电子政务等级保护(1)

（智慧政务）电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

附件 2：国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网 96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网 117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规范国家电子政务外网安全等级保护的工作，针对政务外网的具体情况，特制定本要求。

本要求由国家电子政务外网管理中心提出。

本要求由国家电子政务外网管理中心归口。

等级保护和分级保护-1------------------------------------------作者xxxx------------------------------------------日期xxxx目录1等级保护FAQ31.1什么是等级保护、有什么用？31.2信息安全等级保护制度的意义与作用？31.3等级保护与分级保护各分为几个等级，对应关系是什么？31.4等级保护的重要信息系统（8+2）有哪些？41.5等级保护的主管部门是谁？41.6国家密码管理部门在等级保护/分级保护工作中的职责是什么？41.7等级保护的政策依据是哪个文件？41.8公安机关对等级保护的管理模式是什么，等级保护定级到哪里备案？5 1.9等级保护是否是强制性的，可以不做吗？51.10等级保护的主要标准有哪些，是否已发布为正式的国家标准？51.11哪些单位可以做等级保护的测评？61.12做了等级测评之后，是否会给发合格证书？61.13是否只是在政府行业实行？企业是否也在等级保护和分级保护范畴之内？61.14等级保护检查的责任单位是谁？72分级保护FAQ72.1分级保护是什么？72.2分级保护的主管部门是谁？72.3分级保护定级到哪里备案？72.4分级保护的政策依据是哪个文件？72.5分级保护与等级保护的适用对象分别是什么？72.6分级保护有关信息安全的标准相互关系是什么？82.7分级保护与等级保护的定级依据有何区别？82.8分级保护的建设依据、方案设计、测评分别依据哪些标准？82.9分级保护设计方案是否需要经过评审和审批，谁来评审和审批？82.10涉密信息系统投入使用前，是否需要经过审批，由谁来审批？82.11分级保护系统测评的作用是什么，是否必须做？92.12哪些单位可以做分级保护的测评，有什么资质要求？92.13分级保护对涉密系统中使用的安全保密产品有哪些要求？92.14涉密系统分级保护多长时间需进行一次安全保密检查？92.15各级保密局与各单位保密办的关系是什么？102.16分级保护的系统集成对厂商的资质有什么要求？102.17分级保护的安全建设是否必须监理，对监理资质有什么要求？102.18分级保护的哪些具体工作对厂商有单项资质的要求？103综合问题113.1等保与分保的本质区别是什么？113.2等保与分保各有几种级别？113.3等级保护/分级保护什么区别哪些部门在管理，怎么做？113.4企业出现泄密事件上报那些单位？113.5等保定级备案是依据单位还是系统？123.6风险评估和等级保护的关系？123.7方案设计阶段及实施前是否需要报批？123.8对于等保中产品使用及密码产品是否有要求？12等级保护/分级保护FAQ1 等级保护FAQ1.1 什么是等级保护、有什么用？【解释】是我国实施信息安全管理的一项法定制度，1994年147号令、2003年27号文件、2004年66号文件都有明确规定，信息系统安全实施等级化保护和等级化管理。

附件2：国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言.................................................................................. . (1)引言.......................................................................................... (2)适用围.......................................................................................... .. (3)2. 规性引用文件.......................................................................................... (3)3. 术语和定义........................................................................................ (3)4. 政务外网资产、威胁分析和脆弱性........................................................................................ . (5)4.1. 资产分析.......................................................................................... .. (5)4.2. 威胁分析.......................................................................................... .. (6)4.3. 脆弱性分析.......................................................................................... . (7)5. 政务外网安全等级保护概述.......................................................................................... .. (8)5.1. 政务外网安全保护等级........................................................................................ .. (8)5.2. 不同等级的安全保护能力........................................................................................ . (8)6. 第二级基本要求.......................................................................................... (9)6.1. IP 承载网 96.1.1. 广域网........................................................................................ (9)6.1.2. 城域网........................................................................................ (9)6.1.3. 用户局域网........................................................................................ .. (10)6.2. 业务区域网络........................................................................................ . (10)6.2.1. 公用网络区........................................................................................ .. (10)6.2.2. 互联网接入区........................................................................................ . (10)6.3. 管理区域网络........................................................................................ (11)6.3.1. 网络管理区........................................................................................ .. (11)6.3.2. 安全管理区........................................................................................ .. (11)7. 第三级基本要求.......................................................................................... . (11)7.1. IP 承载网 117.1.1. 广域网........................................................................................ . (11)I7.1.2. 城域网.......................................................................................... (12)7.1.3. 用户局域网.......................................................................................... . (13)7.2. 业务区域网络.......................................................................................... (14)7.2.1. 公用网络区.......................................................................................... . (14)7.2.2. 互联网接入区........................................................................................ .. (14)7.2.3. 专用网络区.......................................................................................... . (15)7.3. 管理区域网络.......................................................................................... (15)7.3.1. 网络管理区.......................................................................................... . (15)7.3.2. 安全管理区.......................................................................................... . (16)7.3.3. 电子认证区.......................................................................................... . (16)II为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规国家电子政务外网安全等级保护的工作，针对政务外网的具体情况，特制定本要求。

