我們的信息系統(tǒng)，是不是不用了就直接往那里一放，不管不問了呢？或者隨便處理掉呢？

　　前面文章里其實(shí)我們已經(jīng)也簡單談及，一個(gè)信息系統(tǒng)或者定級(jí)對象如同萬事萬物一樣，都有一個(gè)生滅流程。信息系統(tǒng)則從立項(xiàng)規(guī)劃到廢止，也需要經(jīng)歷它自身的生命周期。今天談的算是定級(jí)對象最后一個(gè)階段，也就是廢止該如何科學(xué)正確的處置之。

　　從標(biāo)準(zhǔn)層面我們進(jìn)入下圖最后一層，標(biāo)準(zhǔn)給出的工作包含了信息轉(zhuǎn)移、暫存和清除、設(shè)備遷移或廢棄、存儲(chǔ)介質(zhì)的清除或銷毀三個(gè)階段。

　　從三個(gè)階段我們可以簡單看出，信息系統(tǒng)廢棄不是隨意置之不理，或隨意丟棄的，也要讓它各歸其位，科學(xué)安全合理處置，以防存在后續(xù)安全風(fēng)險(xiǎn)。這點(diǎn)其實(shí)很好理解，如同我們手里的一部手機(jī)處置不當(dāng)，尚且還存在許許多多可以被壞人利用的數(shù)據(jù)信息和個(gè)人隱私數(shù)據(jù)，何況一個(gè)對國家安全或社會(huì)安全、社會(huì)秩序有影響的信息系統(tǒng)呢？

　　定級(jí)對象終止階段是等級(jí)保護(hù)實(shí)施過程中的最后環(huán)節(jié)。當(dāng)定級(jí)對象被轉(zhuǎn)移、終止或廢棄時(shí)，正確處理其中的敏感信息對于確保機(jī)構(gòu)信息資產(chǎn)的安全是至關(guān)重要的。圖片

　　在等級(jí)保護(hù)對象生命周期中，有些定級(jí)對象并不是真正意義上的廢棄，而是改進(jìn)技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的定級(jí)對象，對于這些定級(jí)對象在終止處理過程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面的安全。

　　今天談?wù)摰膭t是定級(jí)對象終止階段關(guān)注信息轉(zhuǎn)移、暫存和清除，設(shè)備遷移或廢棄，存儲(chǔ)介質(zhì)的清除或銷毀等活動(dòng)。

　　第一階段：信息轉(zhuǎn)移、暫存和清除

　　信息轉(zhuǎn)移、暫存和清除需要輸入定級(jí)對象信息資產(chǎn)清單，在定級(jí)對象終止處理過程中，對于可能會(huì)在另外的定級(jí)對象中使用的信息采取適當(dāng)?shù)姆椒▽⑵浒踩剞D(zhuǎn)移或暫存到可以恢復(fù)的介質(zhì)中，確保將來可以繼續(xù)使用，同時(shí)采用安全的方法清除要終止的定級(jí)對象中的信息。最終輸出形成信息轉(zhuǎn)移、暫存、清除處理記錄文檔。

　　識(shí)別要轉(zhuǎn)移、暫存和清除的信息資產(chǎn)時(shí)應(yīng)注意：根據(jù)要終止的定級(jí)對象的信息資產(chǎn)清單，識(shí)別重要信息資產(chǎn)、所處的位置以及當(dāng)前狀態(tài)等，列出需轉(zhuǎn)移、暫存和清除的信息資產(chǎn)的清單。

　　信息資產(chǎn)轉(zhuǎn)移、暫存和清除時(shí)應(yīng)注意：根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉(zhuǎn)移、暫存、清除的方法和過程。如果是涉密信息，應(yīng)按照國家相關(guān)部門的規(guī)定進(jìn)行轉(zhuǎn)移、暫存和清除。

　　處理過程記錄時(shí)應(yīng)注意：記錄信息轉(zhuǎn)移、暫存和清除的過程，包括參與的人員，轉(zhuǎn)移、暫存和清除的方式以及目前信息所處的位置等。

　　第二階段：設(shè)備遷移或廢棄

　　設(shè)備遷移或廢棄需要輸入設(shè)備遷移或廢棄清單等，確保定級(jí)對象終止后，遷移或廢棄的設(shè)備內(nèi)不包括敏感信息，對設(shè)備的處理方式應(yīng)符合國家相關(guān)部門的要求。最終輸出設(shè)備遷移、廢棄處理報(bào)告。

