文档项目五任务6电子政务信息安全等级保护实施指南.pptx

1、电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南27号文件确定未来号文件确定未来35年的信息安全纲领年的信息安全纲领当前我国信息安全保障工作的九大任务当前我国信息安全保障工作的九大任务1.实行信息安全等级保护实行信息安全等级保护2.加强以密码技术为基础的信息保护和网络信任体系建设加强以密码技术为基础的信息保护和网络信任体系建设3.建设和完善信息安全监控体系建设和完善信息安全监控体系4.重视信息安全应急处理工作重视信息安全应急处理工作5.加强信息安全技术研究开发，推进信息安全产业发展加强信息安全技术研究开发，推进信息安全产业发展6.加强信息安全法制建设标准化建设加强信息安全法制建

2、设标准化建设7.加快信息安全人才培养，增强全民信息安全意识加快信息安全人才培养，增强全民信息安全意识8.保证信息安全资金保证信息安全资金9.加强对信息安全保障工作的领导，建立健全信息安全管理责任制加强对信息安全保障工作的领导，建立健全信息安全管理责任制安全目标安全目标基础网络基础网络数据业务等级保护的基本概念等级保护的基本概念区域区域5区域4区域3区域2区域1等等级级化化信信息息安安全全体体系系框框架架安全措施安全措施技术技术运行运行组织组织策略策略统一终端管理内网监控边界保护策略发布策略制定组织建设运维手册岗位职责检查考核电子政务等级保护的含义电子政务等级保护的含义 实行信息安全等级保实行信

3、息安全等级保护：信息化发展的不同护：信息化发展的不同阶段和不同的信息系统阶段和不同的信息系统有着不同的安全有着不同的安全需求需求，必须从实际出发，综合必须从实际出发，综合平衡安全平衡安全成本成本和和风险风险，优化信息安全资源的配优化信息安全资源的配置，确保重点。要重点置，确保重点。要重点保护基础信息网络和关保护基础信息网络和关系国家安全、经济命脉、系国家安全、经济命脉、社会稳定等方面的重要社会稳定等方面的重要信息系统。信息系统。电子政务等级保护的含义电子政务等级保护的含义依据依据电子政务系统电子政务系统的使命与的使命与目标目标和系统重要程度，将系和系统重要程度，将系统划分为不同的统划分为不同的

4、安全等级安全等级，并综合平衡考虑，并综合平衡考虑系统安全要系统安全要求求、系统所面临、系统所面临安全风险安全风险和实施安全保护措施的和实施安全保护措施的成本成本，进行进行安全措施安全措施的调整和定制，形成不同等级的安全措施的调整和定制，形成不同等级的安全措施进行保护进行保护电子政务等级保护工作的内容电子政务等级保护工作的内容等级保护管理办法等级保护定级指南基本安全要求等级评估规范定级确定安全保障措施安全设计与建设运行监控与改进管理层管理层用户层用户层电子政务等级保护的基本原则电子政务等级保护的基本原则重点保护原则：重点保护原则：电子政务等级保护要突出重点，重点保护关系国家安全、经济命脉、社会稳

5、定等方面的重要电子政务系统，集中资源首先确保重点系统安全。自主保护原则：自主保护原则：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并组织实施安全防护。分区域保护原则：分区域保护原则：电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同安全保护等级的区域，实现不同强度的安全保护。同步建设、动态调整原则：同步建设、动态调整原则：电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应

6、用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当重新确定系统的安全保护等级。电子政务的五个安全等级电子政务的五个安全等级安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级第一级自主保护级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。参照国家标准自主进行保护。第二级第二级指导保护级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，适用于处理日常政务信

7、息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。造成中等程度的负面影响。在主管部门的指导下，按照国在主管部门的指导下，按照国家标准自主进行保护。家标准自主进行保护。第三级第三级监督保护级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。造成较大的负面

8、影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家在主管部门的监督下，按国家标准严格落实各项保护措施进标准严格落实各项保护措施进行保护。行保护。第四级第四级强制保护级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损机构财产、人员造成严重的负面影响，对国家安全造成较大损害。害。在主管部门的强制监督和检查在主管部门的强制监督和检查下，按国家标准严格落实各项下

