我們的信息系統，是不是不用了就直接往那里一放，不管不問了呢？或者隨便處理掉呢？

　　前面文章里其實我們已經也簡單談及，一個信息系統或者定級對象如同萬事萬物一樣，都有一個生滅流程。信息系統則從立項規劃到廢止，也需要經歷它自身的生命周期。今天談的算是定級對象最后一個階段，也就是廢止該如何科學正確的處置之。

　　從標準層面我們進入下圖最后一層，標準給出的工作包含了信息轉移、暫存和清除、設備遷移或廢棄、存儲介質的清除或銷毀三個階段。

　　從三個階段我們可以簡單看出，信息系統廢棄不是隨意置之不理，或隨意丟棄的，也要讓它各歸其位，科學安全合理處置，以防存在后續安全風險。這點其實很好理解，如同我們手里的一部手機處置不當，尚且還存在許許多多可以被壞人利用的數據信息和個人隱私數據，何況一個對國家安全或社會安全、社會秩序有影響的信息系統呢？

　　定級對象終止階段是等級保護實施過程中的最后環節。當定級對象被轉移、終止或廢棄時，正確處理其中的敏感信息對于確保機構信息資產的安全是至關重要的。圖片

　　在等級保護對象生命周期中，有些定級對象并不是真正意義上的廢棄，而是改進技術或轉變業務到新的定級對象，對于這些定級對象在終止處理過程中應確保信息轉移、設備遷移和介質銷毀等方面的安全。

　　今天談論的則是定級對象終止階段關注信息轉移、暫存和清除，設備遷移或廢棄，存儲介質的清除或銷毀等活動。

　　第一階段：信息轉移、暫存和清除

　　信息轉移、暫存和清除需要輸入定級對象信息資產清單，在定級對象終止處理過程中，對于可能會在另外的定級對象中使用的信息采取適當的方法將其安全地轉移或暫存到可以恢復的介質中，確保將來可以繼續使用，同時采用安全的方法清除要終止的定級對象中的信息。最終輸出形成信息轉移、暫存、清除處理記錄文檔。

　　識別要轉移、暫存和清除的信息資產時應注意：根據要終止的定級對象的信息資產清單，識別重要信息資產、所處的位置以及當前狀態等，列出需轉移、暫存和清除的信息資產的清單。

　　信息資產轉移、暫存和清除時應注意：根據信息資產的重要程度制定信息資產的轉移、暫存、清除的方法和過程。如果是涉密信息，應按照國家相關部門的規定進行轉移、暫存和清除。

　　處理過程記錄時應注意：記錄信息轉移、暫存和清除的過程，包括參與的人員，轉移、暫存和清除的方式以及目前信息所處的位置等。

　　第二階段：設備遷移或廢棄

　　設備遷移或廢棄需要輸入設備遷移或廢棄清單等，確保定級對象終止后，遷移或廢棄的設備內不包括敏感信息，對設備的處理方式應符合國家相關部門的要求。最終輸出設備遷移、廢棄處理報告。

　　軟硬件設備識別時應注意：根據要終止的定級對象的設備清單，識別要被遷移或廢棄的硬件設備、所處的位置以及當前狀態等，列出需遷移、廢棄的設備的清單。

　　制定硬件設備處理方案時應注意：根據規定和實際情況制定設備處理方案，包括重用設備、廢棄設備、敏感信息的清除方法等。

　　處理方案審批時應注意：包括重用設備、廢棄設備、敏感信息的清除方法等的設備處理方案應經過主管領導審查和批準。

　　設備處理和記錄時應注意：根據設備處理方案對設備進行處理，如果是涉密信息的設備，其處理過程應符合國家相關部門的規定；記錄設備處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結果等。

　　第三階段：存儲介質的清除或銷毀

　　存儲介質的清除或銷毀：需要輸入存儲介質清單等，通過采用合理的方式對計算機介質（包括磁帶、磁盤、打印結果和文檔）進行信息清除或銷毀處理，防止介質內的敏感信息泄露。最終輸出存儲介質的清除或銷毀記錄文檔。

　　識別要清除或銷毀的介質時應注意：根據要終止的定級對象的存儲介質清單，識別載有重要信息的存儲介質、所處的位置以及當前狀態等，列出需清除或銷毀的存儲介質清單。

　　確定存儲介質處理方法和流程時應注意：根據存儲介質所承載信息的敏感程度確定對存儲介質的處理方式和處理流程。存儲介質的處理包括數據清除和存儲介質銷毀等。對于存儲涉密信息的介質應按照國家相關部門的規定進行處理。

　　存儲介質處理和記錄時應注意：包括存儲介質的處理方式和處理流程等的處理方案應經過主管領導審查和批準。

　　處理方案審批時應注意：根據存儲介質處理方案對存儲介質進行處理，記錄處理過程，包括參與的人員、處理的方式、是否有殘余信息的檢查結果等。

　　這三個階段的工作則由運營、使用單位完成。

　　到現在，基本上我們根據《網絡安全法》《 網絡安全等級保護實施指南》《網絡安全等級保護基本要求》《國家網絡安全事件應急預案》《網絡安全事件應急演練指南》《網絡安全法與網絡安全等級保護》2018版、《公安機關信息安全等級保護檢查工作規范》（試行）等文件，將網絡安全等級保護一個生命周期整理完了。希望這次梳理能夠給落實等級保護的單位一個清晰的認識，對等級保護工作會有個全新的認知和理解。

　　在整理這些內容過程中，我把大家常常誤會的地方，也做了疏通。比如絕大多數人口中的“等保”是“等級保護測評”，而國家文件要落實的“等級保護制度”則是一個系統從生到滅的全生命周期，所以不可等同。所以希望大家在開展工作中，正確認識。

　　當然，我個人認為這只是正確理解和認識等級保護，只是剛剛開始。接下來我將繼續結合相關國家標準和大家共同探討網絡安全保護及網絡安全等級保護測評。

　　如果你需要全面落實網絡安全等級保護，可以與我聯系；如果你需要開展等級保護測評，當然也請與我聯系。