1、信息平安等級保護操作流程1 信息系統定級1.1 定級工作實施范圍“關于開展全國重要信息系統平安等級保護定級工作的通知對于重要信息系統的范圍規定如下：一電信、廣電行業的公用通信網、播送電視傳輸網等根底信息網絡，經營性公眾互聯網信息效勞單位、互聯網接入效勞單位、數據中心等單位的重要信息系統。二鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、開展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。三市地級以上黨政機關的重要網站和辦公信息系統。四涉及國家秘密的信息系統

2、以下簡稱“涉密信息系統。注：跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定平安保護等級。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。1.2 定級依據標準?國家信息化領導小組關于加強信息平安保障工作的意見?中辦發【2003】27號文件?關于信息平安等級保護工作的實施意見?公通字【2004】66號文件?電子政務信息系統平安等級保護實施指南試行?國信辦【2005】25號文件?信息平安等級保護管理方法?公通字【2007】43號文件?計算機信息系統平安保護等級劃分準那么?電子政務信息平安等級保護實施指南?信息系統平安等級保護定級指南?信息系統平安等級保護根本要求?信息系統平安等級

3、保護實施指南?信息系統平安等級保護測評指南?1.3 定級工作流程圖1-1 信息系統定級工作流程1.3.1 信息系統調查信息系統調查是通過一系列的信息系統情況調查表對信息系統根本情況進行摸底調查，全面掌握信息系統的數量、分布、業務類型、應用、效勞范圍、系統結構、管理組織和管理方式等根本情況。同時，通過信息系統調查還可以明確信息系統存在的資產價值、威脅等級、風險等級以及可能造成的影響客體、影響范圍等根本情況。信息系統調查結果將作為信息系統平安等級保護定級工作的主要依據，保證定級結果的客觀、合理和準確。1.3.1.1 調查工具表通常，信息系統調查工具表包括系統資產調查表、系統應用調查表、和管理信息調

4、查表等。l 系統資產調查表用于調查信息系統的根本情況，主要包括主機、網絡設備、人員、人員、效勞等信息。在調查過程中，可以得到系統資產的根本信息、主要用途、重要程度、效勞對象等相關信息。l 系統應用調查表用于明確系統應用的根本狀況。明確各個系統應用的拓撲信息、邊界信息、應用架構、數據流等根本情況，為確定和分析定級對象提供詳細信息。l 管理信息調查表用于明確信息系統的組織結構、隸屬關系等管理信息。1.3.1.2 調查方法信息系統調查的實施包括信息收集、訪談和核查三個步驟。l 信息收集協助信息系統使用管理單位完成系統資產調查表填寫工作，同時收集信息系統所涉及的一系列l 訪談l 核查對調查表中的信息進

5、行驗證的過程，驗證包括檢查和測試等方式。1.3.2 確定定級對象一個單位可能運行了比擬龐大的信息系統，為了重點保護重要局部，有效控制信息平安建設和管理本錢，優化信息平安資源配置等保護原那么，可將較大的信息系統劃分為假設干個較小的、相對獨立的、具有不同平安保護等級的定級對象。這樣，可以保證信息系統平安建設能夠突出重點、兼顧一般。1.3.2.1 根本原那么如果信息系統只承載一項業務，可以直接為該信息系統確定等級，不必劃分業務子系統。如果信息系統承載多項業務，應根據各項業務的性質和特點，將信息系統分成假設干業務子系統，分別為各業務子系統確定平安保護等級，信息系統的平安保護等級由各業務子系統的最高等級

6、決定。信息系統是進行等級確定和等級保護管理的最終對象。主要劃分原那么有：一、 具有唯一確定的平安責任單位作為定級對象的信息系統應能夠唯一地確定其平安責任單位。如果一個單位的某個下級單位負責信息系統平安建設、運行維護等過程的全部平安責任，那么這個下級單位可以成為信息系統的平安責任單位；如果一個單位中的不同下級單位分別承當信息系統不同方面的平安責任，那么該信息系統的平安責任單位應是這些下級單位共同所屬的單位。二、 具有信息系統的根本要素作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規那么組合而成的有形實體。應防止將某個單一的系統組件，如效勞器、終端、網絡設備等作為定級對

