关于电子政务信息安全等级保护.doc
建立信息安全等级保护体系 保障电子政务有效安全
第四阶段 :运维和改进 阶段 。等级 保护主要关注运 行管
理 和 控制 ,变 更管 理和 控制 、安 全状 态监 控 、安全 事件处 置 和应急预案 、安全风险评估和持续 改进以及监督检查 等活
动 。针对该 区信息 系统和业务应用 的特 点 ,参照上级 网络与
信息 安全 事件专项 应急预 案的要求 ,制定 相应 的应急预 案 。 重 点监 控系 统 的变化 和 系统安全 风 险 的变化 ,使 用 了 自保
上 ,通过 划分 安全 域 的方式 ,横 向采 用划 分虚拟 子 网 ,纵
向采用基于 用户组的权限控制 ,对 网络 用户的访问权限进行 有效的控制 。在入侵 检测上 ,在重要 的网络 节点和关键服务
提 出本 期实施 项 目的具体实施 方案。根据安全建设方案 ,主
要在 5 个 层面上进 行实施 : ( 1)在物理环 境安全方面 ,严 格按照 国家计算机系统 物理安全 的有关 规定 ,重点做好机房 内的物理 安全建设 ,使 用防盗 门窗和红外报 警系统 ,配置不 问断 电源 ,做好设备接
设备以及操 作系统 自身 的审计功能 ,定期对主机 日 志、 入侵
检测 日志 、防火墙 日志等进行 审计和检查 ,以便于早期发现 系统被非法 访问的迹象 。在信息传输 上 ,采用安全的连接方 式 进行外 部对 内部 的远程 访问 ( 如 VP N) ,内部对 于路 由器 等网络设备和服务器的访问也采取 S S L加密的方式 ,对于政 府 内网在 建筑物 外的传输 线路 ,都采 用加密机进 行加 密。 ( 3)在 系统 安 全方 面 ,对 已公 布 的操 作系统 漏 洞和 安
电子政务外网安全等级保护基本要求(试行)
3.术语和定
义3
4.政务外网资产、威胁分析和脆弱
性5
4.1.资产分
析5
4.2.威胁分
析6
4.3.脆弱性分
析7
5.政务外网安全等级保护概
述8
5.1.政务外网安全保护等
级8
52不同等级的安全保护能
力8
6.第二级基本要
求9
6.1.IP承载网9
6.1.1.广域
网9
6.1.2.城域
网9
6.1.3.用户局域
YD/T 1746-2008 IP
«<信息安全等级保护商用密码管理办法>实施意见》(国密局发[2009]10号)
《电子政务电子认证服务管理办法》(国密局发[2009]7号)
3.术语和定义
GB/T 5271.8和GB 17859-1999确定的以及下列术语和定义适用于本要求。
3.1.安全保护能力Security Protection Ability
强的要求。对于承载涉及国家秘密信息系统的网络保护要求,按照国家相关法律法规和信息安全主
管部门的相关规定和标准实施。 对于涉及密码的使用和管理,按照国家密码管理主管部门的相关规定和标
准实施。凡涉及政务外网数字证书的相关要求,参照国家电子政务外网管理中心印发的相关管理 和技术规定执行。
国家电子政务外网安全等级保护基本要求(试行)
1.适用范围
本要求规定了国家电子政务外网(以下简称政务外网)不同安全保护等级网络的基本技术保护要求,适用
于指导政务外网安全等级保护的建设、整改、自查和测评工作,可作为安全等级保护和信息安全主管部门
对政务外网安全进行检查和指导时的依据。
本要求只涉及政务外网安全等级保护的基本技术要求,有关物理环境、主机/服务器、应 用、数据和管理
(智慧政务)电子政务信息安全等级保护实施指南
(智慧政务)电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
信息安全等级保护体系解读
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指
况
导
分
安全要求
析
信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)
电子政务外网安全等级保护基本要求(试行)
附件 2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网 96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网 117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规范国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
本要求由国家电子政务外网管理中心提出。
本要求由国家电子政务外网管理中心归口。
电子政务外网安全等级保护基本要求(试行)
附件2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言.................................................................................. . (1)引言.......................................................................................... (2)适用围.......................................................................................... .. (3)2. 规性引用文件.......................................................................................... (3)3. 术语和定义........................................................................................ (3)4. 政务外网资产、威胁分析和脆弱性........................................................................................ . (5)4.1. 资产分析.......................................................................................... .. (5)4.2. 威胁分析.......................................................................................... .. (6)4.3. 脆弱性分析.......................................................................................... . (7)5. 政务外网安全等级保护概述.......................................................................................... .. (8)5.1. 政务外网安全保护等级........................................................................................ .. (8)5.2. 不同等级的安全保护能力........................................................................................ . (8)6. 第二级基本要求.......................................................................................... (9)6.1. IP 承载网 96.1.1. 广域网........................................................................................ (9)6.1.2. 城域网........................................................................................ (9)6.1.3. 用户局域网........................................................................................ .. (10)6.2. 业务区域网络........................................................................................ . (10)6.2.1. 公用网络区........................................................................................ .. (10)6.2.2. 互联网接入区........................................................................................ . (10)6.3. 管理区域网络........................................................................................ (11)6.3.1. 网络管理区........................................................................................ .. (11)6.3.2. 安全管理区........................................................................................ .. (11)7. 第三级基本要求.......................................................................................... . (11)7.1. IP 承载网 117.1.1. 广域网........................................................................................ . (11)I7.1.2. 城域网.......................................................................................... (12)7.1.3. 用户局域网.......................................................................................... . (13)7.2. 业务区域网络.......................................................................................... (14)7.2.1. 公用网络区.......................................................................................... . (14)7.2.2. 互联网接入区........................................................................................ .. (14)7.2.3. 专用网络区.......................................................................................... . (15)7.3. 