A.6 關于信息安全技術等級和信息系統安全等級

信息安全技術泛指信息系統可以采用的所有安全技術，包括安全功能技術和安全保證技術。信息技術安全等級是根據安全功能技術和安全保證技術實現上的差異，參考國、內外已有標準并結合我國當前信息系統安全的實際情況確定的。比如，身份鑒別技術，其功能是鑒別用戶身份的真實性，其安全機制可以是“口令”鑒別、“數字證書”（如IC卡）鑒別，也可以是“生物特征”鑒別等。不同的識別機制所實現的身份鑒別功能會有不同的安全性，這種安全性還應有與之相匹配的安全保證技術來支持。于是，可以按照所采用的安全功能技術和安全保證技術的不同來劃分身份鑒別技術的安全等級，以適應不同安全保護等級的信息系統的需要。信息系統安全等級是根據信息系統的安全需求、參照所采用的安全技術的等級確定的。信息系統安全通常是以子系統的形式體現的。安全子系統需要采用哪些安全技術是根據信息系統的安全需求確定的。以定性或定量分析的方法，對信息系統進行風險分析和評估，確定其風險等級和安全需求，按照本標準關于安全技術的等級劃分，選取相應安全等級的安全技術，采用系統化的設計方法，構成一個完整的具有相應安全等級的安全子系統。這個安全子系統與信息系統共同組成具有相應安全等級的信息系統。