1、電子政務(wù)信息安全等級保護實施指南（試行）PAGE PAGE 42國務(wù)院信息息化工作辦辦公室文件件國信辦2200525號關(guān)于印發(fā)電子政務(wù)務(wù)信息安全全等級保護護實施指南南（試行）的通知各省、自治治區(qū)、直轄轄市信息化化領(lǐng)導(dǎo)小組組辦公室，中中央和國家家機關(guān)各部部委信息化化領(lǐng)導(dǎo)小組組辦公室： 現(xiàn)現(xiàn)將電子子政務(wù)信息息安全等級級保護實施施指南（試試行）印印發(fā)你們，供供你們在開開展電子政政務(wù)信息安安全保障工工作中參考考。 國務(wù)院信信息化工作作辦公室 二五年九月月十五日電子政務(wù)信信息安全等等級保護實施指南（試試行）國務(wù)院信息息化工作辦辦公室2005年年9月目 錄TOC o 1-3 h z u HYPERLINK

2、 l _Toc113407965 1 引言 PAGEREF _Toc113407965 h 1 HYPERLINK l _Toc113407966 1.1 編編寫目的 PAGEREF _Toc113407966 h 1 HYPERLINK l _Toc113407967 1.2 適適用范圍 PAGEREF _Toc113407967 h 1 HYPERLINK l _Toc113407968 1.3 文文檔結(jié)構(gòu) PAGEREF _Toc113407968 h 1 HYPERLINK l _Toc113407969 2 基本原原理 PAGEREF _Toc113407969 h 2 HYPERL

3、INK l _Toc113407970 2.1 基本本概念 PAGEREF _Toc113407970 h 2 HYPERLINK l _Toc113407971 2.1.11 電子政政務(wù)等級保保護的基本本含義 PAGEREF _Toc113407971 h 2 HYPERLINK l _Toc113407972 2.1.22 電子政政務(wù)安全等等級的層級級劃分 PAGEREF _Toc113407972 h 3 HYPERLINK l _Toc113407973 2.1.33 電子政政務(wù)等級保保護的基本本安全要求求 PAGEREF _Toc113407973 h 4 HYPERLINK l _

4、Toc113407974 2.2 基基本方法 PAGEREF _Toc113407974 h 4 HYPERLINK l _Toc113407975 2.2.11 等級保保護的要素素及其關(guān)系系 PAGEREF _Toc113407975 h 4 HYPERLINK l _Toc113407976 2.2.22 電子政政務(wù)等級保保護實現(xiàn)方方法 PAGEREF _Toc113407976 h 5 HYPERLINK l _Toc113407977 2.3 實實施過程 PAGEREF _Toc113407977 h 6 HYPERLINK l _Toc113407978 2.4 角角色及職責(zé)責(zé) PA

5、GEREF _Toc113407978 h 9 HYPERLINK l _Toc113407979 2.5 系系統(tǒng)間互聯(lián)聯(lián)互通的等等級保護要要求 PAGEREF _Toc113407979 h 10 HYPERLINK l _Toc113407980 3 定級 PAGEREF _Toc113407980 h 10 HYPERLINK l _Toc113407981 3.1 定定級過程 PAGEREF _Toc113407981 h 11 HYPERLINK l _Toc113407982 3.2 系系統(tǒng)識別與與描述 PAGEREF _Toc113407982 h 11 HYPERLINK l

6、_Toc113407983 3.2.11 系統(tǒng)整整體識別與與描述 PAGEREF _Toc113407983 h 11 HYPERLINK l _Toc113407984 3.2.22 劃分子子系統(tǒng)的方方法 PAGEREF _Toc113407984 h 12 HYPERLINK l _Toc113407985 3.2.33 子系統(tǒng)統(tǒng)識別與描描述 PAGEREF _Toc113407985 h 13 HYPERLINK l _Toc11334079986 3.3 等等級確定 PAGEREF _Toc113407986 h 13 HYPERLINK l _Toc113407987 3.3.11

7、電子政政務(wù)安全屬屬性描述 PAGEREF _Toc113407987 h 13 HYPERLINK l _Toc113407988 3.3.22 定級原原則 PAGEREF _Toc113407988 h 13 HYPERLINK l _Toc113407989 3.3.33 定級方方法 PAGEREF _Toc113407989 h 16 HYPERLINK l _Toc113407990 3.3.44 復(fù)雜系系統(tǒng)定級方方法 PAGEREF _Toc113407990 h 17 HYPERLINK l _Toc113407991 4 安全規(guī)規(guī)劃與設(shè)計計 PAGEREF _Toc1134079

8、91 h 18 HYPERLINK l _Toc113407992 4.1 系系統(tǒng)分域保保護框架建建立 PAGEREF _Toc113407992 h 18 HYPERLINK l _Toc113407993 4.1.11 安全域域劃分 PAGEREF _Toc113407993 h 18 HYPERLINK l _Toc113407994 4.1.22 保護對對象分類 PAGEREF _Toc113407994 h 19 HYPERLINK l _Toc113407995 4.1.33 系統(tǒng)分分域保護框框架 PAGEREF _Toc113407995 h 21 HYPERLINK l _To

9、c113407996 4.2 選選擇和調(diào)整整安全措施施 PAGEREF _Toc113407996 h 22 HYPERLINK l _Toc113407997 4.3 安安全規(guī)劃與與方案設(shè)計計 PAGEREF _Toc113407997 h 24 HYPERLINK l _Toc113407998 4.3.11 安全需需求分析 PAGEREF _Toc113407998 h 24 HYPERLINK l _Toc113407999 4.3.22 安全項項目規(guī)劃 PAGEREF _Toc113407999 h 24 HYPERLINK l _Toc113408000 4.3.33 安全工工作規(guī)

10、劃 PAGEREF _Toc113408000 h 25 HYPERLINK l _Toc113408001 4.3.44 安全方方案設(shè)計 PAGEREF _Toc113408001 h 25 HYPERLINK l _Toc11334080002 5 實施、等級評估估與運行 PAGEREF _Toc113408002 h 25 HYPERLINK l _Toc113408003 5.1 安安全措施的的實施 PAGEREF _Toc113408003 h 25 HYPERLINK l _Toc113408004 5.2 等等級評估與與驗收 PAGEREF _Toc113408004 h 25

11、HYPERLINK l _Toc113408005 5.3 運運行監(jiān)控與與改進 PAGEREF _Toc113408005 h 26 HYPERLINK l _Toc113408006 附錄A 術(shù)術(shù)語與定義義 PAGEREF _Toc113408006 h 27 HYPERLINK l _Toc113408007 附錄B 大大型復(fù)雜電電子政務(wù)系系統(tǒng)等級保保護實施過過程示例 PAGEREF _Toc113408007 h 27 HYPERLINK l _Toc113408008 B.1 大大型復(fù)雜電電子政務(wù)系系統(tǒng)描述 PAGEREF _Toc113408008 h 27 HYPERLINK l

12、_Toc113408009 B.2 等等級保護實實施過程描描述 PAGEREF _Toc113408009 h 28 HYPERLINK l _Toc113408010 B.3 系系統(tǒng)劃分與與定級 PAGEREF _Toc113408010 h 29 HYPERLINK l _Toc113408011 B.3.11 系統(tǒng)識識別和子系系統(tǒng)劃分 PAGEREF _Toc113408011 h 29 HYPERLINK l _Toc113408012 B.3.22 系統(tǒng)安安全等級確確定 PAGEREF _Toc113408012 h 29 HYPERLINK l _Toc113408013 B.3.

