《电子政务信息安全等级保护实施指南》_第1页
《电子政务信息安全等级保护实施指南》_第2页
《电子政务信息安全等级保护实施指南》_第3页
《电子政务信息安全等级保护实施指南》_第4页
《电子政务信息安全等级保护实施指南》_第5页
已阅读5页,还剩43页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、电子政务信息安全等级保护实施指南(试行)PAGE PAGE 42国务院信息息化工作办办公室文件件国信办2200525号关于印发电子政务务信息安全全等级保护护实施指南南(试行)的通知各省、自治治区、直辖辖市信息化化领导小组组办公室,中中央和国家家机关各部部委信息化化领导小组组办公室: 现现将电子子政务信息息安全等级级保护实施施指南(试试行)印印发你们,供供你们在开开展电子政政务信息安安全保障工工作中参考考。 国务院信信息化工作作办公室 二五年九月月十五日电子政务信信息安全等等级保护实施指南(试试行)国务院信息息化工作办办公室2005年年9月目 录TOC o 1-3 h z u HYPERLINK

2、 l _Toc113407965 1 引言 PAGEREF _Toc113407965 h 1 HYPERLINK l _Toc113407966 1.1 编编写目的 PAGEREF _Toc113407966 h 1 HYPERLINK l _Toc113407967 1.2 适适用范围 PAGEREF _Toc113407967 h 1 HYPERLINK l _Toc113407968 1.3 文文档结构 PAGEREF _Toc113407968 h 1 HYPERLINK l _Toc113407969 2 基本原原理 PAGEREF _Toc113407969 h 2 HYPERL

3、INK l _Toc113407970 2.1 基本本概念 PAGEREF _Toc113407970 h 2 HYPERLINK l _Toc113407971 2.1.11 电子政政务等级保保护的基本本含义 PAGEREF _Toc113407971 h 2 HYPERLINK l _Toc113407972 2.1.22 电子政政务安全等等级的层级级划分 PAGEREF _Toc113407972 h 3 HYPERLINK l _Toc113407973 2.1.33 电子政政务等级保保护的基本本安全要求求 PAGEREF _Toc113407973 h 4 HYPERLINK l _

4、Toc113407974 2.2 基基本方法 PAGEREF _Toc113407974 h 4 HYPERLINK l _Toc113407975 2.2.11 等级保保护的要素素及其关系系 PAGEREF _Toc113407975 h 4 HYPERLINK l _Toc113407976 2.2.22 电子政政务等级保保护实现方方法 PAGEREF _Toc113407976 h 5 HYPERLINK l _Toc113407977 2.3 实实施过程 PAGEREF _Toc113407977 h 6 HYPERLINK l _Toc113407978 2.4 角角色及职责责 PA

5、GEREF _Toc113407978 h 9 HYPERLINK l _Toc113407979 2.5 系系统间互联联互通的等等级保护要要求 PAGEREF _Toc113407979 h 10 HYPERLINK l _Toc113407980 3 定级 PAGEREF _Toc113407980 h 10 HYPERLINK l _Toc113407981 3.1 定定级过程 PAGEREF _Toc113407981 h 11 HYPERLINK l _Toc113407982 3.2 系系统识别与与描述 PAGEREF _Toc113407982 h 11 HYPERLINK l

6、_Toc113407983 3.2.11 系统整整体识别与与描述 PAGEREF _Toc113407983 h 11 HYPERLINK l _Toc113407984 3.2.22 划分子子系统的方方法 PAGEREF _Toc113407984 h 12 HYPERLINK l _Toc113407985 3.2.33 子系统统识别与描描述 PAGEREF _Toc113407985 h 13 HYPERLINK l _Toc11334079986 3.3 等等级确定 PAGEREF _Toc113407986 h 13 HYPERLINK l _Toc113407987 3.3.11

7、电子政政务安全属属性描述 PAGEREF _Toc113407987 h 13 HYPERLINK l _Toc113407988 3.3.22 定级原原则 PAGEREF _Toc113407988 h 13 HYPERLINK l _Toc113407989 3.3.33 定级方方法 PAGEREF _Toc113407989 h 16 HYPERLINK l _Toc113407990 3.3.44 复杂系系统定级方方法 PAGEREF _Toc113407990 h 17 HYPERLINK l _Toc113407991 4 安全规规划与设计计 PAGEREF _Toc1134079

8、91 h 18 HYPERLINK l _Toc113407992 4.1 系系统分域保保护框架建建立 PAGEREF _Toc113407992 h 18 HYPERLINK l _Toc113407993 4.1.11 安全域域划分 PAGEREF _Toc113407993 h 18 HYPERLINK l _Toc113407994 4.1.22 保护对对象分类 PAGEREF _Toc113407994 h 19 HYPERLINK l _Toc113407995 4.1.33 系统分分域保护框框架 PAGEREF _Toc113407995 h 21 HYPERLINK l _To

9、c113407996 4.2 选选择和调整整安全措施施 PAGEREF _Toc113407996 h 22 HYPERLINK l _Toc113407997 4.3 安安全规划与与方案设计计 PAGEREF _Toc113407997 h 24 HYPERLINK l _Toc113407998 4.3.11 安全需需求分析 PAGEREF _Toc113407998 h 24 HYPERLINK l _Toc113407999 4.3.22 安全项项目规划 PAGEREF _Toc113407999 h 24 HYPERLINK l _Toc113408000 4.3.33 安全工工作规