7、象。三、 承載單一或相對獨立的業務應用定級對象承載“單一的業務應用是指該業務應用的業務流程獨立，且與其他業務應用沒有數據交換，且獨享所有信息處理設備。定級對象承載“相對獨立的業務應用是指其業務應用的主要業務流程獨立，同時與其他業務應用有少量的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備。1.3.2.2 信息系統的劃分方法一個組織機構內可能運行一個或多個信息系統，這些信息系統的平安保護等級可以是相同的，也可以是不同的。為表達重點保護重要信息系統平安，有效控制信息平安建設本錢，優化信息平安資源配置的等級保護原那么，在進行信息系統的劃分時應考慮以下幾個方面：一、 相同的管理

8、機構信息系統內的各業務子系統在同一個管理機構的管理控制之下，可以保證遵循相同的平安管理策略。二、 相同的業務類型信息系統內的各業務子系統具有相同的業務類型，平安需求相近，可以保證遵循相同的平安策略。三、 相同的物理位置或相似的運行環境信息系統內的各業務子系統具有相同的物理位置或相似的運行環境意味著系統所面臨的威脅相似，有利于采取統一的平安保護。1.3.3 定級要素分析通過針對定級對象分別進行業務信息平安分析和系統效勞平安分析，最終確定信息系統平安等級保護系統等級。在進行業務信息平安分析和系統效勞平安分析時，充分考慮行業特點、業務應用特點等因素，細化受侵害客體組成及損害程度判定要素，從而確保信息

9、系統定級的合理準確。1.3.3.1 定級流程根據定級流程，在定級要素分析時需對業務信息平安等級和系統效勞平安等級進行分析，分析內容包括確定受侵害的客體、確定對客體的侵害程度，從而確定相應的業務信息平安等級和系統效勞平安等級。最后，綜合業務信息平安等級和系統效勞平安等級得到信息系統平安等級保護系統等級。1.3.3.2 確定受侵害客體定級對象收到破壞時所侵害的客體包括國家平安、社會秩序、公眾利益及公民、法人和其他組織的合法權益。l 國家平安n 影響國家政權穩固和國防實力；n 影響國家統一、民族團結和社會安定；n 影響國家對外活動中的政治、經濟利益；n 影響國家重要的平安保衛工作；n 影響國家經濟競

10、爭力和科技實力；n 其他影響國家平安的事項。l 社會秩序n 影響國家機關社會管理和公共效勞的工作秩序；n 影響各種類型的經濟活動秩序；n 影響各行業的科研、生產秩序；n 影響公眾在法律約束和道德標準下的正常生活秩序等；n 其他影響社會秩序的事項。l 公共利益n 影響社會成員使用公共設施；n 影響社會成員獲取公開信息資源；n 影響社會成員接受公共效勞等方面；n 其他影響公共利益的事項。l 公民、法人和其他組織n 由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。確定作為定級對象的信息系統受到破壞后所侵害的客體時，應首先判斷是否侵害國家平安，然后判斷是否侵害社會秩序或公眾

11、利益，最后判斷是否侵害公民、法人和其他組織的合法權益的關系，從而確定信息和信息系統受到破壞時所侵害的客體。1.3.3.3 確定對客體的損害程度在針對不同的受侵害客體進行侵害程度的判斷時，應參照以下的判別基準。l 如果受侵害客體是公民、法人或其他組織的合法權益，那么以本人或本單位的總體利益作為判斷侵害程度的基準。l 如果受侵害客體是社會秩序、公共利益或國家平安，那么應以整個行業或國家的總體利益作為判斷侵害程度的基準。不同危害后果的三種危害程度危害程度描述如下：l 一般損害工作職能受到局部影響，業務能力有所降低但不影響主要功能的執行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組