13、33 系統(tǒng)分分域保護框框架 PAGEREF _Toc113408013 h 30 HYPERLINK l _Toc113408014 B.4 安安全規(guī)劃與與設(shè)計 PAGEREF _Toc113408014 h 33 HYPERLINK l _Toc113408015 B.4.11 安全措措施的選擇擇與調(diào)整 PAGEREF _Toc113408015 h 33 HYPERLINK l _Toc113408016 B.4.22 等級化化風(fēng)險評估估 PAGEREF _Toc113408016 h 34 HYPERLINK l _Toc113408017 B.4.33 等級化化安全體系系設(shè)計 PAGE

14、REF _Toc113408017 h 34 HYPERLINK l _Toc113408018 B.4.44 安全規(guī)規(guī)劃與方案案設(shè)計 PAGEREF _Toc113408018 h 36 HYPERLINK l _Toc113408019 B.5 安安全措施的的實施 PAGEREF _Toc113408019 h 39圖表目錄TOC h z c 圖 HYPERLINK l _Toc113253558 圖 211電子政務(wù)務(wù)等級保護護的實現(xiàn)方方法 PAGEREF _Toc113253558 h 6 HYPERLINK l _Toc113253559 圖 222電子政務(wù)務(wù)等級保護護的基本流流程 P

15、AGEREF _Toc113253559 h 7 HYPERLINK l _Toc113253560 圖 233等級保護護過程與新新建和已建建系統(tǒng)生命命周期對應(yīng)應(yīng)關(guān)系 PAGEREF _Toc113253560 h 9 HYPERLINK l _Toc113253561 圖 311定級工作作流程 PAGEREF _Toc113253561 h 11 HYPERLINK l _Toc113253562 圖 411安全規(guī)劃劃與設(shè)計過過程 PAGEREF _Toc113253562 h 18 HYPERLINK l _Toc113253563 圖 422電子政務(wù)務(wù)的保護對對象及信息息資產(chǎn) PAGER

16、EF _Toc113253563 h 20 HYPERLINK l _Toc113253564 圖 433系統(tǒng)分域域保護框架架示意圖 PAGEREF _Toc113253564 h 22 HYPERLINK l _Toc113253565 圖 444確定安全全措施的過過程 PAGEREF _Toc113253565 h 22 HYPERLINK l _Toc113253566 圖 455系統(tǒng)安全全需求 PAGEREF _Toc113253566 h 24 HYPERLINK l _Toc113253567 圖 511安全措施施的實施 PAGEREF _Toc113253567 h 25 HYP

17、ERLINK l _Toc113253568 圖 522等級保護護的運行改改進過程 PAGEREF _Toc113253568 h 26TOC h z c 表 HYPERLINK l _Toc113253569 表 211電子政務(wù)務(wù)系統(tǒng)五個個安全等級級的基本內(nèi)內(nèi)容 PAGEREF _Toc113253569 h 3 HYPERLINK l _Toc113253570 表 311電子政務(wù)務(wù)安全等級級在安全屬屬性方面的的描述 PAGEREF _Toc113253570 h 15 HYPERLINK l _Toc113253571 表 411安全措施施的調(diào)整因因素和調(diào)整整方式 PAGEREF _To

18、c113253571 h 23電子政務(wù)信信息安全等等級保護實實施指南（試試行）引言編寫目的國家信息息化領(lǐng)導(dǎo)小小組關(guān)于加加強信息安安全保障工工作的意見見（中辦辦發(fā)2000327號，以下簡稱稱“27號文文件”）明確要求求我國信息息安全保障障工作實行行等級保護護制度,提出“抓緊建立立信息安全全等級保護護制度，制制定信息安安全等級保保護的管理理辦法和技技術(shù)指南”。20044年9月發(fā)發(fā)布的關(guān)關(guān)于信息安安全等級保保護工作的的實施意見見（公通通字20004666號，以以下簡稱“66號文文件”）進一步強強調(diào)了開展展信息安全全等級保護護工作的重重要意義，規(guī)定了實施信息安全等級保護制度的原則、內(nèi)容、職責(zé)分工、基本

19、要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。27號文件件和66號號文件不但但為各行業(yè)業(yè)開展信息安安全等級保保護工作指指明了方向向，同時也也為各行業(yè)業(yè)如何根據(jù)據(jù)自身特點點做好信息安全全等級保護護工作提出出了更高的的要求。電電子政務(wù)作作為國家信信息化戰(zhàn)略略的重要組組成部分，其其安全保障障事關(guān)國家家安全和社社會穩(wěn)定，必必須按照227號文件件要求，全全面實施信信息安全等等級保護。因此，組織編制制電子政政務(wù)信息安安全等級保保護實施指指南，規(guī)規(guī)范電子政政務(wù)信息安安全等級保保護工作的的基本思路路和實施方方法，指導(dǎo)導(dǎo)我國電子子政務(wù)建設(shè)設(shè)中的信息息安全保障障工作，對對搞好電子子政務(wù)信息息安全保障障

20、具有十分分重要的現(xiàn)現(xiàn)實意義。適用范圍本指南提提供了電子子政務(wù)信息息安全等級級保護的基基本概念、方法和過過程，適用用于指導(dǎo)各各級黨政機機關(guān)新建電電子政務(wù)系系統(tǒng)和已建建電子政務(wù)務(wù)系統(tǒng)的等等級保護工工作。文檔結(jié)構(gòu)本指南包括括五個章節(jié)節(jié)和兩個附錄。第1章為引引言，介紹紹了本指南南的編寫目目的、適用用范圍和文文檔結(jié)構(gòu)；第2章為為基本原理理，描述了了等級保護護的概念、原理、實實施過程、角色與職職責(zé)，以及系統(tǒng)統(tǒng)間互聯(lián)互互通的等級級保護要求求；第3章章描述了電子政務(wù)務(wù)等級保護護的定級，包包括定級過過程、系統(tǒng)統(tǒng)識別和描描述、等級級確定；第第4章描述述了電子政務(wù)務(wù)等級保護護的安全規(guī)規(guī)劃與設(shè)計計，包括電電子政務(wù)系系

21、統(tǒng)分域保保護框架的的建立，選擇和調(diào)調(diào)整安全措措施，以及安全全規(guī)劃與方方案設(shè)計；第5章描描述了安全措施施的實施、等級評估估，以及等級級保護的運運行改進。附錄A介紹紹了本指南南術(shù)語定義義；附錄BB介紹了大大型復(fù)雜電電子政務(wù)系系統(tǒng)等級保保護實施過過程的示例例。除明確聲明明外，本指指南中所提提到的等級級保護、電電子政務(wù)等等級保護都都是指電子子政務(wù)信息息安全等級級保護?；驹砘靖拍铍娮诱?wù)等等級保護的的基本含義義信息安全等等級保護是是國家在國國民經(jīng)濟和和社會信息息化的發(fā)展展過程中，提提高信息安安全保障能能力和水平平，維護國國家安全、社會穩(wěn)定定和公共利利益，保障障和促進信信息化健康康發(fā)展的基基本策略。

