3.3.4　实施过程

移动电子政务等级保护的实施过程包括定级、规划与设计以及实施等级评估与改进阶段三个阶段。它的工作流程如图3-10所示。

1.定级阶段

定级阶段可以分为两个步骤。

（1）系统的识别与描述。通过了解政务机构目前所拥有的电子政务系统，可以根据具体需要把复杂电子政务系统分解成一个简单的电子政务子系统，用来描述系统和子系统的组成以及边界。

（2）等级确定。完成电子政务系统的总体定级以及子系统的定级。

2.规划与设计阶段

规划和设计阶段主要分为以下三个步骤。

（1）系统分域保护框架的建立。首先通过对电子政务系统的安全域进行划分，来保护对象分类，进而建立电子政务系统的分域保护框架。

（2）选择和调整安全措施。根据电子政务系统及其子系统的安全等级，选择相对应等级的基本安全要求等，再根据安全风险评估的结果，综合分析安全风险和成本，以及各系统特定的安全要求等，从而选择和调整现有的安全措施，最后就可以确定出电子政务系统以及子系统，还有各类保护对象的安全防护措施。(www.daowen.com)

（3）安全规划和方案设计。根据以上所确定的安全措施，制定相应的安全措施和实施规划，并制定出安全技术以及安全管理的解决方案等。

3.实施、等级评估与改进阶段

实施、等级评估与改进阶段主要可以分为以下三个步骤。

图3-10　电子政务等级保护的基本流程

（1）安全措施的实施。主要根据安全解决方案的建设情况，实施等级保护的安全技术和安全管理措施等。

（2）评估与验收。按照安全等级保护的具体要求，选择相应的方式评估系统是否能够满足相应的安全等级保护要求，并对安全等级保护建设的最终评估结果进行验收。

（3）运行监控和改进。运行监控一般是在实施信息安全等级保护的各种安全措施之后的实际运行期间进行的，用来对监控系统安全风险的变化和评估系统的安全状况进行监控和改进。假如经过评估发现，系统和它所在的风险环境已经发生了一些重大变化，那么新的安全保护要求就和原有的安全等级不能相互适应，我们就应该对系统进行重新定级。如果系统只是发生部分的变化，例如发现了一些新的系统漏洞，这些改变不涉及系统的信号、资产和威胁状况的根本改变，则只需调整和改变相应的安全措施。