B.2 等级保护实施过程描述

大型复杂电子政务系统的等级保护实施过程应符合等级保护的整体实施过程，但对于这类电子政务系统由于存在系统复杂、庞大、行政级别多以及涉及范围广等特点，因此建议在

各阶段增加以下相关工作和实施方法：

第一阶段：定级阶段

本阶段主要的三个步骤包括系统识别与描述、子系统划分以及对于系统总体和子系统进行定级，对于大型复杂电子政务系统建议在进行系统识别和子系统划分的过程中结合“系统分域保护框架”的设计思路进行不同层次划分，可以从整体的角度出发，根据适合的划分方法进行整体性划分（例如行政级别、行政区域以及网络等要素），也可以从各个子系统的角度出发，总结和归类进行合并，最终形成多个层次的保护对象。每个

层次的保护对象都能够对应相应的等级，形成“等级系统分域保护框架”。这里建议从整体角度出发进行划分，从子系统的角度出发进行验证，形成从下到上和从上到下的统一和平衡。

第二阶段：规划与设计阶段

本阶段主要的三个步骤包括系统分域保护框架建立、选择和调整五个等级基本安全要求、安全规划和方案设计。对于大型复杂电子政务系统在选择和调整安全措施等级时建议首先根据行业背景、政府职能特征以及相对应的安全特性整体进行安全措施指标的选择，制定相关行业和政务机构的五个等级整体的基本安全要求，在这个基础上相关的各级部门和政务机构可以根据已经选择的安全等级指标进行进一步的修订和细化，这样可以确保从整体性出发安全措施的有效性和可控性；在进行安全规划与方案设计的过程时，不仅要根据不同安全等级系统选择不同安全措施进行规划和方案设计，这里建议采用“体系化”设计的方法，既能够从整体上进行统一规划，又能够通过安全解决方案解决现有安全问题，同时覆盖安全的各个层面，实现了等级化和体系化的相互结合，最终形成等级化的安全体系。