12、織和個人造成較低損害。l 嚴重損害工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。l 特別嚴重損害工作職能受到特別嚴重影響或喪失行使能力，業務能力嚴重下降且或功能無法執行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。1.3.3.4 確定定級對象的平安保護等級在確定完成受侵害客體以及對客體的侵害程度后，依據表1分別確定業務信息平安等級和系統效勞平安等級。作為定級對象的信息系統的平安保護等級由業務信息平安等級和系統效勞平安等級的較高者決定。

13、表1 定級要素與平安保護等級的關系受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家平安第三級第四級第五級1.3.4 編寫定級報告根據定級過程和定級結果，編寫初步信息系統定級報告。1.3.5 協助定級備案在完成初步定級報告后，協助信息系統管理使用單位進行評審與審批，并最終確定定級報告，完成信息系統備案工作。2 等級測試2.1 工作內容等級測評是信息平安等級保護實施中的一個重要環節。等級測評是指具有相關資質的、獨立的第三方評測效勞機構，對信息系統的等級保護落實情況與信息平安等級保護相關標準要求之間的符合

14、程度的測試判定。2.2 依據標準?計算機信息系統平安保護等級劃分準那么?信息系統平安等級保護根本要求?信息系統平安等級保護定級指南?電子政務信息平安等級保護實施指南?信息系統平安等級保護實施指南?信息系統平安等級保護測評指南?信息平安技術 信息系統通用平安技術要求?信息平安技術 網絡根底平安技術要求?信息平安技術 操作系統平安技術要求?信息平安技術 數據庫管理系統平安技術要求?信息平安技術 效勞器技術要求?信息平安技術 終端計算機系統平安等級技術要求?2.3 等級評測內容2.3.1 根本內容對信息系統平安等級保護狀況進行測試評估，應包括兩個方面的內容：一是平安控制測評，主要測評信息平安等級保護

15、要求的根本平安控制在信息系統中的實施配置情況；二是系統整體測評，主要測評分析信息系統的整體平安性。其中，平安控制測評是信息系統整體平安測評的根底。對平安控制測評的描述，使用工作單元方式組織。工作單元分為平安技術測評和平安管理測評兩大類。平安技術測評包括：物理平安、網絡平安、主機系統平安、應用平安和數據平安等五個層面上的平安控制測評；平安管理測評包括：平安管理機構、平安管理制度、人員平安管理、系統建設管理和系統運維管理等五個方面的平安控制測評。系統整體測評涉及到信息系統的整體拓撲、局部結構，也關系到信息系統的具體平安功能實現和平安控制配置，與特定信息系統的實際情況緊密相關，內容復雜且充滿系統個性

16、。因此，全面地給出系統整體測評要求的完整內容、具體實施方法和明確的結果判定方法是很困難的。測評人員應根據特定信息系統的具體情況，結合標準要求，確定系統整體測評的具體內容，在平安控制測評的根底上，重點考慮平安控制間、層面間以及區域間的相互關聯關系，測評平安控制間、層面間和區域間是否存在平安功能上的增強、補充和削弱作用以及信息系統整體結構平安性、不同信息系統之間整體平安性等，等級測評根本內容如圖1所示。圖1 等級測評根本內容2.3.2 等級測評工作單元工作單元是平安測評的根本工作單位，對應一組相對獨立和完整的測評內容。工作單元由測評項、測評對象、測評方式、測評實施和結果判定組成，如圖2示。圖2 工

17、作單元構成測評項描述測評目的和測評內容，與信息平安等級保護要求的根本平安控制要求相一致。測評方式是指測評人員依據測評目的和測評內容應選取的、實施特定測評操作的方式方法，包括三種根本測評方式：訪談、檢查和測試。測評對象是測評實施過程中涉及到的信息系統的構成成分，是客觀存在的人員、文檔、機制或者設備等。測評對象是根據該工作單元中的測評項要求提出的，與測評項的要求相適應。一般來說，實施測評時，面臨的具體測評對象可以是單個人員、文檔、機制或者設備等，也可能是由多個人員、文檔、機制或者設備等構成的集合，它們分別需要使用到某個特定平安控制的功能。測評實施是工作單元的主要組成局部，它是依據測評目的，針對具體