10、划 PAGEREF _Toc113408000 h 25 HYPERLINK l _Toc113408001 4.3.44 安全方方案设计 PAGEREF _Toc113408001 h 25 HYPERLINK l _Toc11334080002 5 实施、等级评估估与运行 PAGEREF _Toc113408002 h 25 HYPERLINK l _Toc113408003 5.1 安安全措施的的实施 PAGEREF _Toc113408003 h 25 HYPERLINK l _Toc113408004 5.2 等等级评估与与验收 PAGEREF _Toc113408004 h 25

11、HYPERLINK l _Toc113408005 5.3 运运行监控与与改进 PAGEREF _Toc113408005 h 26 HYPERLINK l _Toc113408006 附录A 术术语与定义义 PAGEREF _Toc113408006 h 27 HYPERLINK l _Toc113408007 附录B 大大型复杂电电子政务系系统等级保保护实施过过程示例 PAGEREF _Toc113408007 h 27 HYPERLINK l _Toc113408008 B.1 大大型复杂电电子政务系系统描述 PAGEREF _Toc113408008 h 27 HYPERLINK l

12、_Toc113408009 B.2 等等级保护实实施过程描描述 PAGEREF _Toc113408009 h 28 HYPERLINK l _Toc113408010 B.3 系系统划分与与定级 PAGEREF _Toc113408010 h 29 HYPERLINK l _Toc113408011 B.3.11 系统识识别和子系系统划分 PAGEREF _Toc113408011 h 29 HYPERLINK l _Toc113408012 B.3.22 系统安安全等级确确定 PAGEREF _Toc113408012 h 29 HYPERLINK l _Toc113408013 B.3.

13、33 系统分分域保护框框架 PAGEREF _Toc113408013 h 30 HYPERLINK l _Toc113408014 B.4 安安全规划与与设计 PAGEREF _Toc113408014 h 33 HYPERLINK l _Toc113408015 B.4.11 安全措措施的选择择与调整 PAGEREF _Toc113408015 h 33 HYPERLINK l _Toc113408016 B.4.22 等级化化风险评估估 PAGEREF _Toc113408016 h 34 HYPERLINK l _Toc113408017 B.4.33 等级化化安全体系系设计 PAGE

14、REF _Toc113408017 h 34 HYPERLINK l _Toc113408018 B.4.44 安全规规划与方案案设计 PAGEREF _Toc113408018 h 36 HYPERLINK l _Toc113408019 B.5 安安全措施的的实施 PAGEREF _Toc113408019 h 39图表目录TOC h z c 图 HYPERLINK l _Toc113253558 图 211电子政务务等级保护护的实现方方法 PAGEREF _Toc113253558 h 6 HYPERLINK l _Toc113253559 图 222电子政务务等级保护护的基本流流程 P

15、AGEREF _Toc113253559 h 7 HYPERLINK l _Toc113253560 图 233等级保护护过程与新新建和已建建系统生命命周期对应应关系 PAGEREF _Toc113253560 h 9 HYPERLINK l _Toc113253561 图 311定级工作作流程 PAGEREF _Toc113253561 h 11 HYPERLINK l _Toc113253562 图 411安全规划划与设计过过程 PAGEREF _Toc113253562 h 18 HYPERLINK l _Toc113253563 图 422电子政务务的保护对对象及信息息资产 PAGER

16、EF _Toc113253563 h 20 HYPERLINK l _Toc113253564 图 433系统分域域保护框架架示意图 PAGEREF _Toc113253564 h 22 HYPERLINK l _Toc113253565 图 444确定安全全措施的过过程 PAGEREF _Toc113253565 h 22 HYPERLINK l _Toc113253566 图 455系统安全全需求 PAGEREF _Toc113253566 h 24 HYPERLINK l _Toc113253567 图 511安全措施施的实施 PAGEREF _Toc113253567 h 25 HYP

17、ERLINK l _Toc113253568 图 522等级保护护的运行改改进过程 PAGEREF _Toc113253568 h 26TOC h z c 表 HYPERLINK l _Toc113253569 表 211电子政务务系统五个个安全等级级的基本内内容 PAGEREF _Toc113253569 h 3 HYPERLINK l _Toc113253570 表 311电子政务务安全等级级在安全属属性方面的的描述 PAGEREF _Toc113253570 h 15 HYPERLINK l _Toc113253571 表 411安全措施施的调整因因素和调整整方式 PAGEREF _To

18、c113253571 h 23电子政务信信息安全等等级保护实实施指南(试试行)引言编写目的国家信息息化领导小小组关于加加强信息安安全保障工工作的意见见(中办办发2000327号,以下简称称“27号文文件”)明确要求求我国信息息安全保障障工作实行行等级保护护制度,提出“抓紧建立立信息安全全等级保护护制度,制制定信息安安全等级保保护的管理理办法和技技术指南”。20044年9月发发布的关关于信息安安全等级保保护工作的的实施意见见(公通通字20004666号,以以下简称“66号文文件”)进一步强强调了开展展信息安全全等级保护护工作的重重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本

