等。目标目标是指电子政务系统的业务目标和安全目标,电子政务等级保护要保障业务目标和安全目标的实现。电子政务信息安全等级电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。安全风险安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。电子政务等级保护各要素之间的关系是:电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。安全措施需要满足系统安全保护要求,对抗系统所面临的风险。不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了选择不同类型和强度的安全措施。电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的成本,在适度成本下实现适度安全。电子政务等级保护实现方法27号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。电子政务等级保护的实现方法如图2-1所示:
全文预览