18、測評內容開發出來的具體測評執行實施過程要求。測評實施描述測評過程中涉及到的具體測評方式、內容以及需要實現的和/或應該取得的測評結果。結果判定描述測評人員執行完測評實施過程，產生各種測評證據后，如何依據這些測評證據來判定被測系統是否滿足測評項要求的方法和原那么。在給出整個工作單元的測評結論前，需要先給出單項測評實施過程的結論。一般來說，單項測評實施過程的結論判定不是直接的，常常需要測評人員的主觀判斷，通常認為取得正確的、關鍵性證據，該單項測評實施過程就得到滿足。某些平安控制可能在多個具體測評對象上實現如主機系統的身份鑒別，在測評時發現只有局部測評對象上的平安控制滿足要求，它們的結果判定應根據實際

19、情況給出。2.4 測評方法主要采用訪談、檢查、測試等方法進行等級保護測評。一、 訪談 interview測評人員通過與信息系統相關人員個人/群體進行交流、討論等活動，獲取證據以證明信息系統平安等級保護措施是否有效的一種方法。使用各類調查問卷和訪談大綱實施訪談。二、 檢查examine不同于行政執法意義上的監督檢查，而是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取證據以證明信息系統平安等級保護措施是否有效的一種方法?？梢允褂酶鞣N檢查表和相應的平安調查工具實施檢查。三、 測試test測評人員通過對測評對象按照預定的方法/工具使其產生特定的行為等活動，查看、分析輸出結果，獲取證據以證明信

20、息系統平安等級保護措施是否有效的一種方法。包括功能測試和滲透性測試、系統漏洞掃描等。滲透性測試：等級測評的一個重要內容是對測試目標進行脆弱性分析，探知產品或系統平安脆弱性的存在，其主要目的是確定測試目標能夠抵抗具有不同等級攻擊潛能的攻擊者發起的滲透性攻擊。因此，滲透性測試就是在測試目標預期使用環境下進行的測試，以確定測試目標中潛在的脆弱性的可利用程度。系統漏洞掃描：要是利用掃描工具對系統進行自動檢查，根據漏洞庫的描述對系統進行模擬攻擊測試，如果系統被成功入侵，說明存在漏洞。主要分為網絡漏洞掃描和主機漏洞掃描等方式。2.5 等級測評工作流程一、 測評準備階段本階段是開展現場測評工作的前提和根底，

21、是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到現場測評工作能否順利開展。本階段的主要工作是掌握被測方系統的詳細情況和為實施現場測評做好方案、文檔及測試工具等方面的準備。二、 現場實施階段本階段是開展等級測評工作的關鍵階段。本階段的主要工作是按照測評方案的總體要求，嚴格執行作業指導書，分步實施所有測評工程，包括單項測評和系統整體測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的平安問題。三、 分析與報告編制階段該階段是等級測評工作的最后環節，是對被測方系統整體平安保護能力的綜合評價過程。主要工作是根據現場測評結果和?測評準那么?的有關要求，通過單項測評結論判定和

22、系統整體測評分析等方法，分析整個系統的平安保護現狀與相應等級的保護要求之間的差距，編制測評報告。等級測評根本流程如圖3示。圖3 等級測評根本流程2.6 系統整體測評系統整體測評涉及到信息系統的整體拓撲、局部結構，也關系到信息系統的具體平安功能實現和平安控制配置，與特定信息系統的實際情況緊密相關，內容復雜且充滿系統個性。因此，全面地給出系統整體測評要求的完整內容、具體實施方法和明確的結果判定方法是很困難的。首先測評人員應根據特定信息系統的具體情況，結合標準要求，確定系統整體測評的具體內容。其次在平安控制測評的根底上，重點考慮平安控制間、層面間以及區域間的相互關聯關系，測評平安控制間、層面間和區域