22、27號文文件對信息息安全等級級保護做出出了系統(tǒng)的的描述“信息化發(fā)發(fā)展的不同同階段和不不同的信息息系統(tǒng)有著著不同的安安全需求，必必須從實際際出發(fā)，綜綜合平衡安安全成本和和風(fēng)險，優(yōu)優(yōu)化信息安安全資源的的配置，確確保重點。要重點保保護基礎(chǔ)信信息網(wǎng)絡(luò)和和關(guān)系國家家安全、經(jīng)經(jīng)濟命脈、社會穩(wěn)定定等方面的的重要信息息系統(tǒng)?！彪娮诱?wù)信信息安全等等級保護是是根據(jù)電子子政務(wù)系統(tǒng)統(tǒng)在國家安安全、經(jīng)濟濟安全、社社會穩(wěn)定和和保護公共利利益等方面面的重要程程度，結(jié)合合系統(tǒng)面臨臨的風(fēng)險、系統(tǒng)特定定安全保護護要求和成成本開銷等因素素，將其劃劃分成不同同的安全保保護等級，采取相應(yīng)應(yīng)的安全保保護措施，以以保障信息息和信息系系統(tǒng)

23、的安全全。電子政務(wù)等等級保護工工作分為管管理層面和和用戶層面面兩個方面面的工作。管理層的的主要工作作是制定電電子政務(wù)信信息安全等等級保護的的管理辦法法、定級指指南、基本本安全要求求、等級評評估規(guī)范以以及對電子子政務(wù)等級級保護工作作的管理等等。用戶層層的主要工工作是依據(jù)據(jù)管理層的的要求對電電子政務(wù)系系統(tǒng)進行定定級，確定定系統(tǒng)應(yīng)采采取的安全全保障措施施，進行系系統(tǒng)安全設(shè)設(shè)計與建設(shè)設(shè)，以及運運行監(jiān)控與與改進。本本指南的內(nèi)內(nèi)容主要針針對用戶層層面的工作作。電子政務(wù)信信息安全等等級保護遵遵循以下原原則：重點保護原原則電子政務(wù)等等級保護要要突出重點點。對關(guān)系系國家安全全、經(jīng)濟命命脈、社會會穩(wěn)定等方方面的重

24、要要電子政務(wù)務(wù)系統(tǒng)，應(yīng)應(yīng)集中資源源優(yōu)先建設(shè)設(shè)?！罢l主管誰誰負責(zé)、誰誰運營誰負負責(zé)”原則電子政務(wù)等等級保護要要貫徹“誰主管誰誰負責(zé)、誰誰運營誰負負責(zé)”的原則，由由各主管部部門和運營營單位依照照國家相關(guān)關(guān)法規(guī)和標標準，自主主確定電子子政務(wù)系統(tǒng)統(tǒng)的安全等等級并按照照相關(guān)要求求組織實施施安全保障障。分區(qū)域保護護原則電子政務(wù)等等級保護要要根據(jù)各地地區(qū)、各行行業(yè)電子政政務(wù)系統(tǒng)的的重要程度度、業(yè)務(wù)特特點和不同同發(fā)展水平平，分類、分級、分分階段進行行實施，通通過劃分不不同的安全全區(qū)域，實實現(xiàn)不同強強度的安全全保護。同步建設(shè)原原則電子政務(wù)系系統(tǒng)在新建、改建建、擴建時時應(yīng)當(dāng)同步步建設(shè)信息息安全設(shè)施施，保證信息安安

25、全與信息息化建設(shè)相相適應(yīng)。5) 動動態(tài)調(diào)整原原則由于信息與與信息系統(tǒng)統(tǒng)的應(yīng)用類類型、覆蓋蓋范圍、外部部環(huán)境等約束條件處于不不斷變化與發(fā)展展之中，因此信息息與信息系系統(tǒng)的安全全保護等級級需要根據(jù)據(jù)變化情況況，適時重重新確定，并相應(yīng)調(diào)整對應(yīng)的的保護措施施。電子政務(wù)安安全等級的的層級劃分66號文件件中規(guī)定信信息系統(tǒng)的的安全等級級從低到高高依次包括括自主保護護級、指導(dǎo)導(dǎo)保護級、監(jiān)督保護護級、強制制保護級、專控保護護級五個安安全等級。按66號文文件的規(guī)定定，對電子政務(wù)務(wù)的五個安全全等級定義義如表2-1所示。表 2 SEQ 表 * ARABIC s 1 11電子政務(wù)務(wù)系統(tǒng)五個個安全等級級的基本內(nèi)內(nèi)容安全等

26、級等級名稱基本描述安全保護要要求第一級自主保護級級適用于一般般的電子政政務(wù)系統(tǒng)。系統(tǒng)遭到到破壞后對對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成較小的的負面影響響。參照國家標標準自主進進行保護。第二級指導(dǎo)保護級級適用于處理理日常政務(wù)務(wù)信息和提提供一般政政務(wù)服務(wù)的的電子政務(wù)務(wù)系統(tǒng)。系統(tǒng)遭到到破壞后對對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成中等程程度的負面面影響。在主管部門門的指導(dǎo)下下，按照國國家標準自自主進行保保護。第三級監(jiān)督保護級級適用于處理理重要政務(wù)務(wù)信息和提提供重要政政務(wù)服務(wù)的的電子政務(wù)務(wù)系統(tǒng)。系統(tǒng)遭到到破壞后可可能對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成較大

27、的的負面影響響，可能對國家家安全造成成一定程度度的損害。在主管部門門的監(jiān)督下下，按國家家標準嚴格格落實各項項保護措施施進行保護護。第四級強制保護級級適用于涉及及國家安全全、社會秩秩序、經(jīng)濟濟建設(shè)和公公共利益的的重要電子子政務(wù)系統(tǒng)統(tǒng)。系統(tǒng)遭到到破壞后可可能對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成嚴重的的負面影響響，可能對國家家安全造成成較大損害害。在主管部門門的強制監(jiān)監(jiān)督和檢查查下，按國國家標準嚴嚴格落實各各項措施進進行保護。第五級?？乇Ｗo級級適用于關(guān)系系國家安全全、社會秩秩序、經(jīng)濟濟建設(shè)和公公共利益的的核心系統(tǒng)統(tǒng)。系統(tǒng)遭到到破壞后對對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造

28、成極其嚴嚴重的負面面影響，對對國家安全全造成嚴重重損害。根據(jù)安全需需求，由主主管部門和和運營單位位對電子政政務(wù)系統(tǒng)進進行專門控控制和保護護。電子政務(wù)等等級保護的的基本安全要要求電子政務(wù)等等級保護基基本安全要要求是對各等級電子子政務(wù)系統(tǒng)統(tǒng)的一般性要求，分為為五個等級，從第第一級至第第五級，對對應(yīng)于五個個等級的電電子政務(wù)系系統(tǒng)。對特定電子政政務(wù)系統(tǒng)的的安全保護護，以其相相應(yīng)等級的的基本安全全要求為基基礎(chǔ)，通過對安全全措施的調(diào)調(diào)整和定制制，得到適適用于該電子政務(wù)務(wù)系統(tǒng)的安安全保護措措施。電子政務(wù)等等級保護基基本安全要求分為安全策策略、安全全組織、安安全技術(shù)和和安全運行行四個方面面。安全策略安全策略是

