等级保护实施指南(第十二期)课件.ppt

5.2.1 系统识别和描述 活动目标: 主要过程 信息系统定级阶段工作流程 输出 信息系统总体描述文件 信息系统详细描述文件 信息系统安全保护等级 定级报告 信息系统分析 安全保护等级确定 图 2 本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进 行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。 参与角色:信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统的立项、建设和管理文档。 活动描述: 本活动主要包括以下子活动内容: a) 识别信息系统的基本信息 调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息 系统的背景信息和联络方式。 b) 识别信息系统的管理框架 了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得 支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。 c) 识别信息系统的网络及设备部署 4GB/T XXXX – XXXX 了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界, 即确定定级对象及其范围。 d) 识别信息系统的业务种类和特性 了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务 流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对 独立的业务应用的信息系统作为单独的定级对象。 e) 识别业务系统处理的信息资产 了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程 度。 f) 识别用户范围和用户类型 根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。 g) 信息系统描述 对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述 文件应包含以下内容: 1) 系统概述; 2) 系统边界描述; 3) 网络拓扑; 4) 设备部署; 5) 支撑的业务应用的种类和特性; 6) 处理的信息资产; 7) 用户的范围和用户类型; 8) 信息系统的管理框架。 活动输出: 信息系统总体描述文件。 * 5.2.1 系统识别和描述 活动目标: 主要过程 信息系统定级阶段工作流程 输出 信息系统总体描述文件 信息系统详细描述文件 信息系统安全保护等级 定级报告 信息系统分析 安全保护等级确定 图 2 本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进 行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。 参与角色:信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统的立项、建设和管理文档。 活动描述: 本活动主要包括以下子活动内容: a) 识别信息系统的基本信息 调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息 系统的背景信息和联络方式。 b) 识别信息系统的管理框架 了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得 支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。 c) 识别信息系统的网络及设备部署 4GB/T XXXX – XXXX 了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界, 即确定定级对象及其范围。 d) 识别信息系统的业务种类和特性 了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务 流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对 独立的业务应用的信息系统作为单独的定级对象。 e) 识别业务系统处理的信息资产 了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程 度。 f) 识别用户范围和用户类型 根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。 g) 信息系统描述 对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述 文件应包含以下内容: 1) 系统概述; 2) 系统边界描述; 3) 网络拓扑; 4) 设备部署; 5) 支撑的业务应用的种类和特性; 6) 处理的信息资产; 7) 用户的范围和用户类型; 8) 信息系统的管理框架。 活动输出: 信息系统总体描述文件。 * 5.2.1 系统识别和描述 活动目标: 主要过程 信息系统定级阶段工作流程 输出 信息系统总体描述文件 信息系统详细描述文件 信息系统安全保护等级 定级报告 信息系统分析