电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南（试行）电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月电子政务信息安全等级保护实施指南（试行）目录1引言11.1编写目的11.2适用范围11.3文档结构12基本原理22.1基本概念22.1.1电子政务等级保护的基本含义22.1.2电子政务安全等级的层级划分42.1.3电子政务等级保护的基本安全要求52.2基本方法62.2.1等级保护的要素及其关系62.2.2电子政务等级保护实现方法82.3实施过程82.4角色及职责112.5系统间互联互通的等级保护要求123定级133.1定级过程133.2系统识别与描述143.2.1系统整体识别与描述14电子政务信息安全等级保护实施指南（试行）3.2.2划分子系统的方法143.2.3子系统识别与描述163.3等级确定163.3.1电子政务安全属性描述163.3.2定级原则173.3.3定级方法203.3.4复杂系统定级方法224安全规划与设计244.1系统分域保护框架建立244.1.1安全域划分244.1.2保护对象分类254.1.3系统分域保护框架274.2选择和调整安全措施284.3安全规划与方案设计304.3.1安全需求分析314.3.2安全项目规划314.3.3安全工作规划314.3.4安全方案设计325实施、等级评估与运行325.1安全措施的实施325.2等级评估与验收325.3运行监控与改进33附录A术语与定义33附录B大型复杂电子政务系统等级保护实施过程示例35 B.1大型复杂电子政务系统描述35B.2等级保护实施过程描述35B.3系统划分与定级37B.3.1系统识别和子系统划分37B.3.2系统安全等级确定38B.3.3系统分域保护框架38B.4安全规划与设计42B.4.1安全措施的选择与调整43B.4.2等级化风险评估43B.4.3等级化安全体系设计43B.4.4安全规划与方案设计44B.5安全措施的实施45图表目录图2-1电子政务等级保护的实现方法8图2-2电子政务等级保护的基本流程8图2-3等级保护过程与新建和已建系统生命周期对应关系11 图3-1定级工作流程13图4-1安全规划与设计过程24图4-2电子政务的保护对象及信息资产26图4-3系统分域保护框架示意图28图4-4确定安全措施的过程28图4-5系统安全需求31图5-1安全措施的实施32图5-2等级保护的运行改进过程33表2-1电子政务系统五个安全等级的基本内容4表3-1电子政务安全等级在安全属性方面的描述19表4-1安全措施的调整因素和调整方式29电子政务信息安全等级保护实施指南（试行）1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。

电子政务作为国家信息化战略的重要组成部分，其安全保障事关国家安全和社会稳定，必须按照27号文件要求，全面实施信息安全等级保护。

因此，组织编制《电子政务信息安全等级保护实施指南》，规范电子政务信息安全等级保护工作的基本思路和实施方法，指导我国电子政务建设中的信息安全保障工作，对搞好电子政务信息安全保障具有十分重要的现实意义。

1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程，适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。

1.3 文档结构本指南包括五个章节和两个附录。

第1章为引言，介绍了本指南的编写目的、适用范围和文档结构；第2章为基本原理，描述了等级保护的概念、原理、实施过程、角色与职责，以及系统间互联互通的等级保护要求；第3章描述了电子政务等级保护的定级，包括定级过程、系统识别和描述、等级确定；第4章描述了电子政务等级保护的安全规划与设计，包括电子政务系统分域保护框架的建立，选择和调整安全措施，以及安全规划与方案设计；第5章描述了安全措施的实施、等级评估，以及等级保护的运行改进。

附录A介绍了本指南术语定义；附录B介绍了大型复杂电子政务系统等级保护实施过程的示例。

除明确声明外，本指南中所提到的等级保护、电子政务等级保护都是指电子政务信息安全等级保护。

2 基本原理2.1 基本概念2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康发展的基本策略。

27号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。

要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。

”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。

电子政务等级保护工作分为管理层面和用户层面两个方面的工作。

管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。

用户层的主要工作是依据管理层的要求对电子政务系统进行定级，确定系统应采取的安全保障措施，进行系统安全设计与建设，以及运行监控与改进。

本指南的内容主要针对用户层面的工作。

电子政务信息安全等级保护遵循以下原则：a）重点保护原则电子政务等级保护要突出重点。

对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，应集中资源优先建设。

b）“谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。

c）分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同的安全区域，实现不同强度的安全保护。

d）同步建设原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保证信息安全与信息化建设相适应。

5)动态调整原则由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中，因此信息与信息系统的安全保护等级需要根据变化情况，适时重新确定，并相应调整对应的保护措施。

2.1.2 电子政务安全等级的层级划分66号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。

按66号文件的规定，对电子政务的五个安全等级定义如表2-1所示。

表2-1电子政务系统五个安全等级的基本内容2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求，分为五个等级，从第一级至第五级，对应于五个等级的电子政务系统。

对特定电子政务系统的安全保护，以其相应等级的基本安全要求为基础，通过对安全措施的调整和定制，得到适用于该电子政务系统的安全保护措施。

电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。

a）安全策略安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。

安全策略具有层次化的结构，包括整体安全策略、部门级安全策略、系统级安全策略等。

b）安全组织安全组织是为了保障电子政务信息安全而建立的组织体系，包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。

c）安全技术安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求，包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。

d）安全运行安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运维要求，包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。

具体的电子政务等级保护基本安全要求参见相关的国家标准。

2.2 基本方法2.2.1 等级保护的要素及其关系电子政务等级保护的基本原理是：依据电子政务系统的使命、目标和重要程度，将系统划分为不同的安全等级，并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施的成本，进行安全措施的调整和定制，形成与系统安全等级相适应的安全保障体系。

电子政务等级保护包含以下七个要素：a）电子政务系统电子政务系统是信息安全等级保护的对象，包括系统中的信息、系统所提供的服务，以及执行信息处理、存储、传输的软硬件设备等。

b）目标目标是指电子政务系统的业务目标和安全目标，电子政务等级保护要保障业务目标和安全目标的实现。

c）电子政务信息安全等级电子政务信息安全等级划分为五级，分别体现在电子政务系统的等级和安全保护的等级两个方面。

d）安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。

e）安全风险安全风险是指电子政务系统由于本身存在安全弱点，通过人为或自然的威胁可能导致安全事件的发生。

安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。

f）安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施，包括安全管理措施和安全技术措施。

g）安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本，安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。

电子政务等级保护各要素之间的关系是：a）电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。

b）安全措施需要满足系统安全保护要求，对抗系统所面临的风险。

1)不同电子政务系统的使命和业务目标的差异性，业务和系统本身的特性（所属信息资产特性、实际运行情况和所处环境等）的差异性，决定了系统安全保护要求特性（安全保护要求的类型和强度）的差异性。