信息安全等级保护操作指南和操作流程.doc
信息安全技术 信息系统安全保护等级定级指南 (GB.doc
信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22239—2008《信息系统安全等级保护基本要求》;——国家标准《信息系统安全等级保护实施指南》;——国家标准《信息系统安全等级保护测评准则》。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全(GB/T 5271.8—2001,idt ISO/IEC 2382-8:1998)GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
信息系统安全等级保护一级定级指南表
信息系统安全等级保护一级定级指南表下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!信息系统安全等级保护一级定级指南详解在信息化时代,信息安全成为了各行各业关注的重点。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
XXX信息系统网络安全等级保护指南(二级)
XXX信息系统网络安全等级保护指南(二级)1. 引言本指南旨在规范XXX信息系统的网络安全等级保护工作,确保系统的稳定运行和保护敏感信息的安全。
该指南适用于XXX信息系统的所有相关人员,包括管理员、操作人员和维护人员。
2. 等级划分XXX信息系统网络安全等级分为一级、二级和三级。
本指南主要针对二级网络安全等级的保护措施进行说明。
3. 二级网络安全等级保护要求3.1 防火墙配置所有与XXX信息系统相连的网络入口处应配置防火墙设备,以限制非授权访问和防御网络攻击。
3.2 访问控制对XXX信息系统的访问应进行严格的身份认证和授权管理,包括密码强度要求、账户锁定机制和访问权限控制等措施。
3.3 数据加密对敏感信息进行加密处理,确保数据在传输和存储过程中的安全性。
采用可靠的加密算法和安全协议,防止信息被窃取或篡改。
3.4 安全审计实施网络日志管理和安全审计,记录系统的操作行为和安全事件,及时发现和处置潜在的安全威胁。
4. 安全运维措施4.1 漏洞扫描定期进行系统漏洞扫描,及时发现系统中存在的漏洞,对漏洞进行修复或补丁升级。
4.2 病毒防护安装可靠的病毒防护软件,对系统进行实时监测和扫描,及时清除病毒或恶意代码。
4.3 系统备份定期对XXX信息系统进行数据备份,确保系统发生故障时可以快速恢复。
5. 应急响应建立健全的网络安全事件应急预案,定期组织应急演练,提高应对网络安全事件的能力和效率。
6. 结束语XXX信息系统网络安全等级保护指南(二级)的实施是保障信息系统安全和保护敏感信息的重要措施。
相关人员应严格按照本指南中的要求进行操作和维护,做好系统的网络安全工作。
信息安全技术信息系统安全等级保护实施指南.doc
汤阴县人民法院信息化设备采购项目合同书合同编号:甲方:汤阴县人民法院乙方:郑州四通系统集成有限公司签订地点:汤阴县人民法院签订时间:年月日甲方:汤阴县人民法院乙方:郑州四通系统集成有限公司甲、乙双方根据年月日发布的招标编号为:汤财招标采购【2018】128号“汤阴县人民法院信息化设备采购项目”的中标公告通知书及其相关文件,并经双方协商一致,按照《中华人民共和国合同法》的有关规定达成以下合同条款:一、项目名称:汤阴县人民法院信息化设备采购项目二、项目范围:包含设备安装调试、培训、售后服务等1.合同文件的组成下列文件是构成本合同不可分割的部分:(1)乙方提交的投标文件;(2)投标供货报价一览表;(3)中标通知书;(4)合同条款;2.合同范围和条件本合同的范围和条件应与上述合同文件的规定相一致。
三、合同总价:壹佰陆拾柒万玖仟玖佰元整(¥:1679900.00)。
分项报价见合同附件(设备清单)。
四、质量要求及乙方对质量负责条件和期限:乙方应提供全新设备(包括零部件、附件、备品备件),设备必须符合产品质量标准要求。
乙方在此保证全部按照合同规定的时间和方式向甲方提供货物和服务,并负责可能的弥补缺陷。
甲方对设备规格型号有异议的应在收到货物后 3 日内以书面形式向乙方提出。
五、售后服务承诺保修期限:自交付使用之日起,乙方对整个系统提供为期三年的免费技术服务(人为因素除外,人为造成损坏的维修费用由甲方承担),系统的硬件设备的保修期依据厂家保修手册执行。
六、工期及进度:合同生效后,乙方应于年月日前按甲方要求在甲方指定的地点完成设备的安装调试,设备运送的费用由乙方负责。
