2.2 基本方法

2.2.1 等级保护的要素及其关系

电子政务等级保护的基本原理是：依据电子政务系统的使命、目标和重要程度，将系统划分为不同的安全等级，并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施

安全保护措施的成本，进行安全措施的调整和定制，形成与系统安全等级相适应的安全保障体系。

电子政务等级保护包含以下七个要素：

a） 电子政务系统

电子政务系统是信息安全等级保护的对象，包括系统中的信息、系统所提供的服务，以及执行信息处理、存储、传输的软硬件设备等。

b） 目标

目标是指电子政务系统的业务目标和安全目标，电子政务等级保护要保障业务目标

和安全目标的实现。

c） 电子政务信息安全等级

电子政务信息安全等级划分为五级，分别体现在电子政务系统的等级和安全保护的等级两个方面。

d） 安全保护要求

不同的电子政务系统具有不同类型和不同强度的安全保护要求。

e） 安全风险

安全风险是指电子政务系统由于本身存在安全弱点，通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。

f） 安全保护措施

安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施，包括安全管理措施和安全技术措施。

g） 安全保护措施的成本

不同类型和强度的安全保护措施的实现需要不同的成本，安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。

电子政务等级保护各要素之间的关系是：

a） 电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。

b） 安全措施需要满足系统安全保护要求，对抗系统所面临的风险。

1) 不同电子政务系统的使命和业务目标的差异性，业务和系统本身的特性（所属信息资产特性、实际运行情况和所处环境等）的差异性，决定了系统安全保护要求特性（安全保护要求的类型和强度）的差异性。

2) 系统保护要求类型和强度的差异性，安全风险情况的差异性，决定了选择不同类型和强度的安全措施。