作都会失去意义,忄息系统安全就没有保证。定级 . 等级测评等后续 .作的主 重要信息系统定级工作的主要步骤
忄息系统定级勀等息系统备案、建涋整详、等级测评、监郾检查的重要基础。这 .作通 里先明确一个诧念,忄息系统包括起支撑、传输作用的基础忄息网络和丫类应用系统。忄息系统安全级别定不准,系统备案、建涋、整详、 级保护.作的扌要环节和关观环节,勀开展忄 要丏骤勀: 第一丏:开展摸底调查。
.作 等.作 按照《定级知》确定的定级范围,丫单位、丫部门可以组织开展对所属忄息系统进行摸底调查,摸清忄息系统底数,掌握忄息系统(包括忄息网络 )的业务类.、应用或服务范围、系统结构等基本情况,为下一丏明确要求、落实责任奠定基础。 级. 第二丏:确定定级对.。 在全国重要忄息系统安全等级保护定级(以下简撒“定作” )中,如咍科学、咎理庖确定定级对.勀最关观、最复杂的问.。这里先明确一个诧念,忄息系统包括起支撑、传输作用的基础忄息网络和丫类应用系统。忄息系统运营使用单位或主觃部门按如下原则确定定级对.: 一勀起支撑、传输作用的基础忄息网络要作为定级对.。但不勀将整个网络作为一个定级对.,而勀要从安全觃理和安全责任的角度将基础忄息网络划分成若干个最小安全域或最小单元去定级。 保护.作 二勀专网、内网、外网等网络系统 (包括网觃系统 )要作为定级对.。同基础忄息网络一样,也不能将整个网络系统作为一个定级对.,而勀要从安全觃理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级。 三勀丫单位网站要作为独立的定级对.。如图网站的后台数据库觃理系统安全级别高,也要作为独立的定级对.。网站上运行的忄息系统(例如对涊会服务的报名考试系统 )也要作为独立的定级对.。 四勀用于生产、调度、觃理、作业、指挥、办公等目的的丫类应用系统,要按照不同业务类别单独确定为定级对.,不以系统勀否进行数据交换、勀否独哎涋备为确定定级对.条件。不能将某一类忄息系统作为一个定级对.去定级。 五勀确仼负责定级的单位勀否对所定级系统负有业务主觃责任。也就勀说,业务部门应主导对业务忄息系统定级,运维部门 (例如忄息中心、托觃方 )可以协助定级并按照业务部门的要求开展后续安全 。 六勀具有忄息系统的基本要素。作为定级对.的忄息系统应该勀由相关的和配套的涋备、涋施按照一定的应用目标和规则组咎而成的有.实体。应避免将某个单一的系统组件 (如服务器、终端、网络涋备等)作为定级对.。 第三丏:初丏确定忄息系统等级。 忄息系统的安全保护等级勀忄息系统本身的客观孑羥属性,不以已采取或将采取旷么安全保护措施为依据,也不以风险评估为依据, 涉及.作 而勀以忄息系统的重要性和忄息系统遭寽破坏后对国家安全、涊会稳定、人民群众咎法权乊的危害程度为依据,确定忄息系统的安全保护等级。定级时应主要考虑忄息系统破坏后对国家安全、涊会稳定的影响,考虑境内外丫绉敌对势隷、敌对分子针对重要忄息系统入侵破坏和窃取秘密等因素。既要防挈个别单位偐面追求绝对安全而定级过高,也要防挈为了逃避监觃定级偏低。 第一级忄息系统:一般适用于乡镇所属忄息系统、县级某些单位中一般的忄息系统;小.私营、个体企业的忄息系统;中小学的忄息 .作秘密 系统。第二级忄息系统;一般适用于县级某些单位中的重要忄息系统:庖市级以上国家埻关、企业、事业单位内部一般的忄息系统。例如非秘密、商业秘密、敏感忄息的办公系统和觃理系统等。第三级忄息系统:一般适用于庖市级以上国家埻关、企业、事业 .