19、要求和实施计划,部署了实施信息安全等级保护工作的操作办法。27号文件件和66号号文件不但但为各行业业开展信息安安全等级保保护工作指指明了方向向,同时也也为各行业业如何根据据自身特点点做好信息安全全等级保护护工作提出出了更高的的要求。电电子政务作作为国家信信息化战略略的重要组组成部分,其其安全保障障事关国家家安全和社社会稳定,必必须按照227号文件件要求,全全面实施信信息安全等等级保护。因此,组织编制制电子政政务信息安安全等级保保护实施指指南,规规范电子政政务信息安安全等级保保护工作的的基本思路路和实施方方法,指导导我国电子子政务建设设中的信息息安全保障障工作,对对搞好电子子政务信息息安全保障障

20、具有十分分重要的现现实意义。适用范围本指南提提供了电子子政务信息息安全等级级保护的基基本概念、方法和过过程,适用用于指导各各级党政机机关新建电电子政务系系统和已建建电子政务务系统的等等级保护工工作。文档结构本指南包括括五个章节节和两个附录。第1章为引引言,介绍绍了本指南南的编写目目的、适用用范围和文文档结构;第2章为为基本原理理,描述了了等级保护护的概念、原理、实实施过程、角色与职职责,以及系统统间互联互互通的等级级保护要求求;第3章章描述了电子政务务等级保护护的定级,包包括定级过过程、系统统识别和描描述、等级级确定;第第4章描述述了电子政务务等级保护护的安全规规划与设计计,包括电电子政务系系

21、统分域保保护框架的的建立,选择和调调整安全措措施,以及安全全规划与方方案设计;第5章描描述了安全措施施的实施、等级评估估,以及等级级保护的运运行改进。附录A介绍绍了本指南南术语定义义;附录BB介绍了大大型复杂电电子政务系系统等级保保护实施过过程的示例例。除明确声明明外,本指指南中所提提到的等级级保护、电电子政务等等级保护都都是指电子子政务信息息安全等级级保护。基本原理基本概念电子政务等等级保护的的基本含义义信息安全等等级保护是是国家在国国民经济和和社会信息息化的发展展过程中,提提高信息安安全保障能能力和水平平,维护国国家安全、社会稳定定和公共利利益,保障障和促进信信息化健康康发展的基基本策略。

22、27号文文件对信息息安全等级级保护做出出了系统的的描述“信息化发发展的不同同阶段和不不同的信息息系统有着着不同的安安全需求,必必须从实际际出发,综综合平衡安安全成本和和风险,优优化信息安安全资源的的配置,确确保重点。要重点保保护基础信信息网络和和关系国家家安全、经经济命脉、社会稳定定等方面的的重要信息息系统。”电子政务信信息安全等等级保护是是根据电子子政务系统统在国家安安全、经济济安全、社社会稳定和和保护公共利利益等方面面的重要程程度,结合合系统面临临的风险、系统特定定安全保护护要求和成成本开销等因素素,将其划划分成不同同的安全保保护等级,采取相应应的安全保保护措施,以以保障信息息和信息系系统

23、的安全全。电子政务等等级保护工工作分为管管理层面和和用户层面面两个方面面的工作。管理层的的主要工作作是制定电电子政务信信息安全等等级保护的的管理办法法、定级指指南、基本本安全要求求、等级评评估规范以以及对电子子政务等级级保护工作作的管理等等。用户层层的主要工工作是依据据管理层的的要求对电电子政务系系统进行定定级,确定定系统应采采取的安全全保障措施施,进行系系统安全设设计与建设设,以及运运行监控与与改进。本本指南的内内容主要针针对用户层层面的工作作。电子政务信信息安全等等级保护遵遵循以下原原则:重点保护原原则电子政务等等级保护要要突出重点点。对关系系国家安全全、经济命命脉、社会会稳定等方方面的重

24、要要电子政务务系统,应应集中资源源优先建设设。“谁主管谁谁负责、谁谁运营谁负负责”原则电子政务等等级保护要要贯彻“谁主管谁谁负责、谁谁运营谁负负责”的原则,由由各主管部部门和运营营单位依照照国家相关关法规和标标准,自主主确定电子子政务系统统的安全等等级并按照照相关要求求组织实施施安全保障障。分区域保护护原则电子政务等等级保护要要根据各地地区、各行行业电子政政务系统的的重要程度度、业务特特点和不同同发展水平平,分类、分级、分分阶段进行行实施,通通过划分不不同的安全全区域,实实现不同强强度的安全全保护。同步建设原原则电子政务系系统在新建、改建建、扩建时时应当同步步建设信息息安全设施施,保证信息安安

25、全与信息息化建设相相适应。5) 动动态调整原原则由于信息与与信息系统统的应用类类型、覆盖盖范围、外部部环境等约束条件处于不不断变化与发展展之中,因此信息息与信息系系统的安全全保护等级级需要根据据变化情况况,适时重重新确定,并相应调整对应的的保护措施施。电子政务安安全等级的的层级划分66号文件件中规定信信息系统的的安全等级级从低到高高依次包括括自主保护护级、指导导保护级、监督保护护级、强制制保护级、专控保护护级五个安安全等级。按66号文文件的规定定,对电子政务务的五个安全全等级定义义如表2-1所示。表 2 SEQ 表 * ARABIC s 1 11电子政务务系统五个个安全等级级的基本内内容安全等