甲方应在设备到达指定地点后,提供符合安装条件的场地、电源、环境等。
七、培训:为了使甲方更好地掌握系统的使用与维护方法,乙方为甲方提供现场培训计划。
鉴于本合同的有关条款,我们提供免费的现场的培训。
培训人员:甲方IT部门,行政部门等直接管理和操作的人员若干。
信息安全等级保护实施方案
信息安全等级保护实施方案根据国家相关法律法规和政策要求,结合公司实际情况,为保障信息系统和重要信息资产的安全,提出以下信息安全等级保护实施方案:一、信息安全等级保护的基本原则1. 可追溯性原则:所有信息系统的访问和操作行为都应该被记录并可追溯。
2. 有权限访问原则:对不同信息系统中的重要信息资产,应该设定不同的访问权限。
3. 安全传输原则:对于重要的信息传输,应该采用加密等安全技术,保障传输过程的安全。
4. 安全审计原则:对信息系统进行定期的安全审计,发现和解决安全问题。
二、信息安全等级保护的实施步骤1. 划分信息安全等级:对公司的信息资产进行调查和评估,划分出不同的安全等级,确定不同等级的保护要求。
2. 制定安全策略:根据不同等级的保护要求,制定信息安全相关的策略和规定,包括权限管理、加密传输、安全审计等。
3. 技术保障措施:对信息系统进行技术加固,包括设立防火墙、入侵检测系统、安全补丁等。
4. 培训和教育:对公司员工进行信息安全教育,提高员工的信息安全意识,减少安全漏洞产生的可能。
三、信息安全等级保护的监督管理1. 设立信息安全管理部门:专门负责信息安全管理的部门,负责信息安全等级保护的制定和执行。
2. 分级管理:根据信息安全等级的要求,对各个部门的信息系统进行分级管理,并进行监督检查。
3. 安全事件处理:对于发生的安全事件,及时进行处理,并进行安全事件的分析和总结,防止类似事件再次发生。
以上就是信息安全等级保护的实施方案,希望能够有效保障公司的信息资产安全。
信息安全等级保护是任何企业都需要高度重视的重要工作。
通过制定严格的保护措施和实施方案,可以有效地防范各类安全风险,保护企业的核心机密信息不被泄露、篡改或丢失。
在实施方案中,重要的是要明确责任分工,确保每个环节都得到有效的监管和跟踪。
首先,在信息安全等级保护的实施过程中,需要建立健全的安全管理体系,明确各级管理人员的安全责任,确保安全政策得到全面贯彻执行。
信息安全技术信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护定级指南在当今数字化的时代,信息系统已经成为了企业、组织乃至整个社会运转的重要支撑。
然而,伴随着信息系统的广泛应用,信息安全问题也日益凸显。
为了保障信息系统的安全稳定运行,保护公民、法人和其他组织的合法权益,我国制定了信息系统安全等级保护制度。
其中,定级是等级保护工作的首要环节和关键步骤,它决定了信息系统所需采取的安全保护措施和投入的资源。
本文将为您详细介绍信息系统安全等级保护定级的指南。
一、信息系统安全等级保护定级的重要性信息系统安全等级保护定级是对信息系统的重要性和潜在风险进行评估和划分等级的过程。
其重要性主要体现在以下几个方面:1、明确安全责任:通过定级,能够明确信息系统所有者、运营者和使用者在信息安全方面的责任和义务,确保各方对信息安全工作有清晰的认识和目标。
2、合理配置资源:根据信息系统的等级,合理分配安全防护资源,避免过度投入或投入不足,提高安全防护的效率和效果。
3、提高安全意识:定级过程能够促使相关人员增强对信息安全的重视,提升整体的安全意识和防范能力。
4、满足法律法规要求:符合国家关于信息安全等级保护的法律法规和政策要求,避免因未履行相关义务而面临法律风险。
二、信息系统安全等级保护定级的原则在进行信息系统安全等级保护定级时,需要遵循以下原则:1、自主定级原则:信息系统的运营使用单位应当按照相关标准规范,自主确定信息系统的安全保护等级。
2、客观公正原则:定级过程应当基于信息系统的实际情况,客观、公正地评估其重要性和潜在风险,不受主观因素的干扰。
3、科学合理原则:采用科学的方法和手段,综合考虑信息系统的业务特点、数据类型、用户规模等因素,合理确定等级。
4、动态调整原则:信息系统的安全保护等级应根据其变化情况进行动态调整,确保等级的准确性和有效性。
三、信息系统安全等级保护的等级划分信息系统安全等级保护分为五级,从低到高依次为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南为了确保信息系统的安全性,保护敏感数据和减少安全风险,组织需要制定相应的信息系统安全等级保护实施指南。