29、是為了指導(dǎo)導(dǎo)和規(guī)范電電子政務(wù)信信息安全工工作而制定定的安全方針、管理制度、規(guī)范標準準、操作流流程和記錄錄模板等文檔檔的總和。安全策略略具有層次次化的結(jié)構(gòu)構(gòu)，包括整體體安全策略略、部門級級安全策略略、系統(tǒng)級級安全策略略等。安全組織安全組織是是為了保障障電子政務(wù)務(wù)信息安全全而建立的的組織體系系，包括各各級安全組組織機構(gòu)、崗位安全全職責(zé)、人人員安全管管理、第三三方安全管管理、安全全合作與溝溝通等方面面。安全技術(shù)安全技術(shù)是是指保障電子政政務(wù)信息安全的的安全技術(shù)術(shù)功能要求求和安全技技術(shù)保障要要求，包括網(wǎng)絡(luò)絡(luò)與通訊安全、主機與平平臺安全、數(shù)據(jù)庫安安全、應(yīng)用用安全、數(shù)數(shù)據(jù)安全、物理環(huán)境境安全等方方面。安全運

30、行安全運行是是為了保障障電子政務(wù)務(wù)系統(tǒng)運行行過程中的的安全而制制定的安全全運維要求，包括風(fēng)險管管理、配置置和變更管管理、信息息系統(tǒng)工程程安全管理理、日常運運行管理、技術(shù)術(shù)資料安全全、應(yīng)急響響應(yīng)等方面面。具體的電子子政務(wù)等級級保護基本本安全要求求參見相關(guān)的國家標準準。基本方法等級保護的的要素及其其關(guān)系電子政務(wù)等等級保護的的基本原理理是：依據(jù)據(jù)電子政務(wù)務(wù)系統(tǒng)的使使命、目標標和重要程程度，將系系統(tǒng)劃分為為不同的安安全等級，并并綜合平衡衡系統(tǒng)特定定安全保護護要求、系系統(tǒng)面臨安安全風(fēng)險情情況和實施施安全保護護措施的成成本，進行行安全措施施的調(diào)整和和定制，形形成與系統(tǒng)統(tǒng)安全等級級相適應(yīng)的安安全保障體系。電

31、子政務(wù)等等級保護包包含以下七七個要素：電子政務(wù)系系統(tǒng)電子政務(wù)系系統(tǒng)是信息息安全等級級保護的對對象，包括括系統(tǒng)中的的信息、系系統(tǒng)所提供供的服務(wù)，以及執(zhí)行行信息處理理、存儲、傳輸?shù)能涇浻布O(shè)備備等。目標目標是指電電子政務(wù)系系統(tǒng)的業(yè)務(wù)務(wù)目標和安安全目標，電電子政務(wù)等等級保護要要保障業(yè)務(wù)務(wù)目標和安安全目標的的實現(xiàn)。電子政務(wù)信信息安全等等級電子政務(wù)信信息安全等等級劃分為為五級，分分別體現(xiàn)在在電子政務(wù)務(wù)系統(tǒng)的等等級和安全全保護的等等級兩個方方面。安全保護要要求不同的電子子政務(wù)系統(tǒng)統(tǒng)具有不同同類型和不不同強度的的安全保護護要求。安全風(fēng)險安全風(fēng)險是是指電子政政務(wù)系統(tǒng)由由于本身存在安全弱弱點，通過人為或或自然的

32、威威脅可能導(dǎo)致安安全事件的的發(fā)生。安全全風(fēng)險由安全事件發(fā)發(fā)生的可能能性及其造造成的影響響這兩種指標標來綜合衡量。安全保護措措施安全保護措措施是用來來對抗安全全風(fēng)險、滿滿足安全保保護要求、保護電子子政務(wù)系統(tǒng)統(tǒng)和保障電電子政務(wù)目目標實現(xiàn)的的措施，包包括安全管管理措施和和安全技術(shù)術(shù)措施。安全保護措措施的成本本不同類型和和強度的安安全保護措措施的實現(xiàn)現(xiàn)需要不同同的成本，安安全保護措措施的成本本應(yīng)包括設(shè)設(shè)備購買成成本、實施施成本、維維護成本和和人員成本本等。電子政務(wù)等等級保護各各要素之間間的關(guān)系是是：電子政務(wù)系系統(tǒng)的安全全等級由系系統(tǒng)的使命命、目標和和系統(tǒng)重要要程度決定定。安全措施需需要滿足系系統(tǒng)安全保

33、護要要求，對抗抗系統(tǒng)所面面臨的風(fēng)險險。不同電子政政務(wù)系統(tǒng)的的使命和業(yè)業(yè)務(wù)目標的的差異性，業(yè)業(yè)務(wù)和系統(tǒng)統(tǒng)本身的特特性（所屬屬信息資產(chǎn)產(chǎn)特性、實實際運行情情況和所處處環(huán)境等）的的差異性，決決定了系統(tǒng)統(tǒng)安全保護要要求特性（安安全保護要要求的類型型和強度）的的差異性。系統(tǒng)保護要要求類型和和強度的差差異性，安安全風(fēng)險情情況的差異異性，決定定了選擇不不同類型和和強度的安安全措施。電子政務(wù)安安全措施的的確定需要要綜合平衡衡系統(tǒng)保護護要求的滿滿足程度、系統(tǒng)面臨臨風(fēng)險的控控制和降低低程度、系統(tǒng)統(tǒng)殘余風(fēng)險險的接受程程度、以及及實施安全全措施的成成本，在適適度成本下下實現(xiàn)適度度安全。電子政務(wù)等等級保護實實現(xiàn)方法27

34、號文件件指出，實實行信息安安全等級保保護時“要重視信信息安全風(fēng)風(fēng)險評估工工作，對網(wǎng)網(wǎng)絡(luò)與信息息系統(tǒng)安全全的潛在威威脅、薄弱弱環(huán)節(jié)、防防護措施等等進行分析析評估，綜綜合考慮網(wǎng)網(wǎng)絡(luò)與信息息系統(tǒng)的重重要性、涉涉密程度和和面臨的信信息安全風(fēng)風(fēng)險等因素素，進行相相應(yīng)等級的的安全建設(shè)設(shè)和管理”。電子政務(wù)等等級保護的的實現(xiàn)方法法如圖2-11所示：圖 2 SEQ 圖 * ARABIC s 1 11電子政務(wù)務(wù)等級保護護的實現(xiàn)方方法電子政務(wù)系系統(tǒng)實施等等級保護的的方法是：依據(jù)電子政政務(wù)安全等等級的定級規(guī)則則，確定電電子政務(wù)系系統(tǒng)的安全全等級；按照電子政政務(wù)等級保保護要求，確確定與系統(tǒng)統(tǒng)安全等級級相對應(yīng)的的基本安全

35、全要求；依據(jù)系統(tǒng)基基本安全要要求，并綜綜合平衡系系統(tǒng)安全保保護要求、系統(tǒng)所面面臨風(fēng)險和和實施安全全保護措施施的成本，進進行安全保保護措施的的定制，確定適用于于特定電子子政務(wù)系統(tǒng)統(tǒng)的安全保保護措施，并并依照本指指南相關(guān)要要求完成規(guī)規(guī)劃、設(shè)計計、實施和和驗收。實施過程電子政務(wù)等等級保護的的實施過程程包括三個個階段，分分別為：定級階段規(guī)劃與設(shè)計計階段實施、等級級評估與改改進階段電子政務(wù)等等級保護的的基本流程程如圖2-22所示。圖 2 SEQ 圖 * ARABIC s 1 22電子政務(wù)務(wù)等級保護護的基本流程程第一階段：定級定級階段主主要包括兩兩個步驟：系統(tǒng)識別與與描述清晰地了解解政務(wù)機構(gòu)構(gòu)所擁有的的電

