等保工作流程方案
等保的工作流程
等保的工作流程
等保的工作流程涵盖了信息安全管理的方方面面,主要可以分为以下几个步骤:
1. 安全评估和等级划分:根据国家规定的等保标准和安全评估要求,对企业的信息系统进行安全评估,并根据评估结果确定等级划分。
2. 安全需求分析和制定安全方案:根据等级划分确定的安全需求,制定相应的安全方案,包括技术保障、管理制度、组织架构等方面。
3. 安全措施实施和运维:针对制定的安全方案,实施相应的安全措施,包括网络安全、数据安全、应用安全等方面,并进行日常运维和管理。
4. 安全监测和风险管理:对信息系统进行全面监测,及时发现和处理安全事件,对潜在风险进行风险管理,保证信息系统的安全性和稳定性。
5. 安全评估和持续改进:定期对信息系统进行安全评估,对存在的问题和不足进行改进和完善,持续提升信息系统的安全水平。
以上是等保的一般工作流程,企业可以根据自身情况和需要进行调整和优化,以达到更好的信息安全管理效果。
- 1 -。
等保服务方案
等保服务方案第1篇等保服务方案一、方案背景随着信息技术的飞速发展,信息安全已成为我国经济社会发展的重要保障。
为提高我国信息安全保障能力,依据《中华人民共和国网络安全法》等相关法律法规,我国开展了网络安全等级保护工作。
本方案旨在为某单位提供一套合法合规的等保服务方案,确保其信息系统安全稳定运行。
二、方案目标1. 满足国家相关法律法规要求,确保信息系统安全合规。
2. 提高单位信息安全保障能力,降低安全风险。
3. 建立完善的等保服务体系,提升单位信息安全管理水平。
三、方案内容1. 等保建设(1)物理安全加强物理安全防护,确保信息系统运行环境安全。
具体措施如下:- 机房设施:按照国家标准建设机房,配备防火、防盗、防潮、防静电等设施。
- 供电保障:采用双路供电,配备不间断电源,确保信息系统稳定运行。
- 网络安全:采用物理隔离、防火墙等技术手段,确保网络边界安全。
(2)网络安全加强网络安全防护,保障信息系统安全稳定运行。
具体措施如下:- 网络架构:采用分层、分区的设计原则,提高网络的安全性和可扩展性。
- 访问控制:实施严格的访问控制策略,防止非法访问、控制、泄露、篡改等安全风险。
- 安全审计:建立安全审计制度,对网络设备、系统和用户行为进行审计,确保合规性。
(3)主机安全加强主机安全防护,防止恶意攻击和病毒感染。
具体措施如下:- 系统安全:定期更新操作系统、数据库等软件,修复安全漏洞。
- 权限管理:实施最小权限原则,限制用户对系统资源的访问。
- 防病毒:部署防病毒软件,定期更新病毒库,防止病毒感染。
(4)应用安全加强应用安全防护,确保应用系统的安全稳定运行。
具体措施如下:- 安全编码:遵循安全编码规范,提高应用系统安全性。
- 应用审计:对应用系统进行安全审计,发现并修复安全漏洞。
- 数据保护:采用加密、脱敏等技术手段,保护用户数据安全。
2. 等保运维(1)人员管理- 设立专门的等保运维团队,负责信息系统等保工作。
等保应急预案
等保应急预案等保应急预案是指为了应对网络安全事件和突发情况,保障信息系统和数据的安全性、完整性和可用性,及时恢复业务运行,减少损失和风险的一种计划和措施。
本文将从计划编制、应急响应流程、演练和改进四个方面来介绍等保应急预案。
一、计划编制等保应急预案的编制是整个预案工作的基础和核心。
首先,需明确预案编制的目标和原则,确定各项应急任务和职责,并明确各个环节的流程和步骤。
其次,根据实际情况和风险评估结果,制定各类应急预案,如网络攻击应急预案、系统故障应急预案等。
预案应包括预警通报、应急响应、协调沟通、信息收集和分析、资源调配等内容。
最后,建立应急指挥部和各级责任单位,明确预案执行的具体要求和责任分工。
二、应急响应流程一旦发生网络安全事件,要能迅速、科学地做出反应并采取相应的措施。
应急响应流程应包括以下步骤:收集信息、分析情况、评估危害、制定处置方案、实施处置、恢复业务、总结经验。
在收集信息阶段,要确保信息的及时和准确,如通过实时监测系统日志、网络安全设备的告警信息等。
分析情况时,需根据事件特点和威胁程度,进行严格的评估和判断。
制定处置方案时,要综合考虑技术、人员和资源的可用性,确保采取的措施合理有效。
实施处置和恢复业务时,要进行全面监控和跟踪,及时调整方案和措施,确保恢复到正常状态。
三、演练演练是测试等保应急预案的有效手段,也是提高应急响应能力的重要途径。
演练可以分为桌面演练和实地演练。
桌面演练主要是通过模拟网络安全事件的发生,进行应急响应流程的测试和评估。
实地演练则是将预案应用到实际场景中,检验各项措施和应急响应能力的有效性和可行性。
演练应根据实际情况定期进行,并进行评估和总结,及时修订和改进预案。
四、改进等保应急预案是一个不断完善和提高的过程。
通过演练和实际应用中的反馈,可以发现预案存在的不足和问题。
这就需要对预案进行评估和分析,及时进行改进和修订。
在改进过程中,要加强与相关部门和单位的合作,广泛收集意见和建议,并及时更新预案内容和流程。
等级保护解决方案(2.0)
【安全管理区】身份认证\漏洞扫描\堡垒机\终端安全管理\全流量分析\安全管理平台
【综合业务区】OA服务器群集…ERP服务器群集…
【数据存储区】数据库群集…IP SAN存储群集…备份服务器群集…
【终端接入区】
【核心交换区】
防火墙
防火墙
防火墙
防火墙
防火墙
网络访问策略的控制要求,包括安全域的划分、网络之间的隔离。
