2019年信息网络安全知识普及教育培训教程--信息安全等级保护与风险评估 .doc

合集下载

信息安全风险评估培训 PPT

利用得缺点,弱点一旦被利用,就可能对资产造成损害。
风险(Risk)—— 特定威胁利用资产弱点给资产或资产组带来损害得潜在可能性。可能性(Likelihood)—— 对威胁发生几率(Probability)或频率(Frequency)得定性描述。影响(Impact)—— 后果(Consequence),意外事件发生给企业带来得直接或间接得损
等级保护下风险评估实施框架
等级保护管理办法、指南
全
信息安全政策、标准、法律法规
安全规划
安全需求
风险分析保护对象划分与定级网络系统划分与定级
基本安全要求
需
威胁
风险列表
求
脆弱性
资产
风险评估
结合等保测评得风险评估流程
风险评估项目实施过程
计划准备实施报告跟踪
61
评估工作各角色得责任
评估组长
其他:打印机、复印机、扫描仪、传真机等
大家应该也有点累了,稍作休息
大家有疑问得,可以询问与交流
10
资产分类方法
分类
示例
信息服务:对外依赖该系统开展的各类服务网络服务:各种服网络设备、设施提供的网络连接服务办公服务:为提高效务率而开发的管理信息系统,包括各种内部配置管理、文件
流转管理等服务
32
评价残留风险
绝对安全(即零风险)就是不可能得。实施安全控制后会有残留风险或残存风险(Residual Risk)。为了确保信息安全,应该确保残留风险在可接受得范围内:
• 残留风险Rr ＝原有得风险R0 －控制ΔR • 残留风险Rr ≤ 可接受得风险Rt
对残留风险进行确认与评价得过程其实就就是风险接受得过程。决策者可以根据风险评估得结果来确定一个阀值,以该阀值作为就是否接受残留风险得标准。

网络安全培训课程

520
传输层
Page *
端口号作用
源端口
目标端口
…
Host A
1028
23
…
SP
DP
Host Z
Telnet Z
目标端口 = 23.
端口号标识上层通信进程。小于1024 为周知端口、1024-5000为临时端口、大于5000为其他服务预留。
Page *
TCP 确认机制
发送方
01
发送 1
TCP/IP网络实践上的标准，OSI网络理论的标准。
TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。
TCO/IP的每一层都可以映射到OSI模型中去。
01
03
02
04
Page *
TCP/IP与OSI
应用层
01.
表示层
01.
会话层
01.
传输层
01.
网络层
01.
数据链路层
01.
物理层
01.
02
接收 1
03
发送 ACK 2
04
发送 2
05
接收 2
06
发送 ACK 3
07
发送 3
08
接收 3
09
接收 ACK 4
10
滑动窗口 = 1
11
接收方
12
Page *
TCP 三次握手
发送 SYN (seq=100 ctl=SYN)
接收 SYN
发送 SYN, ACK (seq=300 ack=101 ctl=syn,ack)
02
由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。

信息安全等级保护培训教材(第1册)

信息安全等级保护培训教材（第一册）目录一、信息安全等级保护政策体系（一）总体方面的政策文件（二）具体环节的政策文件1、定级环节2、备案环节3、安全建设整改环节4、等级测评环节5、安全检查环节二、信息安全等级保护标准体系（一）各类标准与等级保护工作的关系1、基础标准2、安全要求类标准3、定级类标准4、方法指导类标准5、现状分析类标准（二）在应用有关标准中需注意的几个问题三、信息安全等级保护安全管理制度建设和技术措施建设（一）信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据2、开展安全管理制度建设的内容3、开展安全管理制度建设的要求（二）开展信息安全等级保护安全技术措施建设1、开展安全技术措施建设的依据2、开展安全技术措施建设的内容3、开展安全技术措施建设的要求四、安全建设整改工作的原则和主要思路（一）工作目标（二）工作范围（三）工作方法五、安全建设整改工作基本流程六、信息安全产品的选择使用七、信息系统安全等级测评工作（一）测评机构的选择（二）等级测评工作的开展八、安全自查和监督检查（一）备案单位的定期自查（二）行业主管部门的督导检查（三）公安机关的监督检查九、工作要求（一）同步部署，同步实施（二）加强宣传，树立典型（三）认真总结，及时报送广西壮族自治区信息安全等级保护培训教材公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。