36、子政務(wù)務(wù)系統(tǒng)，根根據(jù)需要將復(fù)雜雜電子政務(wù)務(wù)系統(tǒng)分解解為電子政政務(wù)子系統(tǒng)統(tǒng)，描述系系統(tǒng)和子系系統(tǒng)的組成成及邊界。等級確定完成電子政政務(wù)系統(tǒng)總總體定級和和子系統(tǒng)的的定級。第二階段：規(guī)劃與設(shè)設(shè)計規(guī)劃與設(shè)計計階段主要要包括三個個步驟，分分別為：系統(tǒng)分域保保護框架建建立通過對電子子政務(wù)系統(tǒng)統(tǒng)進行安全全域劃分、保護對象象分類，建建立電子政政務(wù)系統(tǒng)的的分域保護護框架。選擇和調(diào)整整安全措施施根據(jù)電子政政務(wù)系統(tǒng)和和子系統(tǒng)的的安全等級級，選擇對對應(yīng)等級的基本安全全要求，并并根據(jù)風(fēng)險險評估的結(jié)結(jié)果，綜合合平衡安全全風(fēng)險和成成本，以及及各系統(tǒng)特特定安全要要求，選擇擇和調(diào)整安全全措施，確確定出電子子政務(wù)系統(tǒng)統(tǒng)、子系統(tǒng)統(tǒng)

37、和各類保護對對象的安全全措施。安全規(guī)劃和和方案設(shè)計計根據(jù)所確定定的安全措措施，制定定安全措施施的實施規(guī)規(guī)劃，并制制定安全技技術(shù)解決方方案和安全全管理解決決方案。第三階段：實施、等等級評估與與改進實施、等級級評估與改改進階段主主要包括三三個步驟，分分別為：安全措施的的實施依據(jù)安全解解決方案建建設(shè)和實施施等級保護護的安全技技術(shù)措施和和安全管理理措施。評估與驗收收按照等級保保護的要求求，選擇相相應(yīng)的方式式來評估系系統(tǒng)是否滿滿足相應(yīng)的的等級保護護要求，并對等級級保護建設(shè)設(shè)的最終結(jié)結(jié)果進行驗驗收。運行監(jiān)控與與改進運行監(jiān)控是是在實施等等級保護的的各種安全全措施之后后的運行期期間，監(jiān)控控系統(tǒng)的變變化和系統(tǒng)統(tǒng)

38、安全風(fēng)險險的變化，評評估系統(tǒng)的的安全狀況況。如果經(jīng)經(jīng)評估發(fā)現(xiàn)現(xiàn)系統(tǒng)及其其風(fēng)險環(huán)境境已發(fā)生重重大變化，新的安全保護要求與原有的安全等級已不相適應(yīng)，則應(yīng)進行系統(tǒng)重新定級。如果系統(tǒng)只發(fā)生部分變化，例如發(fā)現(xiàn)新的系統(tǒng)漏洞，這些改變不涉及系統(tǒng)的信息資產(chǎn)和威脅狀況的根本改變，則只需要調(diào)整和改進相應(yīng)的安全措施。對于大型復(fù)復(fù)雜電子政政務(wù)系統(tǒng)，等等級保護過過程可以根根據(jù)實際情情況進一步步加強和細化化，以滿足足其復(fù)雜性性的要求。附錄B給出了大大型復(fù)雜電電子政務(wù)系系統(tǒng)等級保保護實施過過程的示例例。新建電子政政務(wù)系統(tǒng)的的等級保護護工作與已已經(jīng)建成的的電子政務(wù)務(wù)系統(tǒng)之間間，在等級保護護工作的切入點方面面是不相同同的，它們

39、各自自的切入點及及其對應(yīng)關(guān)關(guān)系如圖22-3所示示。新建電子政政務(wù)系統(tǒng)在在啟動時，應(yīng)應(yīng)當(dāng)按照等等級保護的的要求來建建設(shè)。系統(tǒng)規(guī)劃階階段，應(yīng)分分析并確定定所建電子子政務(wù)系統(tǒng)統(tǒng)的安全等等級，并在在項目建議議書中對系系統(tǒng)的安全全等級進行行論證。系統(tǒng)設(shè)計階階段，要根根據(jù)所確定定的系統(tǒng)安安全等級，設(shè)設(shè)計系統(tǒng)的的安全保護護措施，并并在可行性性分析中論論證安全保保護措施；系統(tǒng)實施階階段，要與與信息系統(tǒng)統(tǒng)建設(shè)同步步進行信息息安全等級級保護體系系的實施，之之后進行等等級評估和和驗收。系統(tǒng)運行維維護階段，要要按照所建建立的等級級保護體系系的要求，進進行安全維維護與安全全管理。系統(tǒng)廢棄階階段，要按按照所建立立的等級保

40、保護體系的的要求，對對廢棄過程程進行有效效的安全管管理。對于已建的的電子政務(wù)務(wù)系統(tǒng)，由由于在系統(tǒng)統(tǒng)規(guī)劃、設(shè)設(shè)計和實施施階段沒有有考慮等級級保護的要要求，因此此等級保護護工作的切切入點是系系統(tǒng)運行維維護階段。圖 2 SEQ 圖 * ARABIC s 1 33等級保護護過程與新新建和已建建系統(tǒng)生命命周期對應(yīng)應(yīng)關(guān)系在確定要實實施等級保保護工作之之后，應(yīng)對對系統(tǒng)進行行安全現(xiàn)狀狀分析，深深入認識和和理解機構(gòu)構(gòu)所擁有的的電子政務(wù)務(wù)系統(tǒng)，對對每個系統(tǒng)統(tǒng)進行定級級，之后進進行等級保保護的安全全規(guī)劃和方方案設(shè)計，最后進行實施、評估和驗收。角色及職責(zé)責(zé)電子政務(wù)等等級保護工工作主要包包括決策者者、技術(shù)負負責(zé)人、實實

41、施人員三三類角色。決策者決策者是政政務(wù)機構(gòu)中中對本單位位實施電子政政務(wù)信息安安全等級保保護工作的的最終決策策人。決策者者在等級保保護中的職職責(zé)如下：組織、協(xié)調(diào)調(diào)和推動本本單位電子子政務(wù)等級級保護工作作；負責(zé)最終確確定本單位位電子政務(wù)務(wù)系統(tǒng)的安全等級級；領(lǐng)導(dǎo)和監(jiān)督督本單位電電子政務(wù)等等級保護體體系的建設(shè)設(shè)工作；與本單位電電子政務(wù)等等級保護建建設(shè)的上級級主管部門門進行溝通通和協(xié)調(diào)，組織、配合等級評審與驗收；監(jiān)督本單位位電子政務(wù)務(wù)等級保護護體系的運運行與改進進。技術(shù)負責(zé)人人技術(shù)負責(zé)人人是對本單位位實施電子子政務(wù)信息息安全等級級保護工作作的決策支支持者、技技術(shù)決策人人和實施管理理者。技術(shù)術(shù)負責(zé)人在等等