26、级等级名称基本描述安全保护要要求第一级自主保护级级适用于一般般的电子政政务系统。系统遭到到破坏后对对政务机构构履行其政政务职能、机构财产产、人员造造成较小的的负面影响响。参照国家标标准自主进进行保护。第二级指导保护级级适用于处理理日常政务务信息和提提供一般政政务服务的的电子政务务系统。系统遭到到破坏后对对政务机构构履行其政政务职能、机构财产产、人员造造成中等程程度的负面面影响。在主管部门门的指导下下,按照国国家标准自自主进行保保护。第三级监督保护级级适用于处理理重要政务务信息和提提供重要政政务服务的的电子政务务系统。系统遭到到破坏后可可能对政务机构构履行其政政务职能、机构财产产、人员造造成较大

27、的的负面影响响,可能对国家家安全造成成一定程度度的损害。在主管部门门的监督下下,按国家家标准严格格落实各项项保护措施施进行保护护。第四级强制保护级级适用于涉及及国家安全全、社会秩秩序、经济济建设和公公共利益的的重要电子子政务系统统。系统遭到到破坏后可可能对政务机构构履行其政政务职能、机构财产产、人员造造成严重的的负面影响响,可能对国家家安全造成成较大损害害。在主管部门门的强制监监督和检查查下,按国国家标准严严格落实各各项措施进进行保护。第五级专控保护级级适用于关系系国家安全全、社会秩秩序、经济济建设和公公共利益的的核心系统统。系统遭到到破坏后对对政务机构构履行其政政务职能、机构财产产、人员造造

28、成极其严严重的负面面影响,对对国家安全全造成严重重损害。根据安全需需求,由主主管部门和和运营单位位对电子政政务系统进进行专门控控制和保护护。电子政务等等级保护的的基本安全要要求电子政务等等级保护基基本安全要要求是对各等级电子子政务系统统的一般性要求,分为为五个等级,从第第一级至第第五级,对对应于五个个等级的电电子政务系系统。对特定电子政政务系统的的安全保护护,以其相相应等级的的基本安全全要求为基基础,通过对安全全措施的调调整和定制制,得到适适用于该电子政务务系统的安安全保护措措施。电子政务等等级保护基基本安全要求分为安全策策略、安全全组织、安安全技术和和安全运行行四个方面面。安全策略安全策略是

29、是为了指导导和规范电电子政务信信息安全工工作而制定定的安全方针、管理制度、规范标准准、操作流流程和记录录模板等文档档的总和。安全策略略具有层次次化的结构构,包括整体体安全策略略、部门级级安全策略略、系统级级安全策略略等。安全组织安全组织是是为了保障障电子政务务信息安全全而建立的的组织体系系,包括各各级安全组组织机构、岗位安全全职责、人人员安全管管理、第三三方安全管管理、安全全合作与沟沟通等方面面。安全技术安全技术是是指保障电子政政务信息安全的的安全技术术功能要求求和安全技技术保障要要求,包括网络络与通讯安全、主机与平平台安全、数据库安安全、应用用安全、数数据安全、物理环境境安全等方方面。安全运

30、行安全运行是是为了保障障电子政务务系统运行行过程中的的安全而制制定的安全全运维要求,包括风险管管理、配置置和变更管管理、信息息系统工程程安全管理理、日常运运行管理、技术术资料安全全、应急响响应等方面面。具体的电子子政务等级级保护基本本安全要求求参见相关的国家标准准。基本方法等级保护的的要素及其其关系电子政务等等级保护的的基本原理理是:依据据电子政务务系统的使使命、目标标和重要程程度,将系系统划分为为不同的安安全等级,并并综合平衡衡系统特定定安全保护护要求、系系统面临安安全风险情情况和实施施安全保护护措施的成成本,进行行安全措施施的调整和和定制,形形成与系统统安全等级级相适应的安安全保障体系。电

31、子政务等等级保护包包含以下七七个要素:电子政务系系统电子政务系系统是信息息安全等级级保护的对对象,包括括系统中的的信息、系系统所提供供的服务,以及执行行信息处理理、存储、传输的软软硬件设备备等。目标目标是指电电子政务系系统的业务务目标和安安全目标,电电子政务等等级保护要要保障业务务目标和安安全目标的的实现。电子政务信信息安全等等级电子政务信信息安全等等级划分为为五级,分分别体现在在电子政务务系统的等等级和安全全保护的等等级两个方方面。安全保护要要求不同的电子子政务系统统具有不同同类型和不不同强度的的安全保护护要求。安全风险安全风险是是指电子政政务系统由由于本身存在安全弱弱点,通过人为或或自然的

32、威威胁可能导致安安全事件的的发生。安全全风险由安全事件发发生的可能能性及其造造成的影响响这两种指标标来综合衡量。安全保护措措施安全保护措措施是用来来对抗安全全风险、满满足安全保保护要求、保护电子子政务系统统和保障电电子政务目目标实现的的措施,包包括安全管管理措施和和安全技术术措施。安全保护措措施的成本本不同类型和和强度的安安全保护措措施的实现现需要不同同的成本,安安全保护措措施的成本本应包括设设备购买成成本、实施施成本、维维护成本和和人员成本本等。电子政务等等级保护各各要素之间间的关系是是:电子政务系系统的安全全等级由系系统的使命命、目标和和系统重要要程度决定定。安全措施需需要满足系系统安全保

