信息安全读本指南

14. 什么是信息安全等级保护？

信息安全等级保护是我国信息安全保障的一项基本制度，是国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。根据《信息安全等级保护管理办法》的规定，我国信息系统安全等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

15. 什么是信息安全风险评估？

信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。

人们的认识能力和实践能力是有局限性的，因此，信息系统的脆弱性不可避免。信息系统的价值及其脆弱性，使信息系统在现实环境中，总要面临各种人为或自然的威胁，存在安全风险也是必然的。信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度。

因为任何信息系统都会有安全风险，所以，人们追求的所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，残余风险可被接受的信息系统。因此，要追求信息系统的安全，就不能脱离全面、完整的安全评估，就必须运用风险评估的思想和规范，对信息系统开展风险评估。

16. 什么是信息安全应急响应？

信息安全应急响应是对危及信息安全的事件做出及时、准确的响应处理，综合利用检测、抑制、根除、恢复等手段，杜绝危害的进一步蔓延扩大，保证系统能够提供正常服务。这里的事件包括信息安全事件分类中的任何一种情况。

人们希望完全杜绝信息安全事件的愿望是好的，但由于各种原因，信息安全事件并不能完全避免。因此，对信息安全事件进行应急响应是信息安全保障体系中必不可少的重要环节。同时，应急响应是主动降低风险的有效措施，是增强积极防御能力的手段。

信息安全应急响应工作主要包括应急准备和应急响应两方面。前者是指为了保证应急响应工作的顺利开展而必须在信息安全事件发生前完成的准备工作，包括应急预案编制、应急资源准备、安全监控及预警、应急响应培训和演练等。后者包括信息安全事件的定级和报告，清除或抑制安全事件对业务系统产生的影响，恢复业务系统的运行，并开展相应的事后分析等。

信息安全应急预案是应急响应工作的核心。它是针对可能发生的信息安全事件及其影响和后果严重程度，为应急准备、事件报告、事件处理、灾难恢复等方面所预先制定的科学有效的行动规范和工作流程。在发生信息安全事件时，应急响应预案是开展及时、有序和有效应急响应工作的行动指南。

各单位应以应急预案为基础，定期开展应急响应演练。即模拟突发信息安全事件，各有关部门和人员按照应急预案进入实战状态并完成各项操作，以检验应急预案的可操作性，不断加强人员的应急安全意识和应急响应的熟练程度。