隨著《電子政務信息安全等級保護實施指南》和《信息安全等級保護管理辦法》等一系列文件的頒布，對在等級保護政策環境下進行信息系統安全建設的各種指南和規范逐漸形成，國家相關主管部門在信息系統等級保護相關文件中則明確規定了不同等級信息系統普適的安全保護要求。而不同信息系統由于所處的環境和承載的業務不同，對于系統安全的具體需求也相應有所差異。如何確定信息系統安全需求，作為信息系統安全建設的基礎和起點，對設計合理的信息系統安全保障體系則具有重要的作用和意義。

用戶目標定位

信息系統安全需求大致來源于四個方面：國家信息安全法律法規對組織信息系統安全的要求；組織信息系統安全規劃；組織業務性質確定的特殊要求；風險評估結果。目前，在等級保護政策指導下，衛士通安全服務在確定信息系統的安全需求主要包括等級保護、風險評估、安全要求確定、系統安全規劃和確定信息系統安全需求五大模塊。

衛士通確定信息系統安全需求過程圖

等級保護需求分析

在等級保護需求模塊中，確定信息系統范圍是進行信息系統安全建設的首要工作。如今，各組織機構形式不盡相同：既只有一個信息系統，也可能有多個信息系統；信息系統可能存在于同一個物理區域，也可能存在于多個跨區域、跨省市的物理區域。然而，對于同一個信息系統，又會存在不同等級的信息系統子系統。對于多個信息系統，其中每個信息系統的安全保護等級可以是相同的，也可以是不同的。所以對組織內的信息系統范圍進行明確，對每個信息系統的邊界以及信息系統處理的業務進行明確是對信息系統進行安全建設的首要任務。

其中衛士通所采用的信息系統劃分是“適度安全”理念的重要體現，通過劃分不同信息子系統對重要區域實施重點保護。具體而言，信息系統劃分可以依據不同的標準，比如按照相同的管理機構、相同的業務類型或者相同的物理位置或相似的環境。

在具體劃分時必須充分考慮系統的業務流程、信息流程以及系統的功能特性，選擇合理的劃分方法以做到劃分的子系統最有利于安全建設的有效性和經濟性，以及管理的便利性，這樣才能夠有效地體現“等級保護、適度安全”的思想。

此外，業務子系統安全包括業務信息安全和系統服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，業務子系統定級也應由業務信息安全和系統服務安全兩方面確定。最后，根據業務子系統的安全保護等級，將業務子系統安全保護等級的最高者確定為信息系統的安全保護等級。

確定信息系統安全需求

根據信息系統安全需求的幾個輸入，衛士通在確定信息系統的安全需求中在各方面重點考慮如下的內容。

首先、信息安全法律法規與標準以及合作合同的要求。

　　與信息安全相關的法律法規是對組織的強制性要求，組織應該對現有的法律法規加以識別和分析，將適用于組織的法律法規轉化為組織的信息安全需求。這里所說的法律法規有三個層次，即國家法律、行政法規和各部委和地方的規章及規范性文件。此外，組織還要考慮商務合作者和客戶對組織提出的具體的信息安全要求，包括合同約定、招標條件和承諾等。

第二、系統安全規劃的要求

　　組織從自身業務和經營管理的需求出發，根據信息系統的使命和目標制定的系統安全建設規劃在安全預算方面的限制以及系統安全建設的目標轉化為組織的信息安全需求。

第三、系統安全要求

　　根據國家的信息系統分級保護相關政策，經過風險評估對系統安全要求的調整確定的系統安全要求作為信息系統安全需求的一個重要輸入。

第四、風險評估的結果

　　確定安全需求最主要的另一個輸入就是風險評估的結果，根據風險評估的結果，對安全要求沒有涵蓋的風險，根據風險評估的結果對安全需求進行補充。

　　根據上述四個輸入，得出信息系統的安全需求。最終，衛士通公司將根據安全需求設計安全建設方案，通過方案實施使信息系統安全達到國家等級保護制度相關要求的規定，滿足客戶需求，為用戶建設一套覆蓋全面、重點突出、節約成本、持續運營的安全保障信息系統，切實有效地推進我國信息安全等級保護工作的持續發展。