33、护要要求,对抗抗系统所面面临的风险险。不同电子政政务系统的的使命和业业务目标的的差异性,业业务和系统统本身的特特性(所属属信息资产产特性、实实际运行情情况和所处处环境等)的的差异性,决决定了系统统安全保护要要求特性(安安全保护要要求的类型型和强度)的的差异性。系统保护要要求类型和和强度的差差异性,安安全风险情情况的差异异性,决定定了选择不不同类型和和强度的安安全措施。电子政务安安全措施的的确定需要要综合平衡衡系统保护护要求的满满足程度、系统面临临风险的控控制和降低低程度、系统统残余风险险的接受程程度、以及及实施安全全措施的成成本,在适适度成本下下实现适度度安全。电子政务等等级保护实实现方法27

34、号文件件指出,实实行信息安安全等级保保护时“要重视信信息安全风风险评估工工作,对网网络与信息息系统安全全的潜在威威胁、薄弱弱环节、防防护措施等等进行分析析评估,综综合考虑网网络与信息息系统的重重要性、涉涉密程度和和面临的信信息安全风风险等因素素,进行相相应等级的的安全建设设和管理”。电子政务等等级保护的的实现方法法如图2-11所示:图 2 SEQ 图 * ARABIC s 1 11电子政务务等级保护护的实现方方法电子政务系系统实施等等级保护的的方法是:依据电子政政务安全等等级的定级规则则,确定电电子政务系系统的安全全等级;按照电子政政务等级保保护要求,确确定与系统统安全等级级相对应的的基本安全

35、全要求;依据系统基基本安全要要求,并综综合平衡系系统安全保保护要求、系统所面面临风险和和实施安全全保护措施施的成本,进进行安全保保护措施的的定制,确定适用于于特定电子子政务系统统的安全保保护措施,并并依照本指指南相关要要求完成规规划、设计计、实施和和验收。实施过程电子政务等等级保护的的实施过程程包括三个个阶段,分分别为:定级阶段规划与设计计阶段实施、等级级评估与改改进阶段电子政务等等级保护的的基本流程程如图2-22所示。图 2 SEQ 图 * ARABIC s 1 22电子政务务等级保护护的基本流程程第一阶段:定级定级阶段主主要包括两两个步骤:系统识别与与描述清晰地了解解政务机构构所拥有的的电

36、子政务务系统,根根据需要将复杂杂电子政务务系统分解解为电子政政务子系统统,描述系系统和子系系统的组成成及边界。等级确定完成电子政政务系统总总体定级和和子系统的的定级。第二阶段:规划与设设计规划与设计计阶段主要要包括三个个步骤,分分别为:系统分域保保护框架建建立通过对电子子政务系统统进行安全全域划分、保护对象象分类,建建立电子政政务系统的的分域保护护框架。选择和调整整安全措施施根据电子政政务系统和和子系统的的安全等级级,选择对对应等级的基本安全全要求,并并根据风险险评估的结结果,综合合平衡安全全风险和成成本,以及及各系统特特定安全要要求,选择择和调整安全全措施,确确定出电子子政务系统统、子系统统

37、和各类保护对对象的安全全措施。安全规划和和方案设计计根据所确定定的安全措措施,制定定安全措施施的实施规规划,并制制定安全技技术解决方方案和安全全管理解决决方案。第三阶段:实施、等等级评估与与改进实施、等级级评估与改改进阶段主主要包括三三个步骤,分分别为:安全措施的的实施依据安全解解决方案建建设和实施施等级保护护的安全技技术措施和和安全管理理措施。评估与验收收按照等级保保护的要求求,选择相相应的方式式来评估系系统是否满满足相应的的等级保护护要求,并对等级级保护建设设的最终结结果进行验验收。运行监控与与改进运行监控是是在实施等等级保护的的各种安全全措施之后后的运行期期间,监控控系统的变变化和系统统

38、安全风险险的变化,评评估系统的的安全状况况。如果经经评估发现现系统及其其风险环境境已发生重重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。对于大型复复杂电子政政务系统,等等级保护过过程可以根根据实际情情况进一步步加强和细化化,以满足足其复杂性性的要求。附录B给出了大大型复杂电电子政务系系统等级保保护实施过过程的示例例。新建电子政政务系统的的等级保护护工作与已已经建成的的电子政务务系统之间间,在等级保护护工作的切入点方面面是不相同同的,它们

39、各自自的切入点及及其对应关关系如图22-3所示示。新建电子政政务系统在在启动时,应应当按照等等级保护的的要求来建建设。系统规划阶阶段,应分分析并确定定所建电子子政务系统统的安全等等级,并在在项目建议议书中对系系统的安全全等级进行行论证。系统设计阶阶段,要根根据所确定定的系统安安全等级,设设计系统的的安全保护护措施,并并在可行性性分析中论论证安全保保护措施;系统实施阶阶段,要与与信息系统统建设同步步进行信息息安全等级级保护体系系的实施,之之后进行等等级评估和和验收。系统运行维维护阶段,要要按照所建建立的等级级保护体系系的要求,进进行安全维维护与安全全管理。系统废弃阶阶段,要按按照所建立立的等级保