　　軟硬件設(shè)備識(shí)別時(shí)應(yīng)注意：根據(jù)要終止的定級(jí)對象的設(shè)備清單，識(shí)別要被遷移或廢棄的硬件設(shè)備、所處的位置以及當(dāng)前狀態(tài)等，列出需遷移、廢棄的設(shè)備的清單。

　　制定硬件設(shè)備處理方案時(shí)應(yīng)注意：根據(jù)規(guī)定和實(shí)際情況制定設(shè)備處理方案，包括重用設(shè)備、廢棄設(shè)備、敏感信息的清除方法等。

　　處理方案審批時(shí)應(yīng)注意：包括重用設(shè)備、廢棄設(shè)備、敏感信息的清除方法等的設(shè)備處理方案應(yīng)經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。

　　設(shè)備處理和記錄時(shí)應(yīng)注意：根據(jù)設(shè)備處理方案對設(shè)備進(jìn)行處理，如果是涉密信息的設(shè)備，其處理過程應(yīng)符合國家相關(guān)部門的規(guī)定；記錄設(shè)備處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。

　　第三階段：存儲(chǔ)介質(zhì)的清除或銷毀

　　存儲(chǔ)介質(zhì)的清除或銷毀：需要輸入存儲(chǔ)介質(zhì)清單等，通過采用合理的方式對計(jì)算機(jī)介質(zhì)（包括磁帶、磁盤、打印結(jié)果和文檔）進(jìn)行信息清除或銷毀處理，防止介質(zhì)內(nèi)的敏感信息泄露。最終輸出存儲(chǔ)介質(zhì)的清除或銷毀記錄文檔。

　　識(shí)別要清除或銷毀的介質(zhì)時(shí)應(yīng)注意：根據(jù)要終止的定級(jí)對象的存儲(chǔ)介質(zhì)清單，識(shí)別載有重要信息的存儲(chǔ)介質(zhì)、所處的位置以及當(dāng)前狀態(tài)等，列出需清除或銷毀的存儲(chǔ)介質(zhì)清單。

　　確定存儲(chǔ)介質(zhì)處理方法和流程時(shí)應(yīng)注意：根據(jù)存儲(chǔ)介質(zhì)所承載信息的敏感程度確定對存儲(chǔ)介質(zhì)的處理方式和處理流程。存儲(chǔ)介質(zhì)的處理包括數(shù)據(jù)清除和存儲(chǔ)介質(zhì)銷毀等。對于存儲(chǔ)涉密信息的介質(zhì)應(yīng)按照國家相關(guān)部門的規(guī)定進(jìn)行處理。

　　存儲(chǔ)介質(zhì)處理和記錄時(shí)應(yīng)注意：包括存儲(chǔ)介質(zhì)的處理方式和處理流程等的處理方案應(yīng)經(jīng)過主管領(lǐng)導(dǎo)審查和批準(zhǔn)。

　　處理方案審批時(shí)應(yīng)注意：根據(jù)存儲(chǔ)介質(zhì)處理方案對存儲(chǔ)介質(zhì)進(jìn)行處理，記錄處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。

　　這三個(gè)階段的工作則由運(yùn)營、使用單位完成。

　　到現(xiàn)在，基本上我們根據(jù)《網(wǎng)絡(luò)安全法》《 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《網(wǎng)絡(luò)安全事件應(yīng)急演練指南》《網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級(jí)保護(hù)》2018版、《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》（試行）等文件，將網(wǎng)絡(luò)安全等級(jí)保護(hù)一個(gè)生命周期整理完了。希望這次梳理能夠給落實(shí)等級(jí)保護(hù)的單位一個(gè)清晰的認(rèn)識(shí)，對等級(jí)保護(hù)工作會(huì)有個(gè)全新的認(rèn)知和理解。

　　在整理這些內(nèi)容過程中，我把大家常常誤會(huì)的地方，也做了疏通。比如絕大多數(shù)人口中的“等?！笔恰暗燃?jí)保護(hù)測評(píng)”，而國家文件要落實(shí)的“等級(jí)保護(hù)制度”則是一個(gè)系統(tǒng)從生到滅的全生命周期，所以不可等同。所以希望大家在開展工作中，正確認(rèn)識(shí)。

　　當(dāng)然，我個(gè)人認(rèn)為這只是正確理解和認(rèn)識(shí)等級(jí)保護(hù)，只是剛剛開始。接下來我將繼續(xù)結(jié)合相關(guān)國家標(biāo)準(zhǔn)和大家共同探討網(wǎng)絡(luò)安全保護(hù)及網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)。

　　如果你需要全面落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)，可以與我聯(lián)系；如果你需要開展等級(jí)保護(hù)測評(píng)，當(dāng)然也請與我聯(lián)系。