42、級保護中中的職責(zé)如如下：協(xié)助決策者者組織、協(xié)協(xié)調(diào)和推動動本單位電電子政務(wù)等等級保護的的工作；向決策者提提供本單位位電子政務(wù)務(wù)系統(tǒng)安全全定級的建議議及依據(jù)；組織實施本本單位電子子政務(wù)等級級保護體系系的建設(shè)；組織和總結(jié)結(jié)本單位等等級保護的的實施情況況，配合上上級主管部部門進行等等級評估和驗收收；組織實施本本單位電子子政務(wù)等級級保護體系系的運行與與改進。實施人員實施人員是是政務(wù)機構(gòu)構(gòu)中實施信信息安全等等級保護的的具體工作作人員。實實施人員在在等級保護護中的職責(zé)責(zé)如下：分析本單位位電子政務(wù)務(wù)系統(tǒng)，收收集定級理理由和證據(jù)據(jù)； 在技術(shù)負責(zé)責(zé)人的領(lǐng)導(dǎo)導(dǎo)下，具體體組織和參參與完成等等級保護各各階段的工工作。系

43、統(tǒng)間互聯(lián)聯(lián)互通的等等級保護要要求不同安全等等級的電子子政務(wù)系統(tǒng)統(tǒng)之間可以以根據(jù)業(yè)務(wù)務(wù)需要進行行互聯(lián)互通通。不同安安全等級的的系統(tǒng)互聯(lián)聯(lián)互通，要要根據(jù)系統(tǒng)統(tǒng)業(yè)務(wù)要求求和安全保保護要求，制制定相應(yīng)的的互聯(lián)互通通安全策略略，包括訪訪問控制策策略和數(shù)據(jù)據(jù)交換策略略等。要采采取相應(yīng)的的邊界保護護、訪問控控制等安全全措施，防防止高等級級系統(tǒng)的安安全受低等等級系統(tǒng)的的影響。電電子政務(wù)系系統(tǒng)間的互互聯(lián)互通遵遵循以下要要求：同等級電子子政務(wù)系統(tǒng)統(tǒng)之間的互互聯(lián)互通由系統(tǒng)的擁擁有單位參參照該等級級對訪問控控制的要求求，協(xié)商確確定邊界防防護措施和和數(shù)據(jù)交換換安全措施施，保障電電子政務(wù)系系統(tǒng)間互聯(lián)聯(lián)互通的安安全。不同等

44、級電電子政務(wù)系系統(tǒng)間的互互聯(lián)互通各系統(tǒng)在按按照自身安安全等級進進行相應(yīng)保保護的基礎(chǔ)礎(chǔ)上，協(xié)商商對相互連連接的保護護。高安全全等級的系系統(tǒng)要充分分考慮引入入低安全等等級系統(tǒng)后后帶來的風(fēng)風(fēng)險，采取取有效措施施進行控制制。涉密系統(tǒng)與與其它系統(tǒng)統(tǒng)的互聯(lián)互互通，按照照國家保密密部門的有有關(guān)規(guī)定執(zhí)執(zhí)行。電子政務(wù)系系統(tǒng)互聯(lián)互互通中的密密碼配置按按照國家密密碼管理部部門的要求求執(zhí)行。定級電子政務(wù)系系統(tǒng)定級可可以采用以以下兩種方方式進行：對系統(tǒng)總體體定級系統(tǒng)總體定定級是在識識別出政務(wù)務(wù)機構(gòu)所擁擁有的電子子政務(wù)系統(tǒng)統(tǒng)后，針對對系統(tǒng)整體體確定其安安全等級。將系統(tǒng)分解解為子系統(tǒng)統(tǒng)后分別定定級政務(wù)機構(gòu)所所擁有的電電子政

45、務(wù)系系統(tǒng)如果規(guī)規(guī)模龐大、系統(tǒng)復(fù)雜雜，則可以以將系統(tǒng)分分解為多層層次的多個個子系統(tǒng)后后，對所分分解的每個個子系統(tǒng)分分別確定其其安全等級級。定級過程定級階段的的主要目標標是確定電子政政務(wù)系統(tǒng)及及其子系統(tǒng)統(tǒng)的安全等等級。定級級結(jié)果是進進行安全規(guī)規(guī)劃與設(shè)計計的基礎(chǔ)，定級結(jié)果果應(yīng)按照相相關(guān)管理規(guī)規(guī)定提交相關(guān)管理部門備備案。定級階段工工作主要包含兩個過程：系統(tǒng)識別與與描述應(yīng)準確識別別并描述出出整體的電電子政務(wù)系系統(tǒng)，以及及系統(tǒng)可以以分解的子子系統(tǒng)。系系統(tǒng)識別要要確定系統(tǒng)統(tǒng)的范圍和和邊界，識識別系統(tǒng)包含的的信息和系系統(tǒng)提供的的服務(wù)，作作為后續(xù)定定級工作的輸入入。等級確定進行系統(tǒng)整整體定級和和子系統(tǒng)分分別定級

46、，形形成系統(tǒng)的的定級列表表，作為后后續(xù)階段工工作的基礎(chǔ)礎(chǔ)。定級工作流流程如圖33-1所示。圖 311定級工作作流程系統(tǒng)識別與與描述系統(tǒng)整體識識別與描述述實施等級保保護工作首首先要求政政務(wù)機構(gòu)對對其擁有的的或擬建的的電子政務(wù)務(wù)系統(tǒng)進行行深入的識別和描述述，識別和描述述的內(nèi)容至至少包括如如下信息：系統(tǒng)基本信信息系統(tǒng)名稱，系系統(tǒng)的簡要要描述，所所在地點等等。系統(tǒng)相關(guān)單單位負責(zé)定級的的責(zé)任單位位，系統(tǒng)所所屬單位，系系統(tǒng)運營單單位，主管管部門，安安全運營單單位，安全全主管部門門等。系統(tǒng)范圍和和邊界描述系統(tǒng)所所涵蓋的信信息資產(chǎn)范范圍、使用用者和管理理者范圍、行政區(qū)域域范圍和網(wǎng)網(wǎng)絡(luò)區(qū)域范范圍等，并并清晰描述

47、述出其邊界界。系統(tǒng)提供的的主要功能能或服務(wù)從整體層面面描述系統(tǒng)所所提供的主主要功能或或服務(wù)，即即對公眾、企業(yè)、相相關(guān)政府機機關(guān)、內(nèi)部部用戶等提供的主主要服務(wù)。系統(tǒng)所包含含的主要信信息描述系統(tǒng)所所輸入、處處理、存儲儲、輸出的的主要信息息和數(shù)據(jù)。劃分子系統(tǒng)統(tǒng)的方法劃分原則對政務(wù)機構(gòu)構(gòu)所擁有的的大型復(fù)雜雜電子政務(wù)務(wù)系統(tǒng)，可可以將其劃劃分為若干干子系統(tǒng)進行行定級，子系統(tǒng)劃劃分基于以以下原則：按照系統(tǒng)服服務(wù)對象劃劃分電子政務(wù)系系統(tǒng)的服務(wù)務(wù)對象即目目標用戶，包括社會會公眾、企企事業(yè)單位位、機構(gòu)內(nèi)內(nèi)部人員、其它政務(wù)務(wù)機構(gòu)等。依據(jù)其所所服務(wù)的目目標用戶可可分為以下下幾類系統(tǒng)統(tǒng)：政務(wù)機構(gòu)對對公民的電子政務(wù)務(wù)系統(tǒng)