40、保护体系的的要求,对对废弃过程程进行有效效的安全管管理。对于已建的的电子政务务系统,由由于在系统统规划、设设计和实施施阶段没有有考虑等级级保护的要要求,因此此等级保护护工作的切切入点是系系统运行维维护阶段。图 2 SEQ 图 * ARABIC s 1 33等级保护护过程与新新建和已建建系统生命命周期对应应关系在确定要实实施等级保保护工作之之后,应对对系统进行行安全现状状分析,深深入认识和和理解机构构所拥有的的电子政务务系统,对对每个系统统进行定级级,之后进进行等级保保护的安全全规划和方方案设计,最后进行实施、评估和验收。角色及职责责电子政务等等级保护工工作主要包包括决策者者、技术负负责人、实实

41、施人员三三类角色。决策者决策者是政政务机构中中对本单位位实施电子政政务信息安安全等级保保护工作的的最终决策策人。决策者者在等级保保护中的职职责如下:组织、协调调和推动本本单位电子子政务等级级保护工作作;负责最终确确定本单位位电子政务务系统的安全等级级;领导和监督督本单位电电子政务等等级保护体体系的建设设工作;与本单位电电子政务等等级保护建建设的上级级主管部门门进行沟通通和协调,组织、配合等级评审与验收;监督本单位位电子政务务等级保护护体系的运运行与改进进。技术负责人人技术负责人人是对本单位位实施电子子政务信息息安全等级级保护工作作的决策支支持者、技技术决策人人和实施管理理者。技术术负责人在等等

42、级保护中中的职责如如下:协助决策者者组织、协协调和推动动本单位电电子政务等等级保护的的工作;向决策者提提供本单位位电子政务务系统安全全定级的建议议及依据;组织实施本本单位电子子政务等级级保护体系系的建设;组织和总结结本单位等等级保护的的实施情况况,配合上上级主管部部门进行等等级评估和验收收;组织实施本本单位电子子政务等级级保护体系系的运行与与改进。实施人员实施人员是是政务机构构中实施信信息安全等等级保护的的具体工作作人员。实实施人员在在等级保护护中的职责责如下:分析本单位位电子政务务系统,收收集定级理理由和证据据; 在技术负责责人的领导导下,具体体组织和参参与完成等等级保护各各阶段的工工作。系

43、统间互联联互通的等等级保护要要求不同安全等等级的电子子政务系统统之间可以以根据业务务需要进行行互联互通通。不同安安全等级的的系统互联联互通,要要根据系统统业务要求求和安全保保护要求,制制定相应的的互联互通通安全策略略,包括访访问控制策策略和数据据交换策略略等。要采采取相应的的边界保护护、访问控控制等安全全措施,防防止高等级级系统的安安全受低等等级系统的的影响。电电子政务系系统间的互互联互通遵遵循以下要要求:同等级电子子政务系统统之间的互互联互通由系统的拥拥有单位参参照该等级级对访问控控制的要求求,协商确确定边界防防护措施和和数据交换换安全措施施,保障电电子政务系系统间互联联互通的安安全。不同等

44、级电电子政务系系统间的互互联互通各系统在按按照自身安安全等级进进行相应保保护的基础础上,协商商对相互连连接的保护护。高安全全等级的系系统要充分分考虑引入入低安全等等级系统后后带来的风风险,采取取有效措施施进行控制制。涉密系统与与其它系统统的互联互互通,按照照国家保密密部门的有有关规定执执行。电子政务系系统互联互互通中的密密码配置按按照国家密密码管理部部门的要求求执行。定级电子政务系系统定级可可以采用以以下两种方方式进行:对系统总体体定级系统总体定定级是在识识别出政务务机构所拥拥有的电子子政务系统统后,针对对系统整体体确定其安安全等级。将系统分解解为子系统统后分别定定级政务机构所所拥有的电电子政

45、务系系统如果规规模庞大、系统复杂杂,则可以以将系统分分解为多层层次的多个个子系统后后,对所分分解的每个个子系统分分别确定其其安全等级级。定级过程定级阶段的的主要目标标是确定电子政政务系统及及其子系统统的安全等等级。定级级结果是进进行安全规规划与设计计的基础,定级结果果应按照相相关管理规规定提交相关管理部门备备案。定级阶段工工作主要包含两个过程:系统识别与与描述应准确识别别并描述出出整体的电电子政务系系统,以及及系统可以以分解的子子系统。系系统识别要要确定系统统的范围和和边界,识识别系统包含的的信息和系系统提供的的服务,作作为后续定定级工作的输入入。等级确定进行系统整整体定级和和子系统分分别定级

46、,形形成系统的的定级列表表,作为后后续阶段工工作的基础础。定级工作流流程如图33-1所示。图 311定级工作作流程系统识别与与描述系统整体识识别与描述述实施等级保保护工作首首先要求政政务机构对对其拥有的的或拟建的的电子政务务系统进行行深入的识别和描述述,识别和描述述的内容至至少包括如如下信息:系统基本信信息系统名称,系系统的简要要描述,所所在地点等等。系统相关单单位负责定级的的责任单位位,系统所所属单位,系系统运营单单位,主管管部门,安安全运营单单位,安全全主管部门门等。系统范围和和边界描述系统所所涵盖的信信息资产范范围、使用用者和管理理者范围、行政区域域范围和网网络区域范范围等,并并清晰描述