9、，按国家标准严格落实各项措施进行保护。措施进行保护。第五级第五级专控保护级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和根据安全需求，由主管部门和运营单位对电子政务系统进行运营单位对电子政务系统进行专门控制和保护。专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保护

10、安全保护要求要求第第一一级级自主自主保护保护级级适用于一般的电子政务适用于一般的电子政务系统，系统遭到破坏后系统，系统遭到破坏后对政务机构履行其政务对政务机构履行其政务职能、机构财产、人员职能、机构财产、人员造成较小的负面影响。造成较小的负面影响。参照国家标参照国家标准自主进行准自主进行保护。保护。电子政务的五个安全等级电子政务的五个安全等级1安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和

11、提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查

12、下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保护安全保护要求要求第第二二级级指导指导保护保护级级适用于处理日常政务信适用于处理日常政务信息和提供一般政务服务息和提供一般政务服务的电子政务系统，系统的电子政务系统，系统遭到破坏后对政务机构遭到破坏后对政务机构履行其政务职能、机构履行其政务职能、机构财产、人员

13、造成中等程财产、人员造成中等程度的负面影响。度的负面影响。在主管部门在主管部门的指导下，的指导下，按照国家标按照国家标准自主进行准自主进行保护。保护。电子政务的五个安全等级电子政务的五个安全等级2电子政务的五个安全等级电子政务的五个安全等级3安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面

14、影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益

15、的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保护安全保护要求要求第第三三级级监督监督保护保护级级适用于处理重要政务信息适用于处理重要政务信息和提供重要政务服务的电和提供重要政务服务的电子政务系统，系统遭到破子政务系统，系统遭到破坏后对政务机构履行其政坏后对政务机构履行其政务职能、机构财产、人员务职能、机构财产、人员造成较大的负面影响，对造成较大的负面影响，对国家安全造成一定程度的国家安全造成一定程度的损害。

16、损害。在主管部门在主管部门的监督下，的监督下，按国家标准按国家标准严格落实各严格落实各项保护措施项保护措施进行保护。进行保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政

17、务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根

18、据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保护安全保护要求要求第第四四级级强制强制保护保护级级适用于涉及国家安全、适用于涉及国家安全、社会秩序、经济建设和社会秩序、经济建设和公共利益的重要电子政公共利益的重要电子政务系统，系统遭到破坏务系统，系统遭到破坏后对政务机构履行其政后对政务机构履行其政务职能、机构财产、人务职能、机构财产、人员造成严重的负面影响，员造成严重的负面影响，对国家安全造成较大损对国家安全造成较大损害。害。在主管部门在主管部门的强制监督的强制监督和检查下，和检查下，按国家标准按国家标准严格落实各严格落实

19、各项措施进行项措施进行保护。保护。电子政务的五个安全等级电子政务的五个安全等级-4安全安全等级等级等级等级名称名称基本描述基本描述安全保护要求安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职

20、能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系

21、统进行专门控制和保护。安全安全等级等级等级等级名称名称基本描述基本描述安全保护安全保护要求要求第第五五级级专控专控保护保护级级适用于关系国家安全、适用于关系国家安全、社会秩序、经济建设和社会秩序、经济建设和公共利益的核心系统，公共利益的核心系统，系统遭到破坏后对政务系统遭到破坏后对政务机构履行其政务职能、机构履行其政务职能、机构财产、人员造成极机构财产、人员造成极其严重的负面影响，对其严重的负面影响，对国家安全造成严重损害。国家安全造成严重损害。根据安全需根据安全需求，由主管求，由主管部门和运营部门和运营单位对电子单位对电子政务系统进政务系统进行专门控制行专门控制和保护。和保护。电子政务的五个

22、安全等级电子政务的五个安全等级-5电子政务安全措施的等级指标电子政务安全措施的等级指标电子政务安全措施等级指标是满足不同等级电子政务系统电子政务安全措施等级指标是满足不同等级电子政务系统基本安全要求的安全措施集合。基本安全要求的安全措施集合。电子政务安全措施指标体系包括五个级别，从第一级至第电子政务安全措施指标体系包括五个级别，从第一级至第五级，对应第五级，对应第1 15 5级的电子政务系统。级的电子政务系统。电子政务的安全措施指标体系可以分解为电子政务的安全措施指标体系可以分解为安全策略、安全安全策略、安全组织、安全技术和安全运行组织、安全技术和安全运行四个方面的安全指标。四个方面的安全指标