通过定级，基本摸清了国家基础网络和信息系统底数，掌握了关系国家安全、国计民生的重要信息系统基本情况，为深入开展信息安全等级保护工作打下了坚实基础。

近年来，公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范，以及为期3个月的信息安全等级保护测评体系建设试点工作，组织制定了《信息系统等级保护安全设计技术要求》、《信息安全等级保护测评机构及测评人员管理细则》和《信息系统等级保护测评报告模版》相关标准规范，在此基础上出台了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号，以下简称《指导意见》），为指导各单位、各部门开展信息安全等级保护安全建设整改工作（以下简称“安全建设整改工作”）奠定了基础。

信息网络安全知识普及教育培训教程互联网信息内容安全管理补充相关的网站管理和备案制度

信息网络安全知识普及教育培训教程互联网信息内容安全管理补充相关的网站管理和备案制度TTA standardization office信息网络安全知识普及教育培训教程互联网信息内容安全管理补充相关的网站管理和备案制度Pleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】第一节互连网信息内容安全管理概述概述?一、互联网信息内容安全管理基本情况二、我国互联网信息内容安全监管体系三、禁止在互联网上传播的信息内容四、互联网信息服务商的内容安全管理责任背景与概念?（1）互联网提供信息服务包括：电子邮件、文件传输、远程登录、查询信息、网络新闻、电子公告（2）对国家安全和社会稳定产生的影响。

（3）概念：以政府、企业和社会各方面为主体，控制互联网上传播的信息内容，禁止有害信息的传播，从而使互联网上的信息内容完整、无害、有序的进行传播。

国外互联网信息内容安全管理经验?一、建立健全法律法规，加强政府管理协调。

二、成立专门机构，防范和打击互联网犯罪。

三、研发应用新技术，为网络信息安全保驾护航。

四、重视和支持行业自律，促进各项业务规范落实。

我国互联网信息内容安全管理的发展过程我国互联网信息内容安全管理的发展过程三阶段：（1）1994年至1999年初始阶段，由于互联网发展处于起步阶段，问题相对较少，相关的管理仅限于一般性规范，内容上也比较笼统模糊。

出台的主要法规：A、国务院147号令：《中华人民共和国计算机信息系统安全保护条例》（简称《条例》）1994年2月18日由国务院发布，这是我国第一部涉及计算机信息系统安全的行政法规。

随后各省纷纷据此制定了地方性法规。

《条例》赋予“公安部主管全国计算机信息系统安全保护工作”的职能。

主管权体现在：（1）监督、检查、指导权；（2）计算机违法犯罪案件查处权；（3）其他监督职权。

国务院195号令?B、国务院195号令:《中华人民共和国计算机信息网络国际联网管理暂行规定》（简称《暂行规定》）1996年2月1日国务院发布，1997年5月20日修正。

信息安全等保培训ppt课件

信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么信息安全等级保护制度要干什么如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中，信息已成为人类宝贵的资源，并且可以通过Internet为全球人类所使用与共享。
应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求主机入侵防范主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警
符合要求主机恶意代码防范
符合内容
应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段
❖ 主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全促发展，在发展中求安全；统筹规划、突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。
13
等级保护制度
（一）信息安全等级保护制度是什么？
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统补丁及时得到更新

信息系统安全等级保护培训-网络安全

信息系统安全等级保护培训-网络安全信息系统安全等级保护培训-网络安全1-培训目的和背景1-1 目的本次培训的目的是提升参与人员的网络安全意识和技能，增强他们应对网络安全威胁的能力，保护信息系统的安全性和可用性。