47、述出其边界界。系统提供的的主要功能能或服务从整体层面面描述系统所所提供的主主要功能或或服务,即即对公众、企业、相相关政府机机关、内部部用户等提供的主主要服务。系统所包含含的主要信信息描述系统所所输入、处处理、存储储、输出的的主要信息息和数据。划分子系统统的方法划分原则对政务机构构所拥有的的大型复杂杂电子政务务系统,可可以将其划划分为若干干子系统进行行定级,子系统划划分基于以以下原则:按照系统服服务对象划划分电子政务系系统的服务务对象即目目标用户,包括社会会公众、企企事业单位位、机构内内部人员、其它政务务机构等。依据其所所服务的目目标用户可可分为以下下几类系统统:政务机构对对公民的电子政务务系统

48、政务机构对对企业的电子政务务系统政务机构对对政务机构构的电子政政务系统政务机构对对公务员的的电子政务务系统按系统功能能类型划分分根据系统的的功能类型型或提供的的服务类型型划分子系统统。划分时时除了考虑虑到对外部部用户(社社会公众、企事业单单位、其它它政务机构构)提供服服务的对外外业务系统统,对内部部用户(内内部公务员员、领导)提提供服务的的内部办公公和管理系系统外,还还应考虑到到对前两类类系统提供供承载、支支撑和管理理作用的支支持系统,如如网络承载载平台、网网管系统、安全系统统等。按照网络区区域划分根据电子政政务系统建建设现状,系系统可能运运行在不同同的电子政政务网络范范围内,不同的电电子政务

49、网网络在涉密密程度、隔隔离模式和和管理模式式上差异较大大,所以可可以按照电电子政务系系统运行的的网络区域域进行子系系统划分。按行政级别别划分按系统所处处的行政级级别,如中中央、省部部级、地市市级、县区区级等进行行子系统划分分。子系统划分分方法在子系统划划分时,应应根据系统统实际情况和和管理模式式,综合考考虑子系统统划分的四四个原则,确定定适用于各电电子政务系系统的子系系统划分标标准。划分分时可以选选择一个原则,也可可以同时选选用多个原原则作为划划分标准,如以某一个或两个要要素为主要要划分标准准,其余为为辅助划分分标准。对于规模庞庞大的系统统,为了便便于描述,一般应按照照多个层次次逐级进行行划分

50、。具具体的划分分方法可参考附录B:大型复杂杂电子政务务系统等级级保护实施施过程示例例。子系统识别别与描述子系统的识识别与描述述可参照33.2.11系统整体体识别与描描述。等级确定电子政务安安全属性描描述电子政务安安全等级主主要依据系系统的信息息安全属性性被破坏后后所造成的的影响来确确定。电子子政务信息息安全属性性包括三个个方面:保保密性、完完整性、可可用性。保密性确保电子政政务系统中中的信息只只能被授权权的人员访访问。保密密性破坏是是指电子政政务系统中中各类信息息的未授权权泄漏。电电子政务系系统中的信信息依据其其保密程度度分为以下下类别:涉及国家秘秘密的信息息,包括绝密密级、机密密级和秘密密级

51、信息;敏感信息,指不涉及及国家秘密密,但在政政务工作过过程中需要要一定范围围保密,不不对社会公众开开放的信息息;公开信息,指对社会会公众开放放的信息。完整性确保电子政政务系统中中信息及信信息处理方方法的准确确性和完备备性。完整整性破坏是是指对电子子政务系统统中信息和和系统的未未授权修改改和破坏。电子政务务完整性目目标包括两两个方面:电子政务系系统中存储储、传输和和处理的信信息完整性性保护;电子政务系系统本身的完整整性保护。系统完整整性保护涉涉及从物理理环境、基基础网络、操作系统统、数据库库系统、电电子政务应应用系统等等信息系统统的每一个个组成部分分的完整性性保护。可用性确保已授权权用户在需需要

52、时可以以访问电子子政务系统统中的信息息和相关资资产。可用用性破坏是是指电子政政务系统所所提供服务务的中断,授授权人员无无法访问电电子政务系系统和信息息。可用性目标标是保证授权权用户能及及时可靠地地访问信息息、服务和和系统资源源,不因人人为或自然然的原因使使系统中信信息的存储储、传输或或处理延迟迟,或者系系统服务被被破坏或被被拒绝达到到不能容忍忍的程度。电子政务务可用性目目标保护包包括两个方方面:电子政务系系统所提供供的服务的的可用性;电子政务系系统中存储储、传输和和处理的信信息的可用用性。定级原则电子政务系系统的安全全等级可从信息安安全的保密密性、完整整性、可用用性三个基基本属性在在遭到破坏坏

53、时对政务务机构履行行其政务职职能、机构构财产、人人员造成的的影响来确确定。安全等级第第一级对电子政务务信息和信信息系统安安全属性的的破坏会对对政务机构构履行其政政务职能、机构财产产、人员造造成较小的的负面影响响,包括:对政务机构构运行带来来较小的负负面影响,政政务机构还还可以履行行其基本的的政务职能能,但效率率有较小程程度的降低低;对政务机构构、相关单单位、人员员造成较小小经济损失失;对政务机构构、相关单单位、人员员的形象或或名誉造成成较小影响响;不会造成人人身伤害。安全等级第第二级对电子政务务信息和信信息系统安安全属性的的破坏会对对政务机构构履行其政政务职能、机构财产产、人员造造成中等程程度

