国信办《电子政务等级保护研究》课题组专家、联想网御安全总监 田野

2004年7月，由国信办牵头，联想作为承接单位，汇集公安、保密、机要、中办、国办、国密办等安全主管部门，成立了“电子政务等级保护研究”课题组，由联想执笔，编制《电子政务信息安全等级保护实施指南》。

2005年3月，完成了“指南”1.0版的最后修订，其中明确指出电子政务等级保护的实施过程包括三个阶段。如图所示。

第一阶段：定级阶段

本阶段主要目的是对电子政务系统及其子系统进行定级，保证输出成果是电子政务系统及其子系统的安全等级。

由于定级阶段工作比较繁复，所以又将它分为两个过程实施：

系统识别与描述：本过程用来准确识别并描述出整体的电子政务系统，以及系统可以分解的子系统。系统识别要确定系统的范围和边界，识别系统的服务和信息，作为后续的定级工作的输入。 

等级确定：本过程进行系统整体定级和子系统分别定级，形成系统的定级列表，作为后续阶段工作的基础。对于包括多个子系统的电子政务系统，系统总体定级和各子系统定级可以采用自顶向下和自底向上两种定级方式。两种方式各有利弊，应结合使用，并对定级结果进行印证和调整校正，从而形成适宜的，便于进行安全保障措施实施的系统总体等级和各子系统的等级。

第二阶段：规划与设计阶段

包括系统分域保护框架建立，选择和调整安全措施，安全规划与方案设计三个部分。

系统分域保护框架建立：通过对电子政务系统进行安全域划分、保护对象分类，建立电子政务系统的分域保护框架。系统分域保护框架是各保护对象的组合，是从安全角度对信息系统进行结构化描述的方法，能够体现信息系统的安全特性和安全要求。

选择和调整安全措施：根据电子政务系统、子系统及各层保护对象的安全等级，选择相应级别的五个等级基本安全要求，并根据风险评估的结果，综合平衡安全风险和成本，以及各系统不同的保密性、完整性、可用性的安全要求，制定和调整安全措施，定制出电子政务系统、子系统和各保护对象的安全措施。

安全规划和方案设计：根据所确定的安全措施，制定安全措施的实施规划，并制定安全技术解决方案和安全管理解决方案。

第三阶段：实施、评审与改进阶段

主要包括三个步骤，分别为：

安全措施的实施：依据安全解决方案建设和实施等级保护的安全管理措施和安全技术措施。

评审验收：按照等级保护的要求，选择相应的方式来评估系统是否满足相应的等级保护要求，并对等级保护建设的最终结果进行验收。

运行监控与改进：运行监控是在实施等级保护的各种安全措施之后的运行期间，监控系统的变化和系统安全风险的变化，评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化，原来的安全级已不能满足系统当前安全保护要求，则应进行系统重新定级。如果只发现系统发生部分变化，例如出现新的系统漏洞，这些改变不是系统的信息资产和威胁的改变，则应调整和改进安全措施。

对于大型复杂电子政务系统，等级保护过程可以进行加强，以满足其复杂性的要求。