1. 山河小说
  2. 女生小说
  3. 网络安全法和网络安全等级保护2
  4. 6.1 定级
关灯 巨大 直达底部
亲,双击屏幕即可自动滚动
6.1 定级

针对不同的信息系统,建议参考以下原则定级。

第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。

第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统,如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省连接的网络系统等。

第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统,如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等重要行业、部门中的涉及国计民生的核心系统。

第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。

5新建系统的定级工作

新建系统要坚持三同步原则,做到“同步规划、同步设计、同步实施”。建设、运营单位要先定级,按照所定级别的基本保护要求同步建设。要站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身安全角度考虑。要应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象,避免将所有的业务系统网络作为一个定级对象。要避免同类信息系统的安全保护等级,不能随着部、省、市行政级别的降低而降低。在定级不明确的情况,可通过咨询等级保护建设领导小组、行业主管部门等相关意见后再确定。

614定级工作如何开展

信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

确定信息系统安全保护等级的一般流程如下:

<1>确定作为定级对象的信息系统。

<2>确定业务信息安全受到破坏时所侵害的客体。

<3>根据不同的受侵害客体,从多方面综合评定业务信息安全被破坏对客体的侵害程度。

<4>依据表2,得到业务信息安全保护等级。

<5>确定系统服务安全受到破坏时所侵害的客体。

<6>根据不同的受侵害客体,从多方面综合评定系统服务安全被破坏对客体的侵害程度。

<7>依据表3,得到系统服务安全保护等级。

<8>将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

定级工作流程如图6-1所示。

1政策学习和摸底调查

(1)指导思想

在《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)中明确指出:各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

(2)政策学习

单位在开展系统定级之前,需要了解学习定级有关工作文件,通过这些文件的学习,可以初步掌握等级保护的作用、目的、方法和工作流程。定级有关工作文件主要包括:

《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)。

图6-1确定保护等级工作流程

《计算机信息系统安全保护等级划分准则》(gb17859—1999)。

《信息安全技术信息系统安全保护等级定级指南》(gbt22240—2008)。

《信息安全技术信息系统安全等级保护实施指南》(gbt25058—2010)。

《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)。

《信息安全等级保护管理办法》(公通字〔2007〕43号)。

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)。

本行业信息系统安全等级保护政策、法规、指导意见。

(3)摸底调查

信息系统摸底调查主要是全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,主要工作包括如下。

1识别信息系统的基本信息。调查本单位信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。

2识别信息系统的管理框架。调查本信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。

3识别信息系统的网络及设备部署。了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。

4识别信息系统的业务种类和特性。了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。

5识别业务系统处理的信息资产。了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。

6识别用户范围和用户类型。根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。

7形成信息系统描述。对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容:系统概述、系统边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理的信息资产、用户的范围和用户类型、信息系统的管理框架。活动输出:信息系统总体描述文件。

为您推荐