@哈哈鱼
2年前 提问
1个回答
计算机等级保护如何评审
X0_0X
2年前
计算机等级保护的评审包括以下内容:
各单位应该自己确定定级对象,对自己单位的所有系统进行一个梳理,对每一个系统进行一个初步预定级。
如果认为该系统应该为二级以上,应该进行专家评审,但是很多单位对于自己单位的系统的重要程度,被破坏后的危害认识存在很多主观因素,或者认识不够,因此建议所有的系统都应该做专家评审,否则某个单位系统假如说有几十个,主观认为都是一级,那就进行不到专家评审这一环节了,违背了定级的思想了,所以,在专家评审时,应该对所有系统进行定级评审。避免出现二级(含二级)以上系统没有定级备案的情况,避免因为信息系统没有定级备案而被违法处罚。
专家评审后有主管部门的报主管部门审核,审核后出具定级审批意见后,报给公安机关备案审查,公安机关属于终审,如果公安机关认为仍然定级不准备,则重新定级。
公安机关审核通过后,最终确定等级,出具备案证明。
专家评审注意问题:
专家评审的时候,不是审查备案表和定级报告的瑕疵,文件的毛病,而是看系统的安全性,看系统是否缺少了什么安全防护设备。
专家的主要职责是根据系统的重要程度,根据系统被破坏后产生的影响后果去确定系统的级别,这才是专家评审的意义。其实系统定级是一件比较难,也非常重要的工作。系统级别确定后,系统就要按照这个标准去建设,去防护。
专家评审时,应该对系统的边界划分清楚。有些单位习惯把一些系统合并成为一个系统,专家应该审核这种合并的合理性。
在评审表中应该考虑系统服务安全和系统业务安全,并认清对应的级别。
在评审时,很多单位会把所有的系统都拿出来评审,对于认定为一级的系统也应该在专家评审意见中写明原因。不能只写二级以上的评审意见。