@苏苏
3年前 提问
1个回答
等级保护如何确定定级对象
安全侠
3年前
一是起支撑、 传输作用的基础信息网络要作为定级对象。但不是将整个网络作为个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是专网、内网、外网等网络系统(包括网管系统)要作为定级对象。同基础信息网络样,也不能将整个网络系统作为一一个定级对象,而是要从安全管理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级。
三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。
五是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部(的要求开展后续安全保护工作。
六是具有信息系统的基本要素,作为定级对象的信息系统应该是由相关的和配套的设备、设施按照定的应用目标和规则组合而成的有形实体。应避免将某个单的系统组件(如服务器、終端、网络设备等)作为定级对象。