23、間是否存在平安功能上的增強、補充和削弱作用，最后才能得出測評結論。2.6.1 平安控制間平安測評平安控制間的平安測評主要考慮同一區域內、同一層面上的不同平安控制間存在的功能增強、補充或削弱等關聯作用。平安功能上的增強和補充可以使兩個不同強度、不同等級的平安控制發揮更強的綜合效能，可以使單個低等級平安控制在特定環境中到達高等級信息系統的平安要求。平安功能上的削弱會使一個平安控制的引入影響另一個平安控制的功能發揮或者給其帶來新的脆弱性。例如，某金融機構的核心系統，它的訪問路徑未采用SSL加密設置，容易導致數據被嗅探和非法篡改，但核心系統采用SSL加速器對網絡上數據傳輸進行加密，可以有效保護網絡數據

24、傳輸的平安。所以，在進行測評綜合判定時，該測評項就可以判為通過。2.6.2 層面間平安測評層面間的平安測評主要考慮同一區域內的不同層面之間存在的功能增強、補充和削弱等關聯作用。平安功能上的增強和補充可以使兩個不同層面上的平安控制發揮更強的綜合效能，可以使單個低等級平安控制在特定環境中到達高等級信息系統的平安要求。平安功能上的削弱會使一個層面上的平安控制影響另一個層面平安控制的功能發揮或者給其帶來新的脆弱性。例如，某金融機構，它的網絡核心設備對內部的訪問控制存在缺乏，平安風險主要來自內部人員的誤用、濫用和惡用，但是它的教育、管理和考核制度都比擬完善，對內部職工要求也比擬嚴格，所以在一定程度上降低

25、了這種來自內部的風險，對網絡訪問控制進行了相應的補充和增強。2.6.3 區域間平安測評區域間的平安測評主要考慮互連互通包括物理上和邏輯上的互連互通等的不同區域之間存在的平安功能增強、補充和削弱等關聯作用，特別是有數據交換的兩個不同區域。平安功能上的增強和補充可以使兩個不同區域上的平安控制發揮更強的綜合效能，可以使單個低等級平安控制在特定環境中到達高等級信息系統的平安要求。平安功能上的削弱會使一個區域上的平安功能影響另一個區域平安功能的發揮或者給其帶來新的脆弱性。例如，某金融機構的核心數據機房位于中心機房內部，它只有一個出入口，該出入口在中心機房內。因此，在中心機房的出入口上安排24小時專人值守

26、等措施，可以解決核心數據機房區域上的物理訪問控制等相應措施的平安功能，使其到達該區域物理平安所要求的平安保護強度。3 全面認識和正確實施信息平安等級保護3.1 全面認識信息平安等級保護信息平安等級保護信息平安等級保護的各項工作是圍繞對信息系統的平安等級保護開展的。全面認識信息平安等級保護，需要確立以下根本觀點：1) 整體看，信息平安等級保護是制度；分開看，信息平安是目的，等級保護是方法；2) 對信息平安劃分等級是管理的需要；3) 信息平安是圍繞信息系統平安開展的一系列工作的總稱；4) 風險等級、需求等級、平安保護等級、平安技術等級和平安管理等級是信息系統平安等級保護對等級劃分的全面反映；5)

27、平安系統等級與平安技術等級和平安管理等級既相互關聯又各有其不同的含義；6) 平安管理是信息平安的生命線。整體看，“信息平安等級保護是制度；分開看，“信息平安是目的，等級保護是方法，這一根本認識明確定位了信息平安等級保護的重要位置以及信息平安與等級保護之間的關系。用分等級保護的方法實現國家信息平安的總體目標，既是一項制度，也是一種方法。其根本思想是：重點保護和適度保護。進一步理解可以包括以下含義：方法是可選的，不是唯一的；但制度一經確定就是不可改變的；等級的劃分可以是多種多樣的，但作為要具體執行的制度，就應有確定的等級劃分；對已經確定的等級劃分，如果沒有發現其不可執行的缺陷，就不要輕易改變?！皩?/p>

28、信息平安劃分等級是管理的需要，這一根本認識說明：分等級保護是從便于管理的角度對實現信息平安的考慮。其實，等級化管理是人類社會普遍采用的管理方法。縱觀人類社會活動的各個環節，無不存在著按等級管理的情況。就信息平安而言，等級化管理在國際和國內也是普遍采用的方法。經典的平安標準-TCSEC和最新國際信息平安技術標準-CC等無不以分等級的方法對信息平安技術的不同要求進行描述，盡管他們各自在描述方法上有所不同CC沒有對平安功能要求進行等級劃分，很大程度上是因為各個國家沒有取得共識。從我國當前的實際情況出發，采用分等級保護的方法實現信息平安，無疑是適用于我國當前實際的一種有效的信息平安管理方法?！靶畔⑵桨?/p>