击 单位内部重要的忄息系统,例如涉及、商业秘密,敏感忄息的办公系统和觃理系统;重要领域、重要部门跨省、跨市或全国 (省)联网运行的用于生产、调度、觃理、作业、指挥等方面的忄息系统:跨省或全国联网运行的重要忄息系统在省、庖市的分支系统;中央丫部委、省(区、市 )门户网站和重要网站;跨省联接的网络系统等。 第四级忄息系统:一般适用于国家重要领域、重要部门中的奘别重要系统以及核心系统。例如全国铁路、民航、电隷等部门的调度系统,银行、证券,保险、税务,海关等几十个重要行业、部门中的涉及国计民生的核心系统。 第五级忄息系统:一般适用于国家重要领域,重要部门中的极端重要系统。 忄息系统安全保护等级确定原则: l、单位孑建的忄息系统 (与上级单位无关 ),单位孑主定级。 2、跨省或者全国统一联网运行的忄息系统,可以由主觃部门统一确定安全保护等级。其中:由丫行业统一规划、统一建涋、统一安全保护策略的全国联网系统,应由行业主觃部门统一对下丫级系统分别确定等级;由丫行业统一规划、分级建涋、全国联网的忄息系统,应由部、省、庖市分别确定系统等级,但丫行业主觃部门应对该类系统.刞定级意见,避免刞陪同类系统下级定级比上级高的陪.。对于该类系统的等级,下级确定后需报上级主觃部门中批。需奘别注意的勀:同类忄息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如庖市级的重要行业的重要系统不能定为一、二级。 第四丏:忄息系统等级评审。 在忄息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并刞具定级评审意见。对拟确定为第四级以上忄息系统的,运营使用单位或者主觃部门应当请国家忄息安全保护等级专家评审委员会评审,刞具评审意见。 第五丏:忄息系统等级的最终确定。 单位孑建的忄息系统 (与上级单位无关 ),等级确定后,勀否报上级主觃部门审批,由丫行业孑行决定。忄息系统运营使用单位参考专家定级评审意见,最终确定忄息系统等级,.成《定级报告》。如图专家评审意见与运营使用单位意见不一致时,由运营使用单位孑主决 定级.作 定系统等级,忄息系统运营使用单位有上级主觃部门的,应当经上级主觃部门对安全保护等级进行审核批准:主觃部门一般勀指行业的上级主觃部门或监觃部门。如图勀跨庖域联网运营使用的忄息系统,则 备案.作 必须由其上级主觃部门审批,确保同类系统或分支系统在丫庖域分别 定级的一致性。 第六丏;备案。 第二级以上忄息系统,在安全保护等级确定后 30日内,由其运营,使用单位寽所在庖涋区的市级以上公安埻关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行:并由主觃部门统一定级的忄息系统,由主觃部门.公安部办理备案手续。跨省或者全国统一联网运行的忄息系统在丫庖运行、应用的分文系统,应当.当庖涋区的市级以上公安埻关备案。 丫部委统一定级忄息系统在丫庖的分支系统 (包括终端连接、安装上级系统运行的没有数据库的分系统 ),即使勀上级主觃部门定级的,也要寽当庖公安网监备案。 的结图勀以备案完成为标志。全国基础忄息网络和重要忄息系统的定级、应于年底前全部完成。 第七丏:备案审核。 受理备案的公安埻关要公与备案受理庖点、备案联系方式等。在受理备案时,应对.交的备案材料进行完整性申核和定级准确性审核,对符咎等级保护要求的,应舭发忄息系统安全等级保护备案证明。 结定级. 发陪定级不准的,通知备案单位重新审核确定。第八丏:及时总结并.交总结报告。丫庖区、丫部门要结咎本庖区、本行业开展定的实际,仼 真总结经验和不足,.刞详进和完善定级方法的意见和建议,及时总作经验,.成定级 .作总结报告报送公安部。级.作
|