23、。2级要求：级要求：采用设备提供的多级用户管理授权，对每采用设备提供的多级用户管理授权，对每一个不同的用户授予不同的设备管理权限。一个不同的用户授予不同的设备管理权限。信息安全等级化指标库举例信息安全等级化指标库举例安全体系指标框架安全体系指标框架技术框架技术框架网络基础设施网络基础设施网络设备管理网络设备管理网络设备管理授权网络设备管理授权1级要求：级要求：采用网络设备自身提供的普通采用网络设备自身提供的普通/特权两级特权两级授权管理机制管理设备。授权管理机制管理设备。对应措施：对应措施：网络设备配置规范网络设备配置规范网络设备管理流程网络设备管理流程网络设备配置检查流程网络设备配置检查流程

24、3级要求：级要求：采用集中统一设备管理授权，通过中心服务采用集中统一设备管理授权，通过中心服务器实现对各个设备的用户管理、用户授权。器实现对各个设备的用户管理、用户授权。例如例如TACACS+、RADIOUS等。等。量化了安全要求量化了安全要求量化了安全措施量化了安全措施电子政务等级保护的基本要素电子政务等级保护的基本要素电子政务系统电子政务系统使命与目标使命与目标信息安全等级信息安全等级安全保护要求安全保护要求安全风险安全风险安全保护措施安全保护措施安全保护成本安全保护成本等级保护各要素之间的关系等级保护各要素之间的关系根本关系是不同根本关系是不同等级等级的的电子政务系统电子政务系统对应不同

25、对应不同等级等级的的安全措施安全措施核心问题是核心问题是安全措施安全措施的确定的确定安全措施需要满足安全措施需要满足系统保护要求系统保护要求，对抗系统所面临的，对抗系统所面临的风险风险系统保护要求系统保护要求的确定：不同电子政务系统的使命和业务的确定：不同电子政务系统的使命和业务目标目标的差异性，业的差异性，业务和务和系统系统本身的特性（所属信息资产特性、实际运行情况和所处环境等）本身的特性（所属信息资产特性、实际运行情况和所处环境等）的差异性，决定了的差异性，决定了系统保护要求系统保护要求特性（安全保护要求的类型和强度）的差特性（安全保护要求的类型和强度）的差异性。异性。安全措施安全措施的确

26、定：的确定：系统保护要求系统保护要求类型和强度的差异性，安全类型和强度的差异性，安全风险风险的差异性，的差异性，决定了选择不同类型和强度的决定了选择不同类型和强度的安全措施安全措施；安全措施安全措施的选择需要符合的选择需要符合系统保系统保护要求护要求的满足程度，面临的满足程度，面临风险风险的控制和降低程度和实施安全措施的的控制和降低程度和实施安全措施的成本成本三三者之间的平衡，在适度成本下实现适度安全者之间的平衡，在适度成本下实现适度安全 电子政务等级电子政务等级保护是以等级保护是以等级化的电子政务化的电子政务保护对象和电保护对象和电子政务安全措子政务安全措施等级指标为施等级指标为参照系，以风

27、参照系，以风险管理过程为险管理过程为主线，建立并主线，建立并实施电子政务实施电子政务等级保护体系等级保护体系的过程。的过程。电子政务等级保护的实现原理电子政务等级保护的实现原理电电子子政政务务等等级级保保护护实实施施过过程程等级保护过程与新建和已建系统生命周期对应关系等级保护过程与新建和已建系统生命周期对应关系 系统间互联互通的等级保护要求系统间互联互通的等级保护要求 同等级电子政务系统之间的互联互通：同等级电子政务系统之间的互联互通：由系统的拥有单位参照该等级的安全措施等级指标对访问控制的由系统的拥有单位参照该等级的安全措施等级指标对访问控制的要求，协商确定边界防护措施，保障互联互通电子政务

