电子政务信息安全等级保护实施指南

目 录
1 引言 1
1.1 编写目的 1
1.2 适用范围 1
1.3 文档结构 1
2 基本原理 2
2.1 基本概念 2
2.1.1 电子政务等级保护的基本含义 2
2.1.2 电子政务安全等级的层级划分 3
2.1.3 电子政务等级保护的基本安全要求 4
2.2 基本方法 4
2.2.1 等级保护的要素及其关系 4
2.2.2 电子政务等级保护实现方法 5
2.3 实施过程 6
2.4 角色及职责 9
2.5 系统间互联互通的等级保护要求 10
3 定级 10
3.1 定级过程 11
3.2 系统识别与描述 11
3.2.1 系统整体识别与描述 11
3.2.2 划分子系统的方法 12
3.2.3 子系统识别与描述 13
3.3 等级确定 13
3.3.1 电子政务安全属性描述 13
3.3.2 定级原则 13
3.3.3 定级方法 16
3.3.4 复杂系统定级方法 17
4 安全规划与设计 18
4.1 系统分域保护框架建立 18
4.1.1 安全域划分 18
4.1.2 保护对象分类 19
4.1.3 系统分域保护框架 21
4.2 选择和调整安全措施 22
4.3 安全规划与方案设计 24
4.3.1 安全需求分析 24
4.3.2 安全项目规划 24
4.3.3 安全工作规划 25
4.3.4 安全方案设计 25
5 实施、等级评估与运行 25
5.1 安全措施的实施 25
5.2 等级评估与验收 25
5.3 运行监控与改进 26
附录A 术语与定义 27
附录B 大型复杂电子政务系统等级保护实施过程示例 27
B.1 大型复杂电子政务系统描述 27
B.2 等级保护实施过程描述 28
B.3 系统划分与定级 29
B.3.1 系统识别和子系统划分 29
B.3.2 系统安全等级确定 29
B.3.3 系统分域保护框架 30
B.4 安全规划与设计 33
B.4.1 安全措施的选择与调整 33
B.4.2 等级化风险评估 34
B.4.3 等级化安全体系设计 34
B.4.4 安全规划与方案设计 36
B.5 安全措施的实施 38

图表目录
图 2 1电子政务等级保护的实现方法 6
图 2 2电子政务等级保护的基本流程 7
图 2 3等级保护过程与新建和已建系统生命周期对应关系 9
图 3 1定级工作流程 11
图 4 1安全规划与设计过程 18
图 4 2电子政务的保护对象及信息资产 20
图 4 3系统分域保护框架示意图 22
图 4 4确定安全措施的过程 22
图 4 5系统安全需求 24
图 5 1安全措施的实施 25
图 5 2等级保护的运行改进过程 26

表 2 1电子政务系统五个安全等级的基本内容 3
表 3 1电子政务安全等级在安全属性方面的描述 15
表 4 1安全措施的调整因素和调整方式 23