以下是一些实施指南的建议:1. 确定信息系统的安全等级首先,组织需要对其信息系统进行评估,以确定其安全等级。
安全等级的确定通常基于系统中所存储、处理和传输的信息的敏感程度和重要性。
根据不同的安全等级,组织可以制定相应的安全控制措施。
2. 制定安全策略和流程建立信息系统安全策略和流程是保障信息系统安全的关键。
这些策略和流程应该包括对安全等级的定义、安全控制措施的实施、事件管理、恢复计划等方面的规定。
3. 实施访问控制访问控制是信息系统安全的重要组成部分。
组织应该实施身份验证和授权措施,以确保只有经过授权的用户才能访问敏感信息。
4. 加密敏感数据对于高安全等级的信息系统,组织应该考虑对敏感数据进行加密。
加密可以有效地保护数据,防止其在传输或存储过程中被窃取或篡改。
5. 实施安全审计和监控定期对信息系统进行安全审计和监控,及时发现和应对安全事件。
这些活动可以帮助组织发现系统中可能存在的漏洞和威胁,并采取相应的措施加以应对。
6. 培训员工组织应该定期为员工提供关于信息系统安全的培训,加强员工对安全意识的培养,确保他们能够遵守安全策略和流程,避免因为操作失误造成安全风险。
总之,信息系统安全等级保护实施指南是确保信息系统安全的重要工具。
通过制定相应的安全策略和流程,实施适当的安全控制措施,加强对安全事件的监控和应对,组织可以有效地保护其信息系统的安全。
7. 实施安全漏洞管理及时修补安全漏洞是保护信息系统安全的重要步骤。
组织应该建立漏洞管理流程,对系统中发现的漏洞进行跟踪、分析和修补,以保障系统的安全性。
8. 建立数据备份和恢复机制数据备份是防范信息系统风险的重要手段。
组织应该制定详细的数据备份策略,并确保备份数据的安全性和可靠性。
同时,组织还需要建立完善的数据恢复机制,以应对系统遭受攻击或故障时能够及时恢复。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25号文件)《信息安全等级保护管理办法》(公通字【2007】43号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程图1-1 信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。
信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
1.3.1.1调查工具表通常,信息系统调查工具表包括系统资产调查表、系统应用调查表、和管理信息调查表等。
●系统资产调查表用于调查信息系统的基本情况,主要包括主机、网络设备、人员、人员、服务等信息。
在调查过程中,可以得到系统资产的基本信息、主要用途、重要程度、服务对象等相关信息。
●系统应用调查表用于明确系统应用的基本状况。
明确各个系统应用的拓扑信息、边界信息、应用架构、数据流等基本情况,为确定和分析定级对象提供详细信息。
●管理信息调查表用于明确信息系统的组织结构、隶属关系等管理信息。
1.3.1.2调查方法信息系统调查的实施包括信息收集、访谈和核查三个步骤。
●信息收集协助信息系统使用管理单位完成系统资产调查表填写工作,同时收集信息系统所涉及的一系列●访谈核查对调查表中的信息进行验证的过程,验证包括检查和测试等方式。
1.3.2确定定级对象一个单位可能运行了比较庞大的信息系统,为了重点保护重要部分,有效控制信息安全建设和管理成本,优化信息安全资源配置等保护原则,可将较大的信息系统划分为若干个较小的、相对独立的、具有不同安全保护等级的定级对象。
这样,可以保证信息系统安全建设能够突出重点、兼顾一般。
1.3.2.1基本原则如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
主要划分原则有:一、具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
二、具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
三、承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
1.3.2.2信息系统的划分方法一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:一、相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略。