管理区域网络.......................................................................................... (15)7.3.1. 网络管理区.......................................................................................... . (15)7.3.2. 安全管理区.......................................................................................... . (16)7.3.3. 电子认证区.......................................................................................... . (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
电子政务信息系统安全等级保护定级
电子政务信息系统安全等级保护定级一、业务信息安全保护等级的确定1、业务信息描述电子政务系统业务信息包括:通知公告、行政办公、查询统计、图形浏览、个人助理、公共交流、综合服务等业务模块。
属于行政机关办理业务过程中形成的专有信息。
2、业务信息受到破坏时所侵害客体的确定,侵害的客体包括:1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体。
3、该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。
4、侵害的客观方面是指定级对象的具体侵害行为,侵害形势以及对客体的造成的侵害结果,表现为:5、一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害,形式可以包括丢失、破坏、损坏等,会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。
6、可以对社会秩序、公共利益造成侵害。
7、信息受到破坏后对侵害客体的侵害程度及上述分析- 2 -的结果的表现程度。
上述对公民、法人和其他组织侵害的程度表现为严重损害,及工作职能受到严重影响,业务能力显著下降,出现较严重的法律问题,较大范围的不良影响等。
对社会利益和公共秩序侵害的程度表现为一般损害。
8、确定业务信息安全等级,《定级指南》业务信息安全保护等级为第二级。
二、系统服务安全保护等级的确定1、系统服务描述该系统属于为国计民生和国家经济建设等提供服务的信息系统。
2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公民利益,但不损害国家安全。
客观方面表现的侵害结果为:1、可以对公民、法人和其他组织的合法权益造成侵害,影响正常工作的开展,导致业务能力下降,造成不良影响,引发法律纠纷等。
2、可以对社会公共利益造成侵害,造成社会不良影响,引起公共利益的损害等。
根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
电子政务涉密信息系统的分级保护建设
电子政务涉密信息系统的分级保护建设作者:姜楚江来源:《信息化建设》2009年第01期当前,我国电子政务建设取得了显著成效。
同时,由于国际国内形势特点,信息安全保密问题日益突出,病毒、木马、网络攻击等越来越多,给国家安全带来威胁。
很多单位开始准备涉及国家秘密的信息系统(以下简称涉密信息系统)建设,但由于对政策的不了解,加之建设标准的复杂和操作难度等问题,导致一些单位感到无从下手,建设进度缓慢。
本文从涉密信息系统准备、实施、测评、监管等方面作了阐述,供大家参考。
2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,明确提出了开展信息安全等级保护的任务,指出涉密信息系统要按照党和国家的有关保密规定进行保护。
中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》,明确提出要建立健全涉密信息系统分级保护制度。
2006年1月17日,公安部等四部门下发了《信息安全等级保护管理办法(试行)》,其中规定:涉密信息系统应当依据国家信息安全等级保护的基本要求,按照涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
从广义上来讲, 涉密信息系统分级保护是信息安全等级保护的一个重要内容和组成部分,但两者有区别也有联系,从表一可以看出,涉密信息系统分级保护三个等级的防护水平不低于国家等级保护的第三、四、五级要求。
涉密信息系统分级保护是指建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
按照处理信息的最高密级确定,涉密信息系统由低到高划分为秘密、机密和绝密三个等级。
绝密级信息系统应限定在封闭、安全可控的独立建筑群内。
下面谈下建设过程。
一、涉密信息系统分级保护实施过程(一)学习相关文件和标准。
近年来,由于信息安全技术的快速发展,涉密信息系统的建设标准也不断变化。
信息安全等级保护制度的主要内容和工作要求概述
三、等级保护(bǎohù)工作的具体内容和 要求
第三级信息系统:一般适用于地市级以上国家
机关、企业、事业单位内部重要的信息系统,
信息安全等级保护制度 的主要内容(nèiróng)和
工作要求概述
2002211//1111/5/5
第一页,共38页。
目录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准(biāozhǔn)
体系 三、等级保护工作的具体内容和工作要求
第二页,共38页。
一、等级保护制度的主要(zhǔyào) 内容
◆第五级,信息系统受到破坏后,会对国家
第二十七页,共38页。
三、等级(děngjí)保护工作的具体内容 和要求