《电子政务信息安全等级保护实施指南》国信办[2005]25号关于印发《电子政务信息安全等级爱护实施指南（试行）》的通知各省、自治区、直辖市信息化领导小组办公室，中央和国家机关各部委信息化领导小组办公室：现将《电子政务信息安全等级爱护实施指南（试行）》印发你们，供你们在开展电子政务信息安全保证工作中参考。

国务院信息化工作办公室二〇〇五年九月十五日电子政务信息安全等级爱护实施指南（试行）国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范畴 (1)1.3 文档结构 (1)2 差不多原理 (2)2.1 差不多概念 (2)2.1.1 电子政务等级爱护的差不多含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级爱护的差不多安全要求 (4)2.2 差不多方法 (4)2.2.1 等级爱护的要素及其关系 (4)2.2.2 电子政务等级爱护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级爱护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域爱护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 爱护对象分类 (19)4.1.3 系统分域爱护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级爱护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级爱护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域爱护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表名目图2-1电子政务等级爱护的实现方法 (6)图2-2电子政务等级爱护的差不多流程 (7)图2-3等级爱护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的爱护对象及信息资产 (20)图4-3系统分域爱护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级爱护的运行改进过程 (26)表2-1电子政务系统五个安全等级的差不多内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级爱护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保证工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保证工作实行等级爱护制度,提出“抓紧建立信息安全等级爱护制度，制定信息安全等级爱护的治理方法和技术指南”。

电子政务信息系统安全等级保护定级一、业务信息安全保护等级的确定1、业务信息描述电子政务系统业务信息包括：通知公告、行政办公、查询统计、图形浏览、个人助理、公共交流、综合服务等业务模块。

属于行政机关办理业务过程中形成的专有信息。

2、业务信息受到破坏时所侵害客体的确定，侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体。

3、该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。

4、侵害的客观方面是指定级对象的具体侵害行为，侵害形势以及对客体的造成的侵害结果，表现为：5、一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害，形式可以包括丢失、破坏、损坏等，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。

6、可以对社会秩序、公共利益造成侵害。

7、信息受到破坏后对侵害客体的侵害程度及上述分析- 2 -的结果的表现程度。

上述对公民、法人和其他组织侵害的程度表现为严重损害，及工作职能受到严重影响，业务能力显著下降，出现较严重的法律问题，较大范围的不良影响等。

对社会利益和公共秩序侵害的程度表现为一般损害。

8、确定业务信息安全等级，《定级指南》业务信息安全保护等级为第二级。

二、系统服务安全保护等级的确定1、系统服务描述该系统属于为国计民生和国家经济建设等提供服务的信息系统。

2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公民利益，但不损害国家安全。

客观方面表现的侵害结果为：1、可以对公民、法人和其他组织的合法权益造成侵害，影响正常工作的开展，导致业务能力下降，造成不良影响，引发法律纠纷等。

2、可以对社会公共利益造成侵害，造成社会不良影响，引起公共利益的损害等。

根据《定级指南》的要求，出现上述两个侵害客体时，优先考虑社会秩序和公共利益，另外一个不做考虑。

电子政务涉密信息系统的分级保护建设作者：姜楚江来源：《信息化建设》2009年第01期当前，我国电子政务建设取得了显著成效。

同时，由于国际国内形势特点，信息安全保密问题日益突出，病毒、木马、网络攻击等越来越多，给国家安全带来威胁。

很多单位开始准备涉及国家秘密的信息系统（以下简称涉密信息系统）建设,但由于对政策的不了解,加之建设标准的复杂和操作难度等问题,导致一些单位感到无从下手,建设进度缓慢。

本文从涉密信息系统准备、实施、测评、监管等方面作了阐述，供大家参考。

2003年9月7日，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》，明确提出了开展信息安全等级保护的任务，指出涉密信息系统要按照党和国家的有关保密规定进行保护。

中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》，明确提出要建立健全涉密信息系统分级保护制度。

2006年1月17日，公安部等四部门下发了《信息安全等级保护管理办法（试行）》，其中规定：涉密信息系统应当依据国家信息安全等级保护的基本要求，按照涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

从广义上来讲, 涉密信息系统分级保护是信息安全等级保护的一个重要内容和组成部分，但两者有区别也有联系，从表一可以看出，涉密信息系统分级保护三个等级的防护水平不低于国家等级保护的第三、四、五级要求。

涉密信息系统分级保护是指建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

按照处理信息的最高密级确定，涉密信息系统由低到高划分为秘密、机密和绝密三个等级。

绝密级信息系统应限定在封闭、安全可控的独立建筑群内。

下面谈下建设过程。

一、涉密信息系统分级保护实施过程（一）学习相关文件和标准。

近年来，由于信息安全技术的快速发展，涉密信息系统的建设标准也不断变化。