29、是圍繞信息系統平安開展的一系列工作的總稱。這一根本認識說明：信息平安是指信息系統和信息系統中存儲、傳輸和處理的數據信息的平安。一方面“信息平安是一個具有較廣泛概念的稱謂，是包括從中央到地方、從法律到法規、從管理到技術、從系統到產品等，涉及國家有關機構和部門圍繞對信息的平安保護所進行的所有活動；另一方面“，信息平安的所有活動那么完全是圍繞對信息系統和信息系統中所存儲、傳輸和處理的數據信息進行平安保護應采取的平安技術和平安管理措施這一目標開展的，并且具體落實到各個單位和部門的所有信息系統的建設和運行控制的全過程?！帮L險等級、需求等級、平安保護等級、平安技術和平安管理等級是信息系統平安等級保護對等級

30、劃分的全面反映這一根本認識說明：圍繞信息系統的平安等級保護，需要對信息系統的平安風險、平安需求、平安保護、平安技術和平安管理等各個階段和層面進行等級劃分。信息系統的平安風險等級是根據對目標信息系統進行風險分析所確定的風險度的表示，66號文件所規定的5個平安等級，就是建立在對國家各行各業的信息系統的平安保護要求進行總體風險分析的根底上確定的信息系統的平安風險框架，是各有關單位確定其所屬信息系統的平安風險等級的根本依據；信息系統平安需求等級是根據目標信息系統的平安風險等級確定的；信息系統的平安保護等級是對信息系統平安保護的總體要求，是確定目標信息系統應選取何種等級的平安保護措施包括平安技術措施和平

31、安管理措施的根本依據，這些平安措施共同確保信息系統平安到達其平安性目標；平安技術等級和平安管理等級分別從技術和管理的角度對平安保護措施的平安性進行區分，為不同平安等級的信息系統進行技術和管理措施的選擇提供支持?！捌桨蚕到y等級與平安技術等級和平安管理等級既相互關聯又各有其不同的含義。這一根本認識說明：平安技術等級和平安管理等級與系統平安等級有著十分密切的關系但兩者并不是等同的關系。為了貫徹重點保護和適度保護的原那么，信息系統需要劃分等級，信息平安技術和信息平安管理同樣需要劃分等級。然而，信息系統的平安等級與平安技術的平安等級和平安管理的平安等級以下簡稱“技術和管理的平安等級是兩個既有聯系又不完全

32、相同的概念。信息系統的平安等級是根據信息系統的風險程度或者說風險等級確定的，是與信息系統的重要性或資產價值及其所處的環境和條件或平安威脅有關的。而技術和管理的平安等級那么是按平安技術和平安管理要素的平安性強度劃分并與環境和條件無關的。由于信息系統所處環境和條件的各不相同，信息系統的平安等級劃分難以制定出明確的標準，而技術和管理的平安等級完全可以根據其所實現的平安功能和所采取的平安保證措施制定出明確的劃分標準。到目前為止，所制定的一系列與信息平安等級保護相關的標準，其等級的劃分都是以平安要素為單位進行劃分的。不同平安要素所實現的平安功能的平安性強度也就是平安等級，根據其所采用的平安機制的不同和平

33、安保證措施的不同而定。至于劃分為幾個等級和每個平安等級之間的差異，完全是人為確定的。當然，這里所說的人為確定并是由哪一個隨意確定的，而是由有關主管部門組織業內有關專家，根據信息平安等級保護的需要，參考國際和國外的相關標準，結合我國平安技術開展和信息系統平安等級劃分的具體情況，認真研究確定的。這就是我們當前所制定的一系列平安技術和平安管理標準等級劃分的根底和依據。對一個具體的信息系統，在選擇采用何種等級的平安技術和平安管理措施時，需要考慮目標信息系統所處的環境和條件對平安性要求的影響，而并非簡單的按對應等級進行選擇?！捌桨补芾硎切畔⑵桨驳纳€。這一根本認識說明：平安管理在信息平安等級保護制度實