28、系统的安要求，协商确定边界防护措施，保障互联互通电子政务系统的安全全不同等级电子政务系统间的互联互通：不同等级电子政务系统间的互联互通：各系统要按照自身相应的安全等级要求进行保护，在此基础上协各系统要按照自身相应的安全等级要求进行保护，在此基础上协商对相互连接的保护。同时，高安全等级的系统要充分考虑引入商对相互连接的保护。同时，高安全等级的系统要充分考虑引入低安全等级系统后带来的风险，采取有效措施进行控制。低安全等级系统后带来的风险，采取有效措施进行控制。涉密系统与其它系统的互联互通，按照国家保密部门的涉密系统与其它系统的互联互通，按照国家保密部门的有关规定执行。有关规定执行。电子政务系统互联

29、互通中的密码配置按照国家密码管理电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。部门的要求执行。定级的方式与过程定级的方式与过程电子政务系统定级可以电子政务系统定级可以采用以下两种方式进行：采用以下两种方式进行：对系统整体定级：系统整对系统整体定级：系统整体定级是在识别出政务机体定级是在识别出政务机构所拥有的电子政务系统构所拥有的电子政务系统后，针对系统整体确定其后，针对系统整体确定其安全等级。安全等级。将系统分解为子系统后分将系统分解为子系统后分别定级：若规模庞大、系别定级：若规模庞大、系统复杂，则可以将系统分统复杂，则可以将系统分解为多层次的多个子系统解为多层次的多个子系统

30、后，对所分解的每个子系后，对所分解的每个子系统分别确定其安全等级。统分别确定其安全等级。定级原则定级原则 依据电子政务五个安全等级的基本要求，依据电子政务五个安全等级的基本要求，从信息安全的保密性、完整性、可用性三从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响其政务职能、机构财产、人员造成的影响来定义安全级别，并划分为五个等级。安来定义安全级别，并划分为五个等级。安全级别的确定应在单位层面和国家层面的全级别的确定应在单位层面和国家层面的整体环境下进行考虑。整体环境下进行考虑。安全级别第一级安全级别

31、第一级对政务机构自身造成较小的负面影响对政务机构自身造成较小的负面影响,包括：包括：对政务机构履行其政务职能带来较小的负面影响，对政务机构履行其政务职能带来较小的负面影响，政务机构还可以履行其基本的政务职能，但效率有政务机构还可以履行其基本的政务职能，但效率有较小程度的降低；较小程度的降低；对政务机构、相关单位、人员造成较小经济损失；对政务机构、相关单位、人员造成较小经济损失；对政务机构、相关单位、人员的形象或名誉造成较对政务机构、相关单位、人员的形象或名誉造成较小影响；小影响；不会造成人身伤害；不会造成人身伤害；不会造成犯罪或防碍对犯罪行为的调查；不会造成犯罪或防碍对犯罪行为的调查；安全级别

32、第安全级别第二二级级对政务机构自身造成中等程度的负面影响对政务机构自身造成中等程度的负面影响,包括：包括：对政务机构运行带来中等程度的负面影响，政务机对政务机构运行带来中等程度的负面影响，政务机构还可以履行其基本的政务职能，但效率有较大程构还可以履行其基本的政务职能，但效率有较大程度的降低；度的降低；对政务机构、相关单位、人员造成一定程度的经济对政务机构、相关单位、人员造成一定程度的经济损失；损失；对政务机构、相关单位、人员的形象或名誉造成一对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响；定程度的负面影响；造成轻微的人身伤害；造成轻微的人身伤害；不会造成犯罪或防碍对犯罪行为的调查

33、；不会造成犯罪或防碍对犯罪行为的调查；安全级别第安全级别第三三级级对政务机构自身造成较大的负面影响，对国家对政务机构自身造成较大的负面影响，对国家安全造成一定程度的损害，包括：安全造成一定程度的损害，包括：对政务机构运行带来较大的负面影响，政务机构的一对政务机构运行带来较大的负面影响，政务机构的一项或多项政务职能无法履行；项或多项政务职能无法履行；对政务机构、相关单位、人员造成较大经济损失；对政务机构、相关单位、人员造成较大经济损失；对政务机构、相关单位、人员的形象或名誉造成较大对政务机构、相关单位、人员的形象或名誉造成较大的负面影响；的负面影响；导致严重的人身伤害；导致严重的人身伤害；导致犯