二、相同的业务类型信息系统内的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略。
三、相同的物理位置或相似的运行环境信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护。
1.3.3定级要素分析通过针对定级对象分别进行业务信息安全分析和系统服务安全分析,最终确定信息系统安全等级保护系统等级。
在进行业务信息安全分析和系统服务安全分析时,充分考虑行业特点、业务应用特点等因素,细化受侵害客体组成及损害程度判定要素,从而确保信息系统定级的合理准确。
1.3.3.1定级流程根据定级流程,在定级要素分析时需对业务信息安全等级和系统服务安全等级进行分析,分析内容包括确定受侵害的客体、确定对客体的侵害程度,从而确定相应的业务信息安全等级和系统服务安全等级。
最后,综合业务信息安全等级和系统服务安全等级得到信息系统安全等级保护系统等级。
1.3.3.2确定受侵害客体定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益及公民、法人和其他组织的合法权益。
●国家安全⏹影响国家政权稳固和国防实力;⏹影响国家统一、民族团结和社会安定;⏹影响国家对外活动中的政治、经济利益;⏹影响国家重要的安全保卫工作;⏹影响国家经济竞争力和科技实力;⏹其他影响国家安全的事项。
●社会秩序⏹影响国家机关社会管理和公共服务的工作秩序;⏹影响各种类型的经济活动秩序;⏹影响各行业的科研、生产秩序;⏹影响公众在法律约束和道德规范下的正常生活秩序等;⏹其他影响社会秩序的事项。
●公共利益⏹影响社会成员使用公共设施;⏹影响社会成员获取公开信息资源;⏹影响社会成员接受公共服务等方面;⏹其他影响公共利益的事项。
●公民、法人和其他组织⏹由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益的关系,从而确定信息和信息系统受到破坏时所侵害的客体。
1.3.3.3确定对客体的损害程度在针对不同的受侵害客体进行侵害程度的判断时,应参照以下的判别基准。
●如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准。
●如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度危害程度描述如下:●一般损害工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
●严重损害工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
1.3.3.4确定定级对象的安全保护等级在确定完成受侵害客体以及对客体的侵害程度后,依据表1分别确定业务信息安全等级和系统服务安全等级。
作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。
表1 定级要素与安全保护等级的关系1.3.4编写定级报告根据定级过程和定级结果,编写初步信息系统定级报告。
1.3.5协助定级备案在完成初步定级报告后,协助信息系统管理使用单位进行评审与审批,并最终确定定级报告,完成信息系统备案工作。
2等级测试2.1工作内容等级测评是信息安全等级保护实施中的一个重要环节。
等级测评是指具有相关资质的、独立的第三方评测服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。
2.2依据标准《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护基本要求》《信息系统安全等级保护定级指南》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》《信息安全技术信息系统通用安全技术要求》《信息安全技术网络基础安全技术要求》《信息安全技术操作系统安全技术要求》《信息安全技术数据库管理系统安全技术要求》《信息安全技术服务器技术要求》《信息安全技术终端计算机系统安全等级技术要求》2.3等级评测内容2.3.1基本内容对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。
工作单元分为安全技术测评和安全管理测评两大类。
安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。