网络架构
网络架构
通信传输
通信传输
安全通信网络
安全通信网络建设
合理的区域划分对具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享相同的安全策略,划分不同的网络区域;区域访问控制避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;通信链路加密采用校验码技术或加解密技术保证通信过程中数据的完整性、保密性;
代表终端杀毒、EDR类产品
安全管理中心建设
安全管理体系
安全服务体系
应急响应服务
安全培训服务
安全测试服务
安全开发服务
安全咨询服务
安全运维服务
SecurityServices
应急演练
等保咨询
开发安全运维
重保安全
数据安全咨询
安全运营体系
依据标准化安全运营体系设计,为用户方提供全面的基础运营保障、安全风险分析研判与检测控制能力、风险监控预警能力以及安全事件的日常与应急处置能力。
身份安全认证对授权主体进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。终端安全管理实时针对终端的安全关机,包括漏洞扫描,基线核查、主机防病毒等,保证内网终端环境安全;全面安全审计保证审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,审计记录满足等保要求;数据安全保护保证数据传输过程、数据存储中的加密,个人信息数据使用的审计,非法访问的禁止。
2级等保机房运维方案及流程
2级等保机房运维方案及流程一、引言2级等保机房是指具备较高安全等级的数据中心,为了保障机房的正常运行和数据安全,需要有一套完善的运维方案及流程。
本文将就2级等保机房运维方案及流程进行详细介绍。
二、机房设备维护1. 机房设备巡检定期进行机房设备巡检,包括服务器、网络设备、空调、UPS等,检查设备运行状态、温度、湿度等参数是否正常,及时发现并解决问题。
2. 机房设备维护定期对机房设备进行维护,包括清洁设备、更换损坏或老化的部件、更新固件等,确保设备的正常运行和可靠性。
三、机房安全管理1. 门禁管理建立严格的门禁制度,只允许授权人员进入机房,采用刷卡、指纹等方式进行身份验证,确保机房的物理安全。
2. 监控系统安装视频监控系统,对机房进行全天候监控,及时发现和记录异常情况,并能对监控视频进行回放和存档。
3. 防火系统安装火灾报警器和灭火装置,定期进行消防设备检查和演练,确保机房的火灾安全。
四、网络安全管理1. 防火墙配置配置防火墙,对进出机房的网络流量进行过滤和监控,防止恶意攻击和非法访问。
2. 网络设备管理定期更新网络设备的固件和软件,加强设备的安全性和稳定性,定期检查设备日志,发现并处理异常情况。
3. 数据备份与恢复建立完善的数据备份和恢复机制,定期对重要数据进行备份,并将备份数据存储在安全可靠的地方,以防止数据丢失和灾难发生。
五、应急响应与故障处理1. 应急响应计划制定机房应急响应计划,明确各类突发事件的处理流程和责任人,及时应对各种可能的安全事件。
2. 故障处理对于机房设备故障或网络故障,需要建立快速响应机制,及时排除故障,并记录故障原因和处理过程,以便后续分析和改进。
六、运维记录与报告1. 运维记录定期记录机房设备的维护情况、巡检情况、故障处理情况等,形成运维日志,便于追溯和分析。
2. 运维报告定期撰写运维报告,总结机房运维工作的情况和问题,提出改进措施和建议,为机房的改进和优化提供依据。
七、人员培训与管理1. 人员培训对机房运维人员进行定期培训,提高其技术水平和安全意识,使其能够熟练操作设备、处理故障和应对安全事件。
等保方案
等保方案
目录:
1. 等保方案的定义和重要性
1.1 等保方案的概念
1.1.1 什么是等保方案
1.1.2 等保方案的作用和意义
1.2 等保方案的重要性
1.2.1 保障信息安全
1.2.2 防止数据泄露
2. 编制等保方案的步骤和要点
2.1 确定安全等级
2.1.1 根据实际情况确定等级
2.1.2 制定相应的防护措施
2.2 制定安全措施
2.2.1 确定安全措施的具体内容
2.2.2 保障措施的有效实施
3. 等保方案的实施和效果
3.1 实施等保方案的重要性
3.1.1 保障信息系统的安全运行
3.1.2 防止重要数据泄露
3.2 等保方案的效果评估
3.2.1 检测安全措施的有效性
3.2.2 效果评估的方法和流程
4. 等保方案的更新和改进
4.1 定期审查和更新
4.1.1 确保等保方案符合最新标准
4.1.2 掌握最新的安全技术和方法
4.2 不断优化和改进
4.2.1 吸取以往经验教训
4.2.2 根据实际情况不断完善方案
5. 结语
等保方案是一项重要的信息安全管理工作,对于保障企业和个人的信息安全至关重要。
通过制定详细的等保方案,可以有效地防范各种安全风险,保护重要数据不受到泄露和破坏。
同时,定期审查和更新等保方案也是必不可少的,以适应不断变化的安全环境,不断提升信息系统的安全性和稳定性。
希望每个组织都能重视等保方案的编制和实施,共同建设一个更加安全的网络环境。
医院等保过级流程
医院等保过级流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!医院等保过级流程一、准备工作阶段在进行医院等保过级之前,需要进行一系列准备工作。
信息安全等级保护工作方案(二篇)