48、政務(wù)機構(gòu)對對企業(yè)的電子政務(wù)務(wù)系統(tǒng)政務(wù)機構(gòu)對對政務(wù)機構(gòu)構(gòu)的電子政政務(wù)系統(tǒng)政務(wù)機構(gòu)對對公務(wù)員的的電子政務(wù)務(wù)系統(tǒng)按系統(tǒng)功能能類型劃分分根據(jù)系統(tǒng)的的功能類型型或提供的的服務(wù)類型型劃分子系統(tǒng)統(tǒng)。劃分時時除了考慮慮到對外部部用戶（社社會公眾、企事業(yè)單單位、其它它政務(wù)機構(gòu)構(gòu)）提供服服務(wù)的對外外業(yè)務(wù)系統(tǒng)統(tǒng)，對內(nèi)部部用戶（內(nèi)內(nèi)部公務(wù)員員、領(lǐng)導(dǎo)）提提供服務(wù)的的內(nèi)部辦公公和管理系系統(tǒng)外，還還應(yīng)考慮到到對前兩類類系統(tǒng)提供供承載、支支撐和管理理作用的支支持系統(tǒng)，如如網(wǎng)絡(luò)承載載平臺、網(wǎng)網(wǎng)管系統(tǒng)、安全系統(tǒng)統(tǒng)等。按照網(wǎng)絡(luò)區(qū)區(qū)域劃分根據(jù)電子政政務(wù)系統(tǒng)建建設(shè)現(xiàn)狀，系系統(tǒng)可能運運行在不同同的電子政政務(wù)網(wǎng)絡(luò)范范圍內(nèi)，不同的電電子政務(wù)

49、網(wǎng)網(wǎng)絡(luò)在涉密密程度、隔隔離模式和和管理模式式上差異較大大，所以可可以按照電電子政務(wù)系系統(tǒng)運行的的網(wǎng)絡(luò)區(qū)域域進行子系系統(tǒng)劃分。按行政級別別劃分按系統(tǒng)所處處的行政級級別，如中中央、省部部級、地市市級、縣區(qū)區(qū)級等進行行子系統(tǒng)劃分分。子系統(tǒng)劃分分方法在子系統(tǒng)劃劃分時，應(yīng)應(yīng)根據(jù)系統(tǒng)統(tǒng)實際情況和和管理模式式，綜合考考慮子系統(tǒng)統(tǒng)劃分的四四個原則，確定定適用于各電電子政務(wù)系系統(tǒng)的子系系統(tǒng)劃分標標準。劃分分時可以選選擇一個原則，也可可以同時選選用多個原原則作為劃劃分標準，如以某一個或兩個要要素為主要要劃分標準準，其余為為輔助劃分分標準。對于規(guī)模龐龐大的系統(tǒng)統(tǒng)，為了便便于描述，一般應(yīng)按照照多個層次次逐級進行行劃分

50、。具具體的劃分分方法可參考附錄B：大型復(fù)雜雜電子政務(wù)務(wù)系統(tǒng)等級級保護實施施過程示例例。子系統(tǒng)識別別與描述子系統(tǒng)的識識別與描述述可參照33.2.11系統(tǒng)整體體識別與描描述。等級確定電子政務(wù)安安全屬性描描述電子政務(wù)安安全等級主主要依據(jù)系系統(tǒng)的信息息安全屬性性被破壞后后所造成的的影響來確確定。電子子政務(wù)信息息安全屬性性包括三個個方面：保保密性、完完整性、可可用性。保密性確保電子政政務(wù)系統(tǒng)中中的信息只只能被授權(quán)權(quán)的人員訪訪問。保密密性破壞是是指電子政政務(wù)系統(tǒng)中中各類信息息的未授權(quán)權(quán)泄漏。電電子政務(wù)系系統(tǒng)中的信信息依據(jù)其其保密程度度分為以下下類別：涉及國家秘秘密的信息息，包括絕密密級、機密密級和秘密密級

51、信息；敏感信息，指不涉及及國家秘密密，但在政政務(wù)工作過過程中需要要一定范圍圍保密，不不對社會公眾開開放的信息息；公開信息，指對社會會公眾開放放的信息。完整性確保電子政政務(wù)系統(tǒng)中中信息及信信息處理方方法的準確確性和完備備性。完整整性破壞是是指對電子子政務(wù)系統(tǒng)統(tǒng)中信息和和系統(tǒng)的未未授權(quán)修改改和破壞。電子政務(wù)務(wù)完整性目目標包括兩兩個方面：電子政務(wù)系系統(tǒng)中存儲儲、傳輸和和處理的信信息完整性性保護；電子政務(wù)系系統(tǒng)本身的完整整性保護。系統(tǒng)完整整性保護涉涉及從物理理環(huán)境、基基礎(chǔ)網(wǎng)絡(luò)、操作系統(tǒng)統(tǒng)、數(shù)據(jù)庫庫系統(tǒng)、電電子政務(wù)應(yīng)應(yīng)用系統(tǒng)等等信息系統(tǒng)統(tǒng)的每一個個組成部分分的完整性性保護?？捎眯源_保已授權(quán)權(quán)用戶在需需要

52、時可以以訪問電子子政務(wù)系統(tǒng)統(tǒng)中的信息息和相關(guān)資資產(chǎn)?？捎糜眯云茐氖鞘侵鸽娮诱?wù)系統(tǒng)所所提供服務(wù)務(wù)的中斷，授授權(quán)人員無無法訪問電電子政務(wù)系系統(tǒng)和信息息?？捎眯阅繕藰耸潜ＷC授權(quán)權(quán)用戶能及及時可靠地地訪問信息息、服務(wù)和和系統(tǒng)資源源，不因人人為或自然然的原因使使系統(tǒng)中信信息的存儲儲、傳輸或或處理延遲遲，或者系系統(tǒng)服務(wù)被被破壞或被被拒絕達到到不能容忍忍的程度。電子政務(wù)務(wù)可用性目目標保護包包括兩個方方面：電子政務(wù)系系統(tǒng)所提供供的服務(wù)的的可用性；電子政務(wù)系系統(tǒng)中存儲儲、傳輸和和處理的信信息的可用用性。定級原則電子政務(wù)系系統(tǒng)的安全全等級可從信息安安全的保密密性、完整整性、可用用性三個基基本屬性在在遭到破壞壞

53、時對政務(wù)務(wù)機構(gòu)履行行其政務(wù)職職能、機構(gòu)構(gòu)財產(chǎn)、人人員造成的的影響來確確定。安全等級第第一級對電子政務(wù)務(wù)信息和信信息系統(tǒng)安安全屬性的的破壞會對對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成較小的的負面影響響，包括：對政務(wù)機構(gòu)構(gòu)運行帶來來較小的負負面影響，政政務(wù)機構(gòu)還還可以履行行其基本的的政務(wù)職能能，但效率率有較小程程度的降低低；對政務(wù)機構(gòu)構(gòu)、相關(guān)單單位、人員員造成較小小經(jīng)濟損失失；對政務(wù)機構(gòu)構(gòu)、相關(guān)單單位、人員員的形象或或名譽造成成較小影響響；不會造成人人身傷害。安全等級第第二級對電子政務(wù)務(wù)信息和信信息系統(tǒng)安安全屬性的的破壞會對對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成中等程程度