实际操作中参考(cānkǎo)确定信息系统等级: ◆第一级信息系统:适用于小型私营、个体企业、
中小学、乡镇所属信息系统、县级单位中一般的 信息系统。
◆第二级信息系统:适用于县级某些单位中的重要 信息系统;地市级以上国家机关、企事业单位内 部一般的信息系统。例如非涉及工作秘密、商业 秘密、敏感信息的办公系统和管理系统等。
第十八页,共38页。
第十九页,共38页。
(二)信息安全等级保护标准 (biāozhǔn)体系
基础标准: 《计算机信息系统安全保护等级(děngjí)划分
准则》。 在此基础上制定出技术类、管理类、 产品类标准。 安全要求:
《信息系统安全等级(děngjí)保护基本要求》 信息系统安全等级(děngjí)保护的行业规范
导《
意关
见于
》开
公 信 安
展 信 息 安
全
等
级
保
号
护 安
全
电子政务信息安全等级保护实施指南
1.1.1.1.1.2电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (11)3.1 定级过程 (11)3.2 系统识别与描述 (12)3.2.1 系统整体识别与描述 (12)3.2.2 划分子系统的方法 (13)3.2.3 子系统识别与描述 (13)3.3 等级确定 (14)3.3.1 电子政务安全属性描述 (14)3.3.2 定级原则 (14)3.3.3 定级方法 (17)3.3.4 复杂系统定级方法 (18)4 安全规划与设计 (19)4.1 系统分域保护框架建立 (20)4.1.1 安全域划分 (20)4.1.2 保护对象分类 (20)4.1.3 系统分域保护框架 (22)4.2 选择和调整安全措施 (23)4.3 安全规划与方案设计 (25)4.3.1 安全需求分析 (25)4.3.2 安全项目规划 (26)4.3.3 安全工作规划 (26)4.3.4 安全方案设计 (26)5 实施、等级评估与运行 (27)5.1 安全措施的实施 (27)5.2 等级评估与验收 (27)5.3 运行监控与改进 (28)附录A 术语与定义 (28)附录B 大型复杂电子政务系统等级保护实施过程示例 (29)B.1 大型复杂电子政务系统描述 (29)B.2 等级保护实施过程描述 (30)B.3 系统划分与定级 (31)B.3.1 系统识别和子系统划分 (31)B.3.2 系统安全等级确定 (31)B.3.3 系统分域保护框架 (32)B.4 安全规划与设计 (35)B.4.1 安全措施的选择与调整 (35)B.4.2 等级化风险评估 (35)B.4.3 等级化安全体系设计 (36)B.4.4 安全规划与方案设计 (38)B.5 安全措施的实施 (41)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (12)图4-1安全规划与设计过程 (19)图4-2电子政务的保护对象及信息资产 (21)图4-3系统分域保护框架示意图 (23)图4-4确定安全措施的过程 (24)图4-5系统安全需求 (26)图5-1安全措施的实施 (27)图5-2等级保护的运行改进过程 (28)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (16)表4-1安全措施的调整因素和调整方式 (25)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
电子政务外网安全等级保护基本要求(试行)
电子政务外网安全等级保护基本要求(试行)附件 2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 .............................................................................................................................................................. (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规范国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
信息安全等级保护概念及案例分析
等级保护与分级保工作指南V1[1].0
![等级保护与分级保工作指南V1[1].0](https://img.taocdn.com/s3/m/6d5e4997daef5ef7ba0d3cb4.png)
内部资料等级保护与分级保护工作指南吉大正元信息技术股份有限公司2008年8月目录范围 (3)1背景与现状 (3)1.1等级保护思想的发展 (3)1.2政策发文情况 (4)1.3技术标准现状 (5)1.4工作开展现状 (6)2基本概念 (7)2.1基本含义 (7)2.2定级依据与等级划分 (8)2.3等级保护与分级保护对比表 (9)3等级保护工作流程与管理 (10)3.1等级保护整体工作流程 (10)3.2实施过程概述 (10)3.3等级保护各相关方的职责划分 (12)3.4用户等级保护的实施要求 (13)3.5主管部门的管理手段 (14)3.6等级保护对厂商和产品的资质管理 (14)4分级保护工作流程与管理 (15)4.1分级保护整体工作流程 (15)4.2实施过程概述 (15)4.3分级保护各相关方的职责划分 (18)4.4用户分级保护的实施要求 (20)4.5主管部门的管理手段 (20)4.6分级保护对厂商和产品的资质管理 (21)5FAQ (23)5.1等级保护FAQ (23)5.2分级保护FAQ (26)范围本文档描述了信息系统安全等级保护与涉密信息系统分级保护的背景、现状、基本概念、实施流程、主管部门的职责划分、用户的实施要求,以及对厂商的资质管理等内容,供公司内部人员了解和学习等级保护和分级保护参考。