54、的负面面影响,包括:对政务机构构运行带来来中等程度度的负面影影响,政务务机构还可可以履行其其基本的政政务职能,但但效率有较较大程度的的降低;对政务机构构、相关单单位、人员员造成一定定程度的经经济损失;对政务机构构、相关单单位、人员员的形象或或名誉造成成一定程度度的负面影影响;造成轻微的的人身伤害害。安全等级第第三级对电子政务务信息和信信息系统安安全属性的的破坏会对对政务机构构履行其政政务职能、机构财产产、人员造造成较大的的负面影响响,对国家家安全造成成一定程度度的损害,包括:对政务机构构运行带来来较大的负负面影响,政政务机构的的一项或多多项政务职职能无法履履行;对政务机构构、相关单单位、人员员

55、造成较大大经济损失失;对政务机构构、相关单单位、人员员的形象或或名誉造成成较大的负负面影响;导致严重的的人身伤害害。安全等级第第四级对电子政务务信息和信信息系统安安全属性的的破坏会对对政务机构构履行其政政务职能、机构财产产、人员造造成严重的的负面影响响,对国家家安全造成成较大损害害,包括:对政务机构构运行带来来严重的负负面影响,政政务机构的的多项政务务职能无法法履行,并并在省级行行政区域范范围内造成成严重影响响;对国家造成成严重的经经济损失;对国家形象象造成严重重影响;导致较多的的人员伤亡亡;导致危害国国家安全的的犯罪行为为。安全等级第第五级对电子政务务信息和信信息系统安安全属性的的破坏会对对

56、政务机构构履行其政政务职能、机构财产产、人员造造成极其严严重的负面面影响,对对国家安全全造成严重重损害,包括:对政务机构构运行带来来极其严重重的负面影影响,中央央政务机构构的一项或或多项政务务职能无法法履行,并并在全国范范围内造成成极其严重重的影响;对国家造成成极大的经经济损失;对国家形象象造成极大大影响;导致大量人人员伤亡;导致危害国国家安全的的严重犯罪罪行为。电子政务五五个安全等等级在保密密性、完整整性和可用用性三个安安全属性方方面的描述述如表3-1所示。表 311电子政务务安全等级级在安全属性性方面的描描述安全等级电子政务安安全等级描描述保密性完整性可用性1对电子政务务系统中信信息的未授

57、授权泄漏会会对政务机机构运行、机构财产产、人员造造成较小的的负面影响响。对电子政务务系统和信信息的未授授权修改和和破坏会对对政务机构构运行、机机构财产、人员造成成较小的负负面影响。授权人员对对电子政务务系统和信信息访问的的中断会对对政务机构构运行、机机构财产、人员造成成较小的负负面影响。2对电子政务务系统中信信息的未授授权泄漏会会对政务机机构运行、机构财产产、人员造造成中等程程度的负面面影响。对电子政务务系统和信信息的未授授权修改和和破坏会对对政务机构构运行、机机构财产、人员造成成中等程度度的负面影影响。授权人员对对电子政务务系统和信信息访问的的中断会对对政务机构构运行、机机构财产、人员造成成

58、中等程度度的负面影影响。3对电子政务务系统中信信息的未授授权泄漏会会对政务机机构运行、机构财产产、人员造造成较大的的负面影响响,对国家家安全造成成一定程度度的损害。对电子政务务系统和信信息的未授授权修改和和破坏会对对政务机构构运行、机机构财产、人员造成成较大的负负面影响,对对国家安全全造成一定定程度的损损害。授权人员对对电子政务务系统和信信息访问的的中断会对对政务机构构运行、机机构财产、人员造成成较大的负负面影响,对对国家安全全造成一定定程度的损损害。4对电子政务务系统中信信息的未授授权泄漏会会对政务机机构运行、机构财产产、人员造造成严重的的负面影响响,对国家家安全造成成较大损害害。对电子政务

59、务系统和信信息的未授授权修改和和破坏会对对政务机构构运行、机机构财产、人员造成成严重的负负面影响,对对国家安全全造成较大大损害。授权人员对对电子政务务系统和信信息访问的的中断会对对政务机构构运行、机机构财产、人员造成成严重的负负面影响,对对国家安全全造成较大大损害。5对电子政务务系统中信信息的未授授权泄漏会会对政务机机构运行、机构财产产、人员造造成极其严严重的负面面影响,对对国家安全全造成严重重损害。对电子政务务系统和信信息的未授授权修改和和破坏会对对政务机构构运行、机机构财产、人员造成成极其严重重的负面影影响,对国国家安全造造成严重损损害。授权人员对对电子政务务系统和信信息访问的的中断会对对

60、政务机构构运行、机机构财产、人员造成成极其严重重的负面影影响,对国国家安全造造成严重损损害。定级方法确定电子政政务安全等等级的基本本方法是:通过确定定系统保密密性、完整整性和可用用性三个方方面的安全全等级来综综合确定系系统的安全全等级。定定级方法适用于于电子政务务系统整体定级和各子子系统定级级。对大型复杂系系统,可以以引入业务务系统等级级确定方法法,具体方方法可以参参照附录B:大型复杂杂电子政务务系统等级级保护实施施过程示例例。系统定级主主要考虑两个方方面:一是是系统中所所存储、处处理、传输输的主要信信息,二是是系统所提提供的主要要服务。通过对每每一类信息息和服务安安全等级的的分析,最最终确定

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论