信息安全等级保护操作的指南和操作流程图.docx

信息安全等级保护操作的指南和操作流程图.docx

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全等级保护操作流程 信息系统定级 定级工作实施范围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下: 〔一〕电信、广电行业的公用通信网、播送电视传输网等根底信息网络,经营性公众互联网信息效劳单位、互联网接入效劳单位、数据中心等单位的重要信息系统。 〔二〕铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、进展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政治理、邮政等行业、部门的生产、调度、治理、办公等重要信息系统。 〔三〕市〔地〕级以上党政机关的重要网站和办公信息系统。 〔四〕涉及国家隐秘的信息系统〔以下简称“涉密信息系统”〕。注:跨省或者全国统一联网运行的信息系统可以由主管部门统一 确定安全保护等级。涉密信息系统的等级确定依据国家的有关规定和标准执行。 定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见〔》中办发【2023】27 号文件〕 《关于信息安全等级保护工作的实施意见〔》公通字【2023】66 号文件〕 《电子政务信息系统安全等级保护实施指南〔试》行〔〕国信办 【2023】25 号文件〕 《信息安全等级保护治理方法〔》公通字【2023】43 号文件〕 《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护根本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》 定级工作流程 信息系统调查确定定级对象定级要素分析?? 信息系统调查 确定定级对象 定级要素分析 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 网络拓扑调查 资产信息调查效劳信息调查系统边界调查 …… 治理机构分析业务类型分析物理位置分析运行环境分析 …… 业务信息分析系统效劳分析综合分析 确定等级 …… 编写定级报告 ? ? 编写定级报告 …… 帮助定级备案 ? ? ? 帮助评审审批形成最终报告帮助定级备案 信息系统调查 信息系统调查是通过一系列的信息系统状况调查表对信息系统根本状况进展摸底调查,全面把握信息系统的数量、分布、业务类型、应用、效劳范围、系统构造、治理组织和治理方式等根本状况。同 时,通过信息系统调查还可以明确信息系统存在的资产价值、威逼 等级、风险等级以及可能造成的影响客体、影响范围等根本状况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。 调查工具表 通常,信息系统调查工具表包括系统资产调查表、系统应用调查表、和治理信息调查表等。 系统资产调查表 用于调查信息系统的根本状况,主要包括主机、网络设备、人员、人员、效劳等信息。在调查过程中,可以得到系统资产的根本信息、主要用途、重要程度、效劳对象等相关信息。 系统应用调查表 用于明确系统应用的根本状况。明确各个系统应用的拓扑信息、边界信息、应用架构、数据流等根本状况,为确定和分析定级对象供给具体信息。 治理信息调查表 用于明确信息系统的组织构造、隶属关系等治理信息。 调查方法 信息系统调查的实施包括信息收集、访谈和核查三个步骤。 信息收集 帮助信息系统使用治理单位完成系统资产调查表填写工作,同时收集信息系统所涉及的一系列 访谈 核查 对调查表中的信息进展验证的过程,验证包括检查和测试等方式。 确定定级对象 一个单位可能运行了比较浩大的信息系统,为了重点保护重要局部,有效掌握信息安全建设和治理本钱,优化信息安全资源配置等 保护原则,可将较大的信息系统划分为假设干个较小的、相对独立的、具有不同安全保护等级的定级对象。这样,可以保证信息系统安全 建设能够突出重点、兼顾一般。 根本原则 假设信息系统只承载一项业务,可以直接为该信息系统确定等级, 不必划分业务子系统。 假设信息系统承载多项业务,应依据各项业务的性质和特点,将信息系统分成假设干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级打算。信息系统是进展等级确定和等级保护治理的最终对象。主要划分原则有: 一、 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。假设一个单位的某个下级单位负责信息系统安全建设、运行维护等过 程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;假设一个单位中的不同下级单位分别担当信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 二、 具有信息系统的根本要素 作为定级对象的信息系统应当是由相关的和配套的设备、设施依据肯定的应用目标和规章组合而成的有形实体。应避开将某个单一的系统组件,如效劳器、终端、网

文档评论(0)

137****4005 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档