1-2 背景随着信息化程度的不断提高，网络安全风险也日益复杂和严峻。

为了确保信息系统的安全等级保护，必须加强对网络安全的培训，提升相关人员的网络安全意识和技能。

2-培训内容2-1 网络安全基础知识2-1-1 认识网络安全的概念2-1-2 网络攻击的类型和特点2-1-3 常见的网络安全威胁和漏洞2-1-4 网络安全的重要性和影响2-2 信息系统安全等级保护要求2-2-1 信息系统安全等级保护的基本原则和规定 2-2-2 不同等级保护的要求和措施2-2-3 安全等级划分和评估方法2-3 网络攻击与防御技术2-3-1 常见的网络攻击技术和手段2-3-2 网络防御的基本原理和策略2-3-3 网络安全设备和工具的应用2-4 信息安全管理体系2-4-1 信息安全管理的基本概念和要素2-4-2 信息安全政策和制度2-4-3 信息安全风险评估和处理2-4-4 信息安全培训和宣传教育3-培训方法和形式3-1 培训方法3-1-1 理论讲授3-1-2 实践操作3-1-3 案例分析3-1-4 互动讨论3-2 培训形式3-2-1 线下面授3-2-2 在线培训3-2-3 实地考察和演练4-培训教材和工具4-1 培训教材4-1-1 网络安全教材4-1-2 信息安全管理相关文档 4-2 培训工具4-2-1 计算机、投影仪等设备 4-2-2 网络安全演示软件4-2-3 实验环境和工具5-培训评估和考核5-1 培训评估5-1-1 培训前的知识测试5-1-2 培训过程中的学习评估5-1-3 培训结束后的综合评估5-2 考核方式5-2-1 理论考试5-2-2 实践操作考核5-2-3 项目或案例分析6-培训总结和反馈培训结束后，组织进行总结和反馈，整理培训过程中的问题和改进意见，以提高培训效果。

信息安全等级保护培训教材PPT92页课件

……
TCP/IP IPX/SPX SNMP
……
场地机房网络布线设备存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级方案设计产品使用自行开发系统交付测试验收工程实施软件外包
设介资环密
备质产境码
恶意理
✓ 系统测评：《信息系统安全等级保护测评要求》是针对《信息安全等级保护基本要求》的具体控制要求开发的测评要求，旨在强调系统按照《信息安全等级保护基本要求》进行建设完毕后，检验系统的各项保护要求是否符合相应等级的基本要求。
✓ 由上可见，《信息安全等级保护基本要求》在整个标准体系中起着承上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位：公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、指导。
国家密码管理部门负责等保中有关密码工作的监督、检查、指导。
➢ 确定5个等级，但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级：运营、使用单位根据国家管理规范、技术标准自主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /

信息系统安全等级保护培训课件(PPT 36页)

分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密方案设计指南》 BMB23-2008 涉密信息系统安全保障建设《涉及国家秘密计算机信息系统分级保护指南管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护管理办法》国家保密局16号
敏感信息的办公系统和管理系统）。跨省或全国联网运行的用于生产、调度、管理、控制等
方面的重要系统及在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站 4）四级，国家重要领域、重要部门中的特别重要系统以及核心系统，电力、电信、广电、税务等 5）五级，国家重要领域、重要部门中的极端重要系统
定级要素与等级的关系
对客体的侵害程度受侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级第二级第三级第四级第二级第四级第五级
社会秩序、公共利益
国家安全
确定等级流程
业务信息安全保护等级矩阵表
系统服务安全保护等级矩阵表
系统安全保护等级矩阵表
等级保护的主要工作流程
自主定级和审批
- 信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。 - 在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级保护专家评审委员会评审。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

信息安全等级保护福建省公安厅公共信息网络安全监察总队康仲生一、信息安全等级保护工作概述2.1.1 信息安全等级保护涵义对国家秘密信息、法人和其他组织及公民的专有信息以及公开息和存储、传输、处理这些信息的信息系统分等级实行安全保护。