信息安全等级保护工作方案一、工作内容一是开展信息系统定级备案工作。
1.开展政府网站定级备案。
根据去年重点单位调查摸底情况,全市尚有___余个各类信息系统未开展等级保护工作,其中包括大量政府网站(指党政机关门户网站),鉴于政府网站近年来网络安全事件频发,需及时落实各项安全技术措施。
全市党政机关必须在规定时间内开展门户网站定级备案工作,并于___月底前向公安网警部门提交《信息系统安全等级保护定级报告》(简称定级报告),《信息系统安全等级保护备案表》、《涉及国家___的信息系统分级保护备案表》(简称备案表)(模板见附件),定级报告、备案表完成后请单位盖章后一式二份送至市公安局网警大队。
2.开展其他信息系统定级备案。
除网站外,各单位其他信息系统也可一并开展定级备案工作,提交时间可适当放宽。
二是开展信息系统安全测评工作。
1.有政府网站且定二级以上的单位,必须在___月底前开展网站等级保护安全测评,并根据测评结果及时落实整改建设,切实保障网站安全运行。
2.各单位其他已定二级以上信息系统争取明年完成等级保护安全测评,若今年有条件的也可一并开展。
3.等级保护安全测评须由获得相关资质且在当地备案的专业测评机构开展。
目前,拟由市政府采购中心会同市等保办从已在备案的测评机构中通过法定方式选定若干家,确定后于___月底下发具体___,各单位可直接从中选择开展测评工作。
三是开展等级保护安全培训(时间:半年一次)要依托等保小组定期邀请专业测评公司技术人员开展信息安全知识培训,进一步普及等保知识,提高信息系统使用单位各级责任人的安全意识和专业水平。
四是实行等保例会和通报制度(时间:每季一次)。
市等保小组成员单位要定期召开等保工作会议,分析总结当前工作开展情况及存在问题,特别是对上述工作开展进度情况定期在全市范围予以通报。
二、系统定级建议根据信息系统定级标准结合其他县市经验做法,对信息系统的分类定级作如下建议,供各信息系统使用单位参考,定级标准可查阅《信息系统安全保护等级定级指南》(GB/T2240-___)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级化保护实施流程目次等级化保护实施流程 (1)1.1 实施的基本流程 (3)2信息系统定级 (4)2.1 信息系统定级阶段的工作流程 (4)2.2 信息系统分析 (4)2.2.1系统识别和描述 (4)2.2.2信息系统划分 (5)2.3 安全保护等级确定 (6)2.3.1定级、审核和批准 (6)2.3.2形成定级报告 (6)3总体安全规划 (7)3.1 总体安全规划阶段的工作流程 (7)3.2 安全需求分析 (8)3.2.1基本安全需求的确定 (8)3.2.2额外/特殊安全需求的确定 (9)3.2.3形成安全需求分析报告 (9)3.3 总体安全设计 (10)3.3.1总体安全策略设计 (10)3.3.2安全技术体系结构设计 (10)3.3.3整体安全管理体系结构设计 (11)3.3.4设计结果文档化 (12)3.4 安全建设项目规划 (12)3.4.1安全建设目标确定 (12)3.4.2安全建设内容规划 (13)3.4.3形成安全建设项目计划 (13)4安全设计与实施 (15)4.1 安全设计与实施阶段的工作流程 (15)4.2 安全方案详细设计 (16)4.2.1技术措施实现内容设计 (16)4.2.2管理措施实现内容设计 (16)4.2.3设计结果文档化 (17)4.3 管理措施实现 (17)4.3.1管理机构和人员的设置 (17)4.3.2管理制度的建设和修订 (17)4.3.3人员安全技能培训 (18)4.3.4安全实施过程管理 (18)4.4 技术措施实现 (19)4.4.1信息安全产品采购 (19)4.4.2安全控制开发 (19)4.4.3安全控制集成 (20)4.4.4系统验收 (21)5安全运行与维护 (22)5.1 安全运行与维护阶段的工作流程 (22)5.2 运行管理和控制 (23)5.2.1运行管理职责确定 (23)5.2.2运行管理过程控制 (24)5.3 变更管理和控制 (24)5.3.1变更需求和影响分析 (24)5.3.2变更过程控制 (25)5.4 安全状态监控 (25)5.4.1监控对象确定 (25)5.4.2监控对象状态信息收集 (26)5.4.3监控状态分析和报告 (26)5.5 安全事件处置和应急预案 (26)5.5.1安全事件分级 (26)5.5.2应急预案制定 (27)5.5.3安全事件处置 (27)5.6 安全检查和持续改进 (28)5.6.1安全状态检查 (28)5.6.2改进方案制定 (28)5.6.3安全改进实施 (29)5.7 等级测评 (29)5.8 系统备案 (29)5.9 监督检查 (30)6信息系统终止 (30)6.1 信息系统终止阶段的工作流程 (30)6.2 信息转移、暂存和清除 (31)6.3 设备迁移或废弃 (31)6.4 存储介质的清除或销毁 (32)7等保过程配合人员需: (32)7.1 配合协调联络人员1名 (32)7.2 配合访谈人员: (32)附录A主要过程及其活动输出 (33)信息系统安全等级保护三级实施流程1.1 实施的基本流程对信息系统实施等级保护的基本流程见图1。
图1 信息系统安全等级保护实施的基本流程在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