34、罪或防碍对犯罪行为的调查；导致犯罪或防碍对犯罪行为的调查；安全级别第安全级别第四四级级对政务机构自身造成严重的负面影响，对国家对政务机构自身造成严重的负面影响，对国家安全造成较大损害，包括：安全造成较大损害，包括：对政务机构运行带来严重的负面影响，政务机构的对政务机构运行带来严重的负面影响，政务机构的多项政务职能无法履行，并在省级行政区域范围内多项政务职能无法履行，并在省级行政区域范围内造成严重影响；造成严重影响；对国家造成严重的经济损失；对国家造成严重的经济损失；对国家形象造成严重影响；对国家形象造成严重影响；导致较多的人员伤亡；导致较多的人员伤亡；导致危害国家安全的犯罪行为；导致危害国家安

35、全的犯罪行为；安全级别第安全级别第五五级级对政务机构自身造成极其严重的负面影响，对对政务机构自身造成极其严重的负面影响，对国家安全造成严重损害，包括：国家安全造成严重损害，包括：对政务机构运行带来较小的负面影响，中央政务机对政务机构运行带来较小的负面影响，中央政务机构的一项或多项政务职能无法履行，并在全国范围构的一项或多项政务职能无法履行，并在全国范围内造成极其严重的影响；内造成极其严重的影响；对国家造成极大的经济损失；对国家造成极大的经济损失；对国家形象造成极大影响；对国家形象造成极大影响；导致大量人员伤亡；导致大量人员伤亡；导致危害国家安全的严重犯罪行为；导致危害国家安全的严重犯罪行为；定

36、级方法定级方法考虑信息和服务两个因素，通过对每一类信息和服考虑信息和服务两个因素，通过对每一类信息和服务安全级别的分析，得到系统三性的级别，最终确务安全级别的分析，得到系统三性的级别，最终确定系统的安全等级。定系统的安全等级。安全级别可以根据实际情况进行调整。安全级别可以根据实际情况进行调整。系统定级公式：系统定级公式：系统安全等级系统安全等级(A)Max(系统保密性级别系统保密性级别),(系统完整系统完整性级别性级别),(系统可用性级别系统可用性级别)系统保密性级别系统保密性级别Max (各信息或服务的保密性级别各信息或服务的保密性级别)系统完整性级别系统完整性级别Max (各信息或服务的完

37、整性级别各信息或服务的完整性级别)系统可用性级别系统可用性级别Max (各信息或服务的可用性级别各信息或服务的可用性级别)安全规划与设计的过程安全规划与设计的过程安全域划分原则安全域划分原则功能应用相似性原则功能应用相似性原则安全属性相似性原则安全属性相似性原则资产价值资产价值安全要求安全要求安全威胁安全威胁保护对象分类保护对象分类建立系统分域保护框架的方法建立系统分域保护框架的方法充分覆盖充分覆盖互不重叠互不重叠无需细分无需细分如何构建系统分域保护框架如何构建系统分域保护框架选择和调整安全措施的过程选择和调整安全措施的过程安全措施调整因素和调整方式安全措施调整因素和调整方式序号序号调整因素调

38、整因素调整方式调整方式1 1三性等级中的三性等级中的1 12 2项低于系统安全等级项低于系统安全等级降低对应控制项的等级降低对应控制项的等级2 2出现基本安全要求之外的特定安全要求出现基本安全要求之外的特定安全要求增加控制项增加控制项3 3不存在基本安全要求所要控制的安全风险不存在基本安全要求所要控制的安全风险删减控制项删减控制项4 4风险评估识别出的风险在基本安全要求中风险评估识别出的风险在基本安全要求中没有控制项没有控制项增加控制项增加控制项5 5与相应基本安全要求提供的安全强度相与相应基本安全要求提供的安全强度相比，风险较低比，风险较低降低控制项的强度等级降低控制项的强度等级6 6与对应

39、基本安全要求提供的安全强度相与对应基本安全要求提供的安全强度相比，风险较高比，风险较高提高控制项的强度等级提高控制项的强度等级7 7相应基本安全要求中某些措施成本太高，相应基本安全要求中某些措施成本太高，无法承受无法承受通过其他措施进行弥补通过其他措施进行弥补安全规划与方案设计安全规划与方案设计 安全需求分析安全需求分析 安全现状和等级要求之间的差距安全现状和等级要求之间的差距 安全项目规划安全项目规划对安全项目的相关性、紧迫性、难易程度和预期效果等对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序因素进行分析，确定实施的先后顺序 安全工作规划安全工作规划 确定安

