@怪人
3年前 提问
1个回答
等级保护的定级方法是什么
上官雨宝
3年前
第一步: 确定定级对象
定级对象应当具备以下条件:
具有确定的主要安全责任主体
承载相对独立的业务应用
包含相互关联的多个资源
确定定级对象可通过以下工作进行:
1)系统识别和描述
识别基本信息
识别管理框架
识别业务种类和业务流程
识别信息资产
识别网络结构
识别软硬件设备
识别用户类型和分布
2)信息系统划分
分析安全管理责任,确定管理边界
分析网络结构和已有内外部边界
分析业务流程和业务间关系
初步划定信息系统
各信息系统描述
系统识别
- 识别单位基本信息
- 识别管理框架
- 识别业务种类和业务流程
- 识别信息
- 识别网络结构
- 识别主要的软硬件设备
- 识别用户类型和分布
系统划分
- 分析安全管理责任,确定管理边界
- 分析网络结构和已有内外部边界
- 分析业务流程和业务间关系
系统划分方法
- 管理机构
- 业务特点
- 分析物理位置的差异
第二步:确定受侵害客体
业务信息受到破坏后的侵害客体
系统服务受到破坏后的侵害客体
多种信息和多种服务系统的处理
第三步:确定对客体的侵害程度
业务信息受到破坏后对客体的侵害程度
系统服务受到破坏后对客体的侵害程度
多种信息和多种服务系统的处理
综合判定侵害程度 :
如果受侵害客体是公民、法人或其他组织的合法权益,则以本 人或本单位的总体利益作为判断侵害程度的基准。
如果受侵害客体是社会秩序、公共利益或国家安全,则应以整 个行业或国家的总体利益作为判断侵害程度的基准。