54、的負面面影響，包括：對政務(wù)機構(gòu)構(gòu)運行帶來來中等程度度的負面影影響，政務(wù)務(wù)機構(gòu)還可可以履行其其基本的政政務(wù)職能，但但效率有較較大程度的的降低；對政務(wù)機構(gòu)構(gòu)、相關(guān)單單位、人員員造成一定定程度的經(jīng)經(jīng)濟損失；對政務(wù)機構(gòu)構(gòu)、相關(guān)單單位、人員員的形象或或名譽造成成一定程度度的負面影影響；造成輕微的的人身傷害害。安全等級第第三級對電子政務(wù)務(wù)信息和信信息系統(tǒng)安安全屬性的的破壞會對對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成較大的的負面影響響，對國家家安全造成成一定程度度的損害，包括：對政務(wù)機構(gòu)構(gòu)運行帶來來較大的負負面影響，政政務(wù)機構(gòu)的的一項或多多項政務(wù)職職能無法履履行；對政務(wù)機構(gòu)構(gòu)、相關(guān)單單位、人員員

55、造成較大大經(jīng)濟損失失；對政務(wù)機構(gòu)構(gòu)、相關(guān)單單位、人員員的形象或或名譽造成成較大的負負面影響；導(dǎo)致嚴重的的人身傷害害。安全等級第第四級對電子政務(wù)務(wù)信息和信信息系統(tǒng)安安全屬性的的破壞會對對政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成嚴重的的負面影響響，對國家家安全造成成較大損害害，包括：對政務(wù)機構(gòu)構(gòu)運行帶來來嚴重的負負面影響，政政務(wù)機構(gòu)的的多項政務(wù)務(wù)職能無法法履行，并并在省級行行政區(qū)域范范圍內(nèi)造成成嚴重影響響；對國家造成成嚴重的經(jīng)經(jīng)濟損失；對國家形象象造成嚴重重影響；導(dǎo)致較多的的人員傷亡亡；導(dǎo)致危害國國家安全的的犯罪行為為。安全等級第第五級對電子政務(wù)務(wù)信息和信信息系統(tǒng)安安全屬性的的破壞會對對

56、政務(wù)機構(gòu)構(gòu)履行其政政務(wù)職能、機構(gòu)財產(chǎn)產(chǎn)、人員造造成極其嚴嚴重的負面面影響，對對國家安全全造成嚴重重損害，包括：對政務(wù)機構(gòu)構(gòu)運行帶來來極其嚴重重的負面影影響，中央央政務(wù)機構(gòu)構(gòu)的一項或或多項政務(wù)務(wù)職能無法法履行，并并在全國范范圍內(nèi)造成成極其嚴重重的影響；對國家造成成極大的經(jīng)經(jīng)濟損失；對國家形象象造成極大大影響；導(dǎo)致大量人人員傷亡；導(dǎo)致危害國國家安全的的嚴重犯罪罪行為。電子政務(wù)五五個安全等等級在保密密性、完整整性和可用用性三個安安全屬性方方面的描述述如表3-1所示。表 311電子政務(wù)務(wù)安全等級級在安全屬性性方面的描描述安全等級電子政務(wù)安安全等級描描述保密性完整性可用性1對電子政務(wù)務(wù)系統(tǒng)中信信息的未授

57、授權(quán)泄漏會會對政務(wù)機機構(gòu)運行、機構(gòu)財產(chǎn)產(chǎn)、人員造造成較小的的負面影響響。對電子政務(wù)務(wù)系統(tǒng)和信信息的未授授權(quán)修改和和破壞會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成較小的負負面影響。授權(quán)人員對對電子政務(wù)務(wù)系統(tǒng)和信信息訪問的的中斷會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成較小的負負面影響。2對電子政務(wù)務(wù)系統(tǒng)中信信息的未授授權(quán)泄漏會會對政務(wù)機機構(gòu)運行、機構(gòu)財產(chǎn)產(chǎn)、人員造造成中等程程度的負面面影響。對電子政務(wù)務(wù)系統(tǒng)和信信息的未授授權(quán)修改和和破壞會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成中等程度度的負面影影響。授權(quán)人員對對電子政務(wù)務(wù)系統(tǒng)和信信息訪問的的中斷會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成

58、中等程度度的負面影影響。3對電子政務(wù)務(wù)系統(tǒng)中信信息的未授授權(quán)泄漏會會對政務(wù)機機構(gòu)運行、機構(gòu)財產(chǎn)產(chǎn)、人員造造成較大的的負面影響響，對國家家安全造成成一定程度度的損害。對電子政務(wù)務(wù)系統(tǒng)和信信息的未授授權(quán)修改和和破壞會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成較大的負負面影響，對對國家安全全造成一定定程度的損損害。授權(quán)人員對對電子政務(wù)務(wù)系統(tǒng)和信信息訪問的的中斷會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成較大的負負面影響，對對國家安全全造成一定定程度的損損害。4對電子政務(wù)務(wù)系統(tǒng)中信信息的未授授權(quán)泄漏會會對政務(wù)機機構(gòu)運行、機構(gòu)財產(chǎn)產(chǎn)、人員造造成嚴重的的負面影響響，對國家家安全造成成較大損害害。對電子政務(wù)

59、務(wù)系統(tǒng)和信信息的未授授權(quán)修改和和破壞會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成嚴重的負負面影響，對對國家安全全造成較大大損害。授權(quán)人員對對電子政務(wù)務(wù)系統(tǒng)和信信息訪問的的中斷會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成嚴重的負負面影響，對對國家安全全造成較大大損害。5對電子政務(wù)務(wù)系統(tǒng)中信信息的未授授權(quán)泄漏會會對政務(wù)機機構(gòu)運行、機構(gòu)財產(chǎn)產(chǎn)、人員造造成極其嚴嚴重的負面面影響，對對國家安全全造成嚴重重損害。對電子政務(wù)務(wù)系統(tǒng)和信信息的未授授權(quán)修改和和破壞會對對政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成極其嚴重重的負面影影響，對國國家安全造造成嚴重損損害。授權(quán)人員對對電子政務(wù)務(wù)系統(tǒng)和信信息訪問的的中斷會對對

60、政務(wù)機構(gòu)構(gòu)運行、機機構(gòu)財產(chǎn)、人員造成成極其嚴重重的負面影影響，對國國家安全造造成嚴重損損害。定級方法確定電子政政務(wù)安全等等級的基本本方法是：通過確定定系統(tǒng)保密密性、完整整性和可用用性三個方方面的安全全等級來綜綜合確定系系統(tǒng)的安全全等級。定定級方法適用于于電子政務(wù)務(wù)系統(tǒng)整體定級和各子子系統(tǒng)定級級。對大型復(fù)雜系系統(tǒng)，可以以引入業(yè)務(wù)務(wù)系統(tǒng)等級級確定方法法，具體方方法可以參參照附錄B：大型復(fù)雜雜電子政務(wù)務(wù)系統(tǒng)等級級保護實施施過程示例例。系統(tǒng)定級主主要考慮兩個方方面：一是是系統(tǒng)中所所存儲、處處理、傳輸輸?shù)闹饕判畔?，二是是系統(tǒng)所提提供的主要要服務(wù)。通過對每每一類信息息和服務(wù)安安全等級的的分析，最最終確定