对信息系统中使用的信息安全产品实行按等级管理。

对信息系统中发生的信息安全事件分等级响应、处置。

2.1.2 开展工作的政策和法律依据1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”--法律依据。

2.1.2 开展工作的政策和法律依据2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。

“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。

同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

2.1.2 开展工作的政策和法律依据公安部、国家保密局、国家密码管理局、国信办联合印发：2004年《关于信息安全等级保护工作的实施意见》(66号文件)2007年6月，《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

制定了包括《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等在内的50多个国标和行标，初步形成了信息安全等级保护标准体系。

2.1.3 信息安全等级保护的重要意义存在突出问题:1、信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；2、信息系统安全建设和管理的目标不明确；3、信息安全保障工作的重点不突出；4、信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善。

2.1.3 信息安全等级保护的重要意义信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结，充分体现“适度安全、保护重点”的原则。

开展信息安全等级保护工作：1、有利于在信息化建设过程中同步建设信息安全设施，保障信息安全和信息化建设相协调；2、有利于为信息系统安全建设和管理提供系统性、针对性、可行的指导和服务；3、有利于保障重点；4、有利于明确责任；5、有利于产业发展；2.1.4 开展等级保护工作的总体要求1、各个基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。

2、公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。

3、对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。

二、明确各方责任义务2.2.1《管理办法》第二条明确了国家的责任国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

信息安全监管部门包括公安机关、保密部门、国家密码工作部门。

信息安全监管部门代表国家制定等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

2.2.2《管理办法》第三条明确了信息安全监管部门的职责公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

2.2.3《管理办法》第四条、第五条明确了信息系统主管部门和运营使用单位的责任义务信息系统主管部门应当依照《管理办法》及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

信息系统的运营、使用单位应当依照《管理办法》及其相关标准规范，履行信息安全等级保护的义务和责任。

2.2.4 公民、法人和其他组织的责任义务公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。

信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。

三、信息系统安全保护等级的划分与保护2.3.1“自主定级、自主保护”与国家监管《管理办法》第六条规定，国家信息安全等级保护工作坚持“自主定级、自主保护”的原则。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，自主确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，自主对信息系统进行保护。

在等级保护工作，信息系统运营使用单位和主管部门要按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

2.3.2 信息系统安全保护等级的定级要素信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

受侵害的客体：1、公民、法人和其他组织的合法权益；2、社会秩序、公共利益；3、国家安全。

对客体的侵害程度：1、造成一般损害；2、造成严重损害；3、造成特别严重损害。

2.3.3 信息系统安全保护等级四、信息系统安全保护等级的确定与实施2.4.1 定级范围一是电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

二是铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

三是市（地）级以上党政机关的重要网站和办公信息系统。

四是涉及国家秘密的信息系统。

电信基础信息网络也是重要信息系统2.4.2 系统定级2.4.2 系统定级定级是等级保护工作的首要环节，是开展信息系统建设、改、测评、备案、监督检查等后续工作的重要基础。

信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。

需要特别说明的是：信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。

2.4.2.1 定级工作的步骤第一步：摸底调查，掌握信息系统底数。

（信息系统的业务类型、应用或服务范围、系统结构基本情况）第二步：确定定级对象第三步：初步确定信息系统等级2.4.2.2 定级的一般流程信息系统安全包括业务信息安全和系统服务安全。

信息安全是指:确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指:确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。

业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。

从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。

从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。

由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。

2.4.2.3 定级基本流程2.4.2.4 定级阶段-关于定级对象确定一、定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。

满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。

应避免将某个单一的系统组件, 如单台的服务器、终端或网络设备等作为定级对象。

2.4.2.4 定级阶段-关于定级对象确定承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。

2.4.2.4 定级阶段-关于定级对象确定准确确定定级对象。

在定级工作中，如何科学、合理地确定定级对象是最关键的问题。

这里首先要明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。

具体工作中，应按如下原则确定定级对象：一、起支撑、传输作用的基础信息网络要作为定级对象。

但不是将整个网络作为一个定级对象，而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。