@怪人
3年前 提问
1个回答

等级保护的定级方法是什么

上官雨宝
3年前

第一步: 确定定级对象

定级对象应当具备以下条件:

  • 具有确定的主要安全责任主体

  • 承载相对独立的业务应用

  • 包含相互关联的多个资源

确定定级对象可通过以下工作进行:

1)系统识别和描述

  • 识别基本信息

  • 识别管理框架

  • 识别业务种类和业务流程

  • 识别信息资产

  • 识别网络结构

  • 识别软硬件设备

  • 识别用户类型和分布

2)信息系统划分

  • 分析安全管理责任,确定管理边界

  • 分析网络结构和已有内外部边界

  • 分析业务流程和业务间关系

  • 初步划定信息系统

  • 各信息系统描述

系统识别

  • 识别单位基本信息
  • 识别管理框架
  • 识别业务种类和业务流程
  • 识别信息
  • 识别网络结构
  • 识别主要的软硬件设备
  • 识别用户类型和分布

系统划分

  • 分析安全管理责任,确定管理边界
  • 分析网络结构和已有内外部边界
  • 分析业务流程和业务间关系

系统划分方法

  • 管理机构
  • 业务特点
  • 分析物理位置的差异

第二步:确定受侵害客体

  • 业务信息受到破坏后的侵害客体

  • 系统服务受到破坏后的侵害客体

  • 多种信息和多种服务系统的处理

第三步:确定对客体的侵害程度

  • 业务信息受到破坏后对客体的侵害程度

  • 系统服务受到破坏后对客体的侵害程度

  • 多种信息和多种服务系统的处理

综合判定侵害程度 :

  • 如果受侵害客体是公民、法人或其他组织的合法权益,则以本 人或本单位的总体利益作为判断侵害程度的基准。

  • 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整 个行业或国家的总体利益作为判断侵害程度的基准。

第四步:确定业务信息安全等级和系统服务安全等级

第五步:初步确定系统安全保护等级