2 信息系统定级2.1 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA ,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
信息系统定级阶段的工作流程见图2。
2.2 信息系统分析 2.2.1 系统识别和描述活动目标:本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统的立项、建设和管理文档。
活动描述:本活动主要包括以下子活动内容: a) 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
c) 识别信息系统的网络及设备部署输入输出主要过程图2 信息系统定级阶段工作流程了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。
d)识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
e)识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
f)识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
g)信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件。
一个典型的信息系统的总体描述文件应包含以下内容:1) 系统概述;2) 系统边界描述;3) 网络拓扑;4) 设备部署;5) 支撑的业务应用的种类和特性;6) 处理的信息资产;7) 用户的范围和用户类型;8) 信息系统的管理框架。
活动输出:信息系统总体描述文件。
2.2.2 信息系统划分活动目标:本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件。
活动描述:本活动主要包括以下子活动内容:a)划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。
b)信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。
在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。
c)信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。
进一步的信息系统详细描述文件应包含以下内容:1) 相对独立信息系统列表;2)每个定级对象的概述;3) 每个定级对象的边界;4) 每个定级对象的设备部署;5) 每个定级对象支撑的业务应用及其处理的信息资产类型;6) 每个定级对象的服务范围和用户类型;7) 其他内容。
活动输出:信息系统详细描述文件。
2.3 安全保护等级确定2.3.1 定级、审核和批准活动目标:本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。
参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件,信息系统详细描述文件。
活动描述:本活动主要包括以下子活动内容:a)信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。
b)定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
活动输出:信息系统定级评审意见。
2.3.2 形成定级报告活动目标:本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告。
参与角色:信息系统主管部门,信息系统运营、使用单位。
活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果。
活动描述:对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容:a)单位信息化现状概述;b)管理模式;c)信息系统列表;d)每个信息系统的概述;e)每个信息系统的边界;f)每个信息系统的设备部署;g)每个信息系统支撑的业务应用;h)信息系统列表、安全保护等级以及保护要求组合;i)其他内容。
活动输出:信息系统安全保护等级定级报告。
3 总体安全规划3.1 总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
总体安全规划阶段的工作流程见图3。
3.2 安全需求分析 3.2.1 基本安全需求的确定活动目标:本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求。
参与角色: 信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构。
活动输入: 信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求。
活动描述:本活动主要包括以下子活动内容: a) 确定系统范围和分析对象明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。
初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。