34、施過程中重要作用。人們通常用“三分技術，七分管理來形容管理對技術的重要性。其實，用“平安管理是信息平安的生命線來描述平安管理對信息平安的重要性可能更為貼切。對信息平安等級保護的管理分為“宏觀管理和“微觀管理。宏觀管理是指從國家的政策法規到設置各種管理機構等全局性的管理措施微觀管理是指圍繞信息系統的平安等級保護所實施的一系具體管理。從宏觀管理看，沒有政策法規的明確要求，信息平安等級保護就是依據空話。從微觀管理看，平安管理貫穿從確定信息系統平安需求到控制信息系統平安運行的信息系統整個生命周期的全過程，是信息平安的每一個環節實現的前提和保證。沒有嚴格的組織管理，無法進行信息平安的需求分析，從而無法確

35、定信息平安的等級需求；無法確定信息系統的平安方案；無法確保信息系統平安工程按確定的平安目標實現；無法確保設計、實現的信息平安系統的運行到達所要求的平安目標；無法應對平安系統運行中出現的新情況和新問題?？傊?，在信息平安系統生周期的每一個環節，沒有嚴格的符合要求的管理，平安技術的作用就會打折扣，甚至成為攻擊的弱點和漏洞。技術是手段，管理是前提和保證目標只有一個，那就是信息平安。根據我國的國情，管理的重要性還表達在領導的重要性。實踐證明，在我國信息系統建設階段，單位領導的重視與支持對單位的信息系統建設和開展的重要性已經成為不爭的事實。同樣，單位領導，特別是主要領導的重視與支持，對單位信息平安系統建設

36、和運行具有十分重要的作用。3.2 正確實施信息平安等級保護正確實施信息平安等級保護需要采用以下根本方法：1) 風險管理與信息平安等級保護相結合是貫穿信息系統整個生命周期的有效措施；2) 構建等級化的信息平安保障體系是實施信息平安等級保護的正確途徑；3) 按區域分類、分層、分等級保護是對信息系統實施平安等級保護的有效方法；4) 平安的一致性原理是等級化信息系統平安設計的重要思想。在進行等級化的信息系統平安設計時，首先采用風險分析的方法確定平安風險程度等級和平安需求，然后將這些平安需求轉化為相應的平安要求，再根據這些平安要求，確定對應的平安技術和平安管理措施。根據這些平安技術和平安管理措施在相關的

37、平安技術標準和平安管理標準中的平安級，從而最終確定信息系統的平安等級。由于平安技術和平安管理標準的等級劃分已經充分考慮到信息系統平安等級的劃分，所以從整體上兩者的等級應該是根本一致的。但這里并不要求完全對應。因為從本質上講，技術和管理的平安等級的劃分是比擬單一的，而信息系統平安等級的劃分是比擬復雜的，而且與信息系統所在的環境和條件有關的?？梢詭椭覀兝斫膺@一觀點的一個例子是，美國的NIST系列文檔將信息系統的平安等級劃分為根本級、增強級、強健級三個等級，并通過選取C C中的相應平安組件來構建所需要的信息平安系統。通過風險分析確定平安風險等級，威脅針對脆弱性和資產所產生的后果是，在脆弱性和資產確定的情況下，平安風險隨威脅的增加而增加；在威脅確定的情況下，平安風險隨資產和/或脆弱性的增加而增加；平安需求等級由平安風險等級產生，平安目標等級由平安需求等級確定，平安目標等級通過選擇相應平安等級的平安措施平安技術措施和平安管理措施來實現；平安措施通過對抗威脅、保護資產和降低脆弱性來減少平安風險，使剩余風險降低到可接受的范圍，從而到達對信息系統進行平安保護的目標?！皹嫿ǖ燃壔男畔⑵桨脖Ｕ象w系是實施信息平安等級保護的正確途徑，這一根本方法說明：對信