40、全工作的宗旨、远期安全工作目标和当年目标、确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作，并分析潜在的风险和障碍、所需的关键和重点的工作，并分析潜在的风险和障碍、所需的资源和预算资源和预算，进行实施策略选择，确定当年的安全工作，进行实施策略选择，确定当年的安全工作计划和等级保护项目建设计划计划和等级保护项目建设计划安全方案设计安全方案设计 技术解决方案、管理解决方案技术解决方案、管理解决方案实施、等级评估与运行实施、等级评估与运行安全管理措施建设安全管理措施建设安全技术措施建设安全技术措施建设等级评估与验收等级评估与验收运行监控与改进运行监控与改进交付成果交付成果简介简介安全

41、评估报告安全评估报告 通过调查资产、分析网络、系统和业务等方通过调查资产、分析网络、系统和业务等方式，全面了解安全组织、策略、运作和技术式，全面了解安全组织、策略、运作和技术等安全现状。等安全现状。安全体系总体框架安全体系总体框架 确定信息系统安全等级、安全建设的目标以确定信息系统安全等级、安全建设的目标以及总体安全笼廓和框架。及总体安全笼廓和框架。安全规划安全规划 对比安全现状和目标之间的差距，分析并明对比安全现状和目标之间的差距，分析并明确安全重点工作。确安全重点工作。安全策略安全策略 为客户指定不同层面和类型的安全策略，包为客户指定不同层面和类型的安全策略，包括制度、流程、规范和运行维护

42、计划等。括制度、流程、规范和运行维护计划等。安全解决方案安全解决方案 根据现有安全问题和安全规划，制定各类详根据现有安全问题和安全规划，制定各类详细的安全解决方案。细的安全解决方案。等级化安全体系管理软件等级化安全体系管理软件（定制）（定制）通过管理软件对等级化安全体系进行管理和通过管理软件对等级化安全体系进行管理和维护。维护。等级化安全体系试点交付成果等级化安全体系试点交付成果等级化安全体系的设计成果等级化安全体系的设计成果安全组织安全组织主管领导（主管安全）主管领导（主管安全）领导小组组长领导小组组长Xx部门负部门负责人责人成员成员Xx部门负部门负责人责人成员成员Xx部门负部门负责人责人成

43、员成员Xx部门负部门负责人责人工作组组长工作组组长Xx部门负部门负责人责人成员成员Xx系统管理系统管理员员成员成员Xx系统管理系统管理员员成员成员Xx系统管理员系统管理员成员成员Xx系统管理系统管理员员办公室负责人办公室负责人Xx系统管理员系统管理员成员成员安全管理员安全管理员安全技术员安全技术员信息安全办公室信息安全办公室等级化安全体系的设计成果等级化安全体系的设计成果安全技术安全技术防病毒防病毒监控监控审计审计认证认证第三方第三方统一接入统一接入安全域安全域访问访问控制控制访问访问控制控制访问访问控制控制主机主机安全安全边界边界隔离隔离数据库数据库安全安全应用应用安全安全安全域安全域边界边

44、界隔离隔离表现：解决方案等级化安全体系的设计成果等级化安全体系的设计成果安全运行安全运行项目工程项目工程建设建设安全风险安全风险管理管理安全运行安全运行维护维护安全体系安全体系建设建设建设期间建设期间运行维护期间运行维护期间等级化安全体系的设计成果等级化安全体系的设计成果安全策略安全策略信息安全方针信息安全方针xx管理规定管理规定工作流程工作流程xx组织人员职责组织人员职责xx安全技术规范安全技术规范信息安全体系信息安全体系xx层面层面xx信息安全工作管理办法信息安全工作管理办法xx组织人员职责组织人员职责xx层面层面工作表单工作表单运行维护计划运行维护计划应急响应计划应急响应计划xx层面层面等级化安全体系的设计成果等级化安全体系的设计成果-指标库指标库谢 谢！