涉密信息系统分级保护系统分析包括哪些内容
涉密信息系统分级保护系统分析包括以下内容:
系统建设使用情况:首先从单位业务职责、组织结构、地域分布和人员情况四方面对涉密信息系统建设使用单位的情况进行分析。分析系统建设使用单位情况可从一定程度上反映该系统属性,如系统的涉密程度。进行业务职责分析时,说明单位行政级别与单位性质,特别指出属于需加强防护措施的单位,如省级(含)以上党政首脑机关、国防、外交、国家安全,以及军工等部门,以此判定系统重要性。
系统物理环境分析:需要考虑涉密信息系统所处的周边环境,尤其要注意周边是否存在涉外场所、商业、娱乐、旅游、餐饮、宾馆等公共场所和居民区等,明确单位保卫部门能够有效控制的边界范围和能够采取的控制措施。
网络平台分析:需要描述网络覆盖范围、网络拓扑结构、系统边界与安全域现状和线缆、设备隔离情况等。在分析中要注意掌握网络类型、传输介质等涉密信息系统的网络拓扑结构,形成详尽的网络拓扑图。
软硬件分析:系统内使用的硬件资源包括服务器、用户终端、传输介质、网络设备、安全保密设备以及其他用于系统支撑保障、办公自动化业务、特殊业务用途的硬件设备。应重点关注设备的安全保密性能,对设备的生产厂商、产品型号、资质证明、选用数量、主要用途、存储信息的密级、安全责任人、使用对象等情况必须完全掌握。
信息资源与应用系统分析:对信息资源分析时,需将所有信息类别加以列举,明确信息在系统内产生、存储、处理、传输、归档和销毁等生命周期内的变化情况。通过对信息资源种类、信息密级、数量、增长趋势、信息来源、存储策略、用户范围、访问权限、传输策略、消除或销毁策略的描述,明确涉密信息的保护重点。
系统管理分析:对于每个应用系统,都应列出负责管理的机构及其管理职责;对于每个参与涉密信息系统管理的人员,特别是管理机构负责人、系统管理员、安全保密管理员、安全审计员、密钥管理员等,需结合建设使用单位的安全保密管理制度,落实管理职责、管理权限。