(hù)等級對象的級別由兩個定級要素決定：等級保護(hù)對象受到破壞時所侵害的客體和對客體造成侵害的程度。作為定級對象應(yīng)具有如下基本特征：具有唯一確定的安全責(zé)任單位；具有保護(hù)對象的基本要素，應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體；承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用。4.3.2定級2．受侵害的客體公民、法人和其他組織的合法權(quán)益：由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益等受到損害。社會秩序、公共利益：影響國家機(jī)關(guān)社會管理和公共服務(wù)的工作秩序，影響各種類型的經(jīng)濟(jì)活動秩序，影響各行業(yè)的科研、生產(chǎn)秩序，影響公眾在法律約束和道德規(guī)范下的正常生活秩序等，其他影響社會秩序的事項(xiàng)；侵害公共利益的事項(xiàng)包括：影響社會成員使用公共設(shè)施，影響社會成員獲取公開信息資源，影響社會成員接受公共服務(wù)等方面，其他影響公共利益的事項(xiàng)。國家安全：影響國家政權(quán)穩(wěn)固和國防實(shí)力，影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定，影響國家對外活動中的政治、經(jīng)濟(jì)利益，影響國家重要的安全保衛(wèi)工作，影響國家經(jīng)濟(jì)競爭力和科技實(shí)力，其他影響國家安全的事項(xiàng)。4.3.2定級3．對客體的侵害程度在針對不同的受侵害客體進(jìn)行侵害程度的判斷時，應(yīng)參照以下不同的判別基準(zhǔn)：如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn)；如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級4.3.2定級4．定級的一般流程4.3.2定級5．定級方法4.3.2定級6．等級變更

當(dāng)?shù)燃壉Ｗo(hù)對象所處理的信息、業(yè)務(wù)狀態(tài)和系統(tǒng)服務(wù)范圍發(fā)生變化，可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)安全受到破壞后的受侵害客體和對客體的侵害程度有較大的變化時，可能影響到等級保護(hù)對象的安全保護(hù)等級，應(yīng)根據(jù)本標(biāo)準(zhǔn)要求重新確定定級對象、重新定級。4.3.3備案第二級（含）以上網(wǎng)絡(luò)，在安全保護(hù)等級確定后30日內(nèi)，由其網(wǎng)絡(luò)運(yùn)營者或者其主管部門到所在地設(shè)區(qū)的地市級以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的網(wǎng)絡(luò)系統(tǒng)，由主管部門向公安部辦理備案手續(xù)；其他網(wǎng)絡(luò)系統(tǒng)向北京市公安局備案?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的地市級以上公安機(jī)關(guān)備案。4.3.4建設(shè)整改基本工作1．工作目標(biāo)網(wǎng)絡(luò)安全管理水平明顯提高；網(wǎng)絡(luò)安全防范能力明顯增強(qiáng)；網(wǎng)絡(luò)安全隱患和安全事故明顯減少；有效保障信息化健康發(fā)展；有效維護(hù)國家安全、社會秩序和公共利益。4.3.4建設(shè)整改基本工作2．工作內(nèi)容開展安全管理制度建設(shè)的內(nèi)容：落實(shí)網(wǎng)絡(luò)安全責(zé)任制。成立網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，明確網(wǎng)絡(luò)安全工作的主管領(lǐng)導(dǎo)。成立專門的網(wǎng)絡(luò)安全管理部門或落實(shí)網(wǎng)絡(luò)安全責(zé)任部門，確定安全崗位，落實(shí)專職人員或兼職人員，明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé)任部門和有關(guān)人員的網(wǎng)絡(luò)安全責(zé)任。落實(shí)人員安全管理制度。制定人員錄用、離崗、考核、教育培訓(xùn)等管理制度，落實(shí)管理的具體措施。對安全崗位人員要進(jìn)行安全審查，定期進(jìn)行培訓(xùn)、考核和安全保密教育，提高安全崗位人員的專業(yè)水平，逐步實(shí)現(xiàn)安全崗位人員持證上崗。4.3.4建設(shè)整改基本工作2．工作內(nèi)容開展安全管理制度建設(shè)的內(nèi)容：落實(shí)網(wǎng)絡(luò)建設(shè)管理制度。建立網(wǎng)絡(luò)定級備案、方案設(shè)計(jì)、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級測評、安全服務(wù)等管理制度，明確工作內(nèi)容、工作方法、工作流程和工作要求。落實(shí)網(wǎng)絡(luò)運(yùn)維管理制度。建立機(jī)房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置等管理制度，制定應(yīng)急預(yù)案并定期開展演練，采取相應(yīng)的管理技術(shù)措施和手段，確保系統(tǒng)運(yùn)維管理制度有效落實(shí)。4.3.4建設(shè)整改基本工作3．工作流程4.3.4建設(shè)整改基本工作4．工作要求開展安全建設(shè)整改工作的網(wǎng)絡(luò)范圍如下：將已備案的第二級（含）以上網(wǎng)絡(luò)系統(tǒng)納入安全建設(shè)整改的范圍；尚未開展定級備案的網(wǎng)絡(luò)系統(tǒng)，要先定級備案，再開展安全建設(shè)整改；新建網(wǎng)絡(luò)系統(tǒng)要同步開展安全建設(shè)工作。在建設(shè)整改中，要落實(shí)如下工作要求：統(tǒng)一組織，加強(qiáng)領(lǐng)導(dǎo)循序漸進(jìn)，分步實(shí)施結(jié)合實(shí)際，制定規(guī)范認(rèn)真總結(jié)，按時報(bào)送4.3.4建設(shè)整改基本工作5．