欢迎来到天天文库
浏览记录
ID:42342072
大小:1.54 MB
页数:72页
时间:2019-09-13
《信息安全等级保护(电子政务信息系统如何定级)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全等级保护电子政务信息系统如何定级陈冠直目录信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例信息系统安全保护等级的依据开展安全等级保护工作依据的政策和法律依据国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《信息安全等级保护管理办法》(公通字[2007]43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)《关于印发北京市开展信
2、息安全等级保护工作的实施方案的通知》(京公网监字[2007]788号)信息系统安全保护等级的依据开展安全等级保护工作的技术依据基础标准:《计算机信息系统安全等级保护划分准则》(GB17859)基线标准:信息系统安全等级保护基本要求(国标报批稿)辅助标准:定级指南、实施指南、测评要求(国标报批稿)目标标准:《信息系统通用安全技术要求》(GB/T20271)《网络基础安全技术要求》(GB/T20270)《操作系统安全技术要求》(GB/T20272)《数据库管理系统安全技术要求》(GB/T20273)《终端计算机系统安全等级技
3、术要求》(GA/T671)《信息系统安全管理要求》(GB/T20269)《信息系统安全工程管理要求》(GB/T20282)产品标准:防火墙、入侵检测、终端设备隔离部件等信息系统安全保护等级的依据信息系统安全保护等级的依据等级确定原则和要求“自主定级、自主保护”与国家监管相统一原则“谁主管谁负责,谁运营谁负责”的原则定级工作的要求加强领导,落实保障明确责任,密切配合动员部署,开展培训及时总结,提出建议信息系统安全保护等级的依据定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其
4、他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级目录信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例信息系统安全保护等级的确定定级工作的主要步骤第一步,摸底调查,掌握信息系统底数第二步,确定定级对象第三步,初步确定信息系统等级第四步,信息系统等级评审第五步,信息系统等级的最终确定与审批信息系统安全保护等级的确定第一步,摸底调查,掌握信息系统底数-1按照《定级工作通知》确定的定级范围各单位、各部门可以组织开展对所属信息系
5、统进行摸底调查,摸清信息系统底数掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况为下一步明确要求、落实责任奠定基础。信息系统安全保护等级的确定第一步,摸底调查,掌握信息系统底数-2识别单位基本信息识别管理框架识别业务种类、流程和服务识别信息识别网络结构和边界识别主要的软硬件设备识别用户类型和分布信息系统安全保护等级的确定摸底调查-1)识别单位基本信息调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况具有上级主管机构(如果有)的信息作用:有助于判断单位
6、的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位信息系统安全保护等级的确定摸底调查-2)识别管理框架调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责了解信息系统的管理、使用、运维的责任部门当单位的信息系统存在分布于不同的物理区域的情况时,应了解不同区域系统运行的安全管理责任安全管理的责任单位就是等级保护备案工作的责任单位作用:有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。信息系统安全保护等级的确定摸底调查-3
7、)识别业务种类、流程和服务调查了解定级对象信息系统内部处理多少种业务,各项业务具体要完成的工作内容、服务目标和业务流程等,不同信息系统之间的业务关系了解这些业务与单位职能的关联,单位对定级对象信息系统完成业务使命的期待和依赖程度,由此判断该信息系统在单位的作用和影响程度。应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面作用:这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级
8、结果的重要依据信息系统安全保护等级的确定摸底调查-4)识别信息调查了解定级对象信息系统所处理的信息,及对信息的三个安全属性的需求了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化根据系统不同业务数据可能是用户
此文档下载收益归作者所有