1背景与现状1.1等级保护思想的发展➢信息系统分等级保护的思想在国际上已有二十多年的历史1983年美国国防部发布了《可信计算机系统评估准则》(TCSEC,俗称橘皮书),将计算机系统的安全等级分为D、C1、C2、B1、B2、B3和A1七个级别,开创了分等级保护的先河,之后欧洲将其发展为《信息技术安全性评估标准》(ITSEC),美国又在此基础上进一步完善推出了《通用安全评估准则》(CC)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦信息系统安全控制》(SP 800-53)和《美国国家空间战略》等,完善了计算机系统安全分级制度,并逐步落实了分等级保护的方法。
浅析电子政务与信息安全等级保护研究
政务的运转是政府重要 的信息 , 中有秘密 、 其 机密 、 绝密等文 件 ,一旦涉密就会影响社会的稳定 。因此要通过定期开展全
面的信息安全检查, 时掌握各单位系统 安全状况 , 及 认真查找 隐患, 堵塞安全漏洞 , 完善安全措施 , 少安全风 险, 减 提高应急 处置 能力, 促进 电子政务工作 的稳定和 安全发展 。 电子政务引发信息安全的因素有多种,一是要控制信息 安全 首先 要控制人, 因为信息工程建设就是人力 开发过程 , 若 是人才管 理不好或没有相应的资质水平的管理者,技术不过 关、 发觉系统 问题敏锐力不高 、 能力水平有限 。二是政府 信息 网络 安全存在 隐患。网络 非常脆 弱,信息安全 保障的主 要是
2 1 年 第 3 期 02 ( 总第 1 9期) 1
信 息 通 信
I ORM AT ON & COM M UNI NF I CAT ONS I
2 2 01
(圳 市委 深 圳 市人 民政 府 信 访 局 , 深 深圳 5 8 0 10 6)
子政务 与信 息安全等级 保护研 究。 关键词 : 电子政 务信息安全等级保护 中图分类号 : 2 . D5 34 文献标识码 : A 文章编 号 :63 13( 02)30 1.2 17 -1 12 1 0. 190
政 务 等级 保 护 工 作 , 行 统 一 部 署 、 一 标 准 、 ~ 检 查 , 高 实 统 统 提 其信 息 安全 水 平 。
设。
公共服 务的一种管理方式 。其 目的是畅通政府办公渠道 ,认
真 做好各项工作 , 受市民的监督, 接 努力为人 民群众服务 。 电子政 务是包含 电子政务网络、 安全支撑平 台、 应用支撑 平 台、 各类应用 系统、 息资源开发利用及共享等新建、 信 扩建 及升级 改造 。电子政务是政府部 门传统办公模式 的改革 ,提
关于电子政务信息安全等级保护
关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
电子政务信息安全等级保护实施指南
电子政务信息安全等级保护实施指南一、引言随着信息技术的快速发展,电子政务已经逐渐成为政府机构重要的工作手段和服务方式。
然而,电子政务也伴随着信息安全的风险和挑战。
为了保障电子政务信息的安全,政府机构需要制定和实施信息安全等级保护措施,确保电子政务系统的安全稳定运行。
本文将详细介绍电子政务信息安全等级保护实施指南。
二、电子政务信息安全等级划分针对电子政务系统,应根据其重要程度和风险程度,将其划分为多个安全等级。
划分安全等级可参考以下因素:1.信息价值:根据电子政务系统所涉及的敏感信息、业务流程、数据量等方面的综合评估,确定其信息价值。
2.风险评估:通过对潜在威胁和风险的评估,确定系统的风险程度。
3.法规要求:根据国家相关法规和标准,确定需要达到的安全等级。
在划分安全等级时,应确保安全等级与系统的敏感性和价值相适应,以确保资源和投入的有效利用。
1.安全政策和管理措施:建立并定期修订电子政务系统的安全政策,明确责任和权限,制定信息安全管理措施,保证系统的安全运行。
2.组织与人员安全:建立信息安全保护组织机构,明确各部门和人员的职责和权限。
配备专业的信息安全管理人员,通过培训和考核提升员工的信息安全意识和技能。
3.物理安全控制:采取物理安全措施,保护电子政务系统的物理环境安全。
包括门禁控制、机房布局、监控摄像等措施,防止物理攻击和非法入侵。
4.系统与网络安全管理:建立完善的系统和网络安全管理制度,包括身份认证、访问控制、日志审计等措施,保护系统和网络免受非法入侵和恶意活动的侵害。
5.数据安全管理:制定数据安全保护政策和措施,包括数据备份、加密和恢复等,确保敏感信息的机密性和完整性。
6.应用系统安全:建立应用系统安全管理制度,包括软件开发和安全测试、安全访问控制、漏洞修复等措施,保护应用系统的安全。
7.通信与传输安全:采取安全的通信和传输措施,保护数据在传输过程中的安全。
使用加密技术、防火墙等,防止数据泄露和篡改。
关于电子政务信息安全等级保护
关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
电子政务信息系统如何定级
信息系统安全保护等级的确定
• 摸底调查-7)识别用户类型和分布 摸底调查-
– 调查了解各系统的管理用户和一般用户,内部用户和外部用户, 调查了解各系统的管理用户和一般用户,内部用户和外部用户, 本地用户和远程用户等类型 – 了解用户或用户群的数量分布,各类用户可访问的数据信息类型 了解用户或用户群的数量分布, 和操作权限 – 作用:了解用户类型和数量,有助于判断系统服务中断或系统信 作用:了解用户类型和数量, 息被破坏可能影响的范围和程度