工作效果第一級網(wǎng)絡(luò)：經(jīng)過安全建設(shè)整改，網(wǎng)絡(luò)具有抵御一般性攻擊的能力，以及防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力；遭到損害后，具有恢復(fù)主要功能的能力。第二級網(wǎng)絡(luò)：經(jīng)過安全建設(shè)整改，網(wǎng)絡(luò)具有抵御小規(guī)模，較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，以及防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進(jìn)行記錄的能力；遭到損害后，具有恢復(fù)正常運(yùn)行狀態(tài)的能力。4.3.4建設(shè)整改基本工作5．工作效果第三級網(wǎng)絡(luò)：經(jīng)過安全建設(shè)整改，網(wǎng)絡(luò)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，以及防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報(bào)警及記錄入侵行為的能力；具有對安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對于服務(wù)保障性要求高的網(wǎng)絡(luò)，應(yīng)該能快速恢復(fù)正常運(yùn)行狀態(tài)；具有對網(wǎng)絡(luò)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。4.3.4建設(shè)整改基本工作5．工作效果第四級網(wǎng)絡(luò)：經(jīng)過安全建設(shè)整改，網(wǎng)絡(luò)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴(yán)重的自然災(zāi)害的能力，以及防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報(bào)警及記錄入侵行為的能力；具有對安全事件進(jìn)行快速響應(yīng)處置，并且能夠追蹤安全責(zé)任的能力；遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對于服務(wù)保障性要求較高的網(wǎng)絡(luò)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對網(wǎng)絡(luò)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。4.3.5等級測評1．等級測評的基本含義網(wǎng)絡(luò)安全等級保護(hù)測評工作是指測評機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。網(wǎng)絡(luò)安全等級保護(hù)測評包括標(biāo)準(zhǔn)符合性評判活動和風(fēng)險評估活動，即依據(jù)網(wǎng)絡(luò)安全等級保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，按照特定方法對網(wǎng)絡(luò)的安全保護(hù)能力進(jìn)行科學(xué)、公正的綜合評判過程。4.3.5等級測評2．等級測評的目的和作用掌握信息系統(tǒng)的安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；衡量信息系統(tǒng)的安全保護(hù)管理措施和技術(shù)措施是否符合等級保護(hù)基本要求，是否具備了相應(yīng)的安全保護(hù)能力；等級測評結(jié)果，為公安機(jī)關(guān)等安全監(jiān)管部門開展監(jiān)督檢查指導(dǎo)等工作提供參照。4.3.5等級測評3．開展等級測評的時機(jī)安全建設(shè)整改前安全建設(shè)整改后定期開展等級測評4.3.5等級測評4．等級測評的標(biāo)準(zhǔn)依據(jù)5．等級測評工作規(guī)范標(biāo)準(zhǔn)性原則規(guī)范性原則可控性原則整體性原則最小影響性原則保密性原則針對性原則4.3.5等級測評6．等級測評工作流程4.3.5等級測評7．等級測評指標(biāo)安全要求類層面第一級第二級第三級第四級技術(shù)要求物理和環(huán)境安全7101010網(wǎng)絡(luò)和通信安全4688設(shè)備和計(jì)算安全4666應(yīng)用和數(shù)據(jù)安全591010管理要求安全策略和管理制度1344安全管理結(jié)構(gòu)和人員7999安全建設(shè)管理7101010安全運(yùn)維管理81414144.3.5等級測評7．等級測評指標(biāo)

物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度安全管理結(jié)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理總計(jì)第1級77881791360第2級161416215162531144第3級223326357253447229第4級2434263972835482414.3.5等級測評8．測評結(jié)果研判的步驟1）單對象單測評項(xiàng)研判；2）測評項(xiàng)權(quán)重賦值；3）控制點(diǎn)分析與量化；4）問題嚴(yán)重程度值計(jì)算；5）修正后的嚴(yán)重程度值和符合程度的計(jì)算；6）系統(tǒng)安全保障情況得分計(jì)算。4.3.5等級測評9．測評報(bào)告測評報(bào)告的目錄大致如下。1.測評項(xiàng)目概述2.被測項(xiàng)目情況3.等級測評范圍和方法 3.1 測評指標(biāo) 3.1.1 安全通用要求指標(biāo) 3.1.2 安全擴(kuò)展要求指標(biāo) 3.1.3 其他安全要求指標(biāo)4.單項(xiàng)測評5.整體測評6.總體安全狀況分析7.問題處置建議附錄4.3.5等級測評10．測評機(jī)構(gòu)和測評人員的管理與監(jiān)督測評機(jī)構(gòu)及其測評人員不得從事以下活動：影響被測評信息系統(tǒng)正常運(yùn)