如果受侵害客体是公民法人或其他组织的合法权益则以本人或本单位的总体利益作为判断侵害程度的基准如果受侵害客体是社会秩序公共利益或国家安全则应以整个行业或国家的总体利益作为判断侵害程度的基准信息系统安全保护等级的确定对其他组织和个人造成较低损害信息系统安全保护等级的确定对其他组织和个人造成较严重损害信息系统安全保护等级的确定对其他组织和个人造成非常严重损害信息系统安全保护等级的确定第三步初步确定信息系统等级9业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民法人和其他组织的合法权益第一级第二级第二级社会秩序公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民法人和其他组织的合法权益第一级第二级第二级社会秩序公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统安全保护等级的确定定级人员需要将定级对象信息系统中的不同类重要信息分别分析其安全性受到破坏后所侵害的客体及对客体的侵害程度取其中最高结果作为业务信息安全保护等级再将定级对象信息系统中的不同类重要系统服务分别分析其受到破坏后所侵害的客体及对客体的侵害程度取其中最高结果作为业务服务安全保护等级信息系统安全保护等级的确定在信息系统安全保护等级确定过程中可以聘请专家进行咨询评审并出具定级评审意见对拟确定为第四级以上信息系统的运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审出具评审意见信息系统等级当专家意见与运营使用单位或者主管部门不一致时以运营使用单位或者主管部门意见为准信息系统安全保护等级的确定信息系统运营使用单位参考专家定级评审意见最终确定信息系统等级形成定级报告信息系统运营使用单位有上级主管部门的应当经上级主管部门对安全保护等级进行审核批准如果是跨地域联网运营使用的信息系统则必须由其上级主管部门审批确保同类系统或分支系统在各地域分别定级的一致性目录信息系统安全保护等级的案例信息系统安全保护等级的报告公安部定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档定级报告作为备案表表三的附件要在信息系统备案时一并提交信息系统运营使用单位在起草定级报告时可以请技术支持单位协助信息系统安全保护等级的报告该信息系统具有信息系统的基本要素有主机网络及相关配套设施构成的人机系统该信息系统承载着独立或单一的业务应用业务应
电子政务信息安全等级保护实施指南
电子政务信息安然等级庇护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)编写目的 (1)适用范围 (1)文档布局 (1)2 底子道理 (2)底子概念 (2)电子政务等级庇护的底子含义 (2)电子政务安然等级的层级划分 (3)电子政务等级庇护的底子安然要求 (4)底子方法 (4)等级庇护的要素及其关系 (4)电子政务等级庇护实现方法 (5)实施过程 (6)角色及职责 (9)系统间互联互通的等级庇护要求 (10)3 定级 (10)定级过程 (11)系统识别与描述 (11)系统整体识别与描述 (11)划分子系统的方法 (12)子系统识别与描述 (13)等级确定 (13)电子政务安然属性描述 (13)定级原那么 (14)定级方法 (16)复杂系统定级方法 (17)4 安然规划与设计 (18)系统分域庇护框架成立 (18)安然域划分 (18)庇护对象分类 (19)系统分域庇护框架 (21)选择和调整安然办法 (22)安然规划与方案设计 (24)安然需求阐发 (24)安然工程规划 (24)安然工作规划 (25)安然方案设计 (25)5 实施、等级评估与运行 (25)安然办法的实施 (25)等级评估与验收 (25)运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级庇护实施过程例如 (27)大型复杂电子政务系统描述 (27)等级庇护实施过程描述 (28)系统划分与定级 (29)系统识别和子系统划分 (29)系统安然等级确定 (29)系统分域庇护框架 (30)安然规划与设计 (33)安然办法的选择与调整 (33)等级化风险评估 (34)等级化安然体系设计 (34)安然规划与方案设计 (36)安然办法的实施 (39)图表目录图2-1电子政务等级庇护的实现方法 (6)图2-2电子政务等级庇护的底子流程 (7)图2-3等级庇护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安然规划与设计过程 (18)图4-2电子政务的庇护对象及信息资产 (20)图4-3系统分域庇护框架示意图 (22)图4-4确定安然办法的过程 (22)图4-5系统安然需求 (24)图5-1安然办法的实施 (25)图5-2等级庇护的运行改进过程 (26)表2-1电子政务系统五个安然等级的底子内容 (3)表3-1电子政务安然等级在安然属性方面的描述 (15)表4-1安然办法的调整因素和调整方式 (23)电子政务信息安然等级庇护实施指南〔试行〕1 引言1.1 编写目的国家信息化带领小组关于加强信息安然保障工作的定见〔中办发[2003]27号,以下简称“27号文件〞〕明确要求我国信息安然保障工作实行等级庇护制度,提出“抓紧成立信息安然等级庇护制度,制定信息安然等级庇护的办理方法和技术指南〞。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
2 基本原理2.1 基本概念2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
27 号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
电子政务等级保护工作分为管理层面和用户层面两个方面的工作。
管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。
用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。
本指南的内容主要针对用户层面的工作。
电子政务信息安全等级保护遵三循以下原则:a)重点保护原则电子政务等级保护要突出重点。
对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
b)“谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
c)分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
d)同步建设原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
e) 动态调整原则由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2.1.2 电子政务安全等级的层级划分66 号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。
按66 号文件的规定,对电子政务的五个安全等级定义如表2-1 所示。
2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。
对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。
电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。
a)安全策略安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。
安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。
b)安全组织安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。
c)安全技术安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。
d)安全运行安全运行市委了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。
具体的电子政务等级保护基本安全要求参见相关的国家标准。
2.2 基本方法2.2.1 等级保护的要素及其关系电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。
电子政务等级保护包含以下七个要素:a)电子政务系统电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。
b)目标目标是指电子政务系统的业务目标和安全目标,电子政务等级保护要保障业务目标和安全目标的实现。
c)电子政务信息安全等级电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。
d)安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。
e)安全风险安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。
安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。
f)安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。
g)安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。
电子政务等级保护各要素之间的关系是:a)电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。
b)安全措施需要满足系统安全保护要求,对抗系统所面临的风险。
1) 不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。
2) 系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了选择不同类型和强度的安全措施。
c)电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的成本,在适度成本下实现适度安全。
2.2.2 电子政务等级保护实现方法27 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。
电子政务等级保护的实现方法如图2-1 所示:__电子政务系统实施等级保护的方法是:a)依据电子政务安全等级的定级规则,确定电子政务系统的安全等级;b)按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求;c)依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。
2.3 实施过程电子政务等级保护的实施过程包括三个阶段,分别为:a)定级阶段b)规划与设计阶段c)实施、等级评估与改进阶段电子政务等级保护的基本流程如图2-2 所示:第一阶段:定级定级阶段主要包括两个步骤:a)系统识别与描述清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政务系统分解为电子政务子系统,描述系统和子系统的组成及边界。
b)等级确定完成电子政务系统总体定级和子系统的定级。
第二阶段:规划与设计规划与设计阶段主要包括三个步骤,分别为:系统分域保护框架建立通过对电子政务系统进行安全域划分、保护对象分类,建立电子政务系统的分域保护框架。
b)选择和调整安全措施根据电子政务系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定安全要求,选择和调整安全措施,确定出电子政务系统、子系统和各类保护对象的安全措施。
c)安全规划和方案设计根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。
第三阶段:实施、等级评估与改进实施、等级评估与改进阶段主要包括三个步骤,分别为:a)安全措施的实施依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。
b)评估与验收按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。
c)运行监控与改进运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。
如果经评估发现系统及其风险环境已发生重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。