您的位置:360文档中心› 4.9.1、XX信息系统等级保护定级和备案管理

4.9.1、XX信息系统等级保护定级和备案管理

合集下载

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。

信息安全等级保护备案工作实施细则(参考Word)

信息安全等级保护备案工作实施细则(参考Word)

信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作,规范备案受理、审核和管理等工作,根据《信息安全等级保护管理办法》制定本实施细则。

第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。

第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。

隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。

第四条隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。

隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。

跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

第五条受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。

第六条信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。

办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。

第七条备案时应当提交《信息系统安全等级保护备案表》(以下简称《备案表》)(一式两份)及其电子文档。

第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

第八条公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在五日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。

信息系统安全等级保护备案表

信息系统安全等级保护备案表

信息系统安全等级保护备案表一、信息系统基本情况。

1. 信息系统名称,XXXX系统。

2. 信息系统所属单位,XXXX公司。

3. 信息系统类型,企业内部管理系统。

4. 信息系统功能,包括人事管理、财务管理、生产管理等功能模块。

5. 信息系统规模,涉及公司内部所有部门和员工。

6. 信息系统安全等级,属于中等安全等级。

二、信息系统安全等级保护责任人。

1. 信息系统安全等级保护责任人,XXX(姓名)、XXX(职务)。

2. 信息系统安全等级保护责任人联系方式,XXXXX。

三、信息系统安全等级保护措施。

1. 网络安全防护措施。

针对信息系统的网络安全,采取了防火墙、入侵检测系统、安全网关等措施,保障系统网络的安全稳定。

2. 数据安全保护措施。

对系统中的重要数据进行加密存储,并设置了严格的权限管理,确保数据的安全性和完整性。

3. 应用系统安全防护措施。

对系统的各个应用模块进行安全加固,包括对登录、操作、审计等环节的安全控制,防止恶意操作和非法访问。

4. 物理环境安全保护措施。

信息系统所在的机房采取严格的门禁控制和监控措施,保障物理环境的安全。

5. 安全管理措施。

建立了完善的安全管理制度和流程,包括安全培训、安全演练、安全事件响应等,提高了整体安全保护水平。

四、信息系统安全等级保护备案情况。

经过对信息系统的安全等级保护措施的落实和检查,符合国家相关安全等级保护要求,备案情况良好。

五、其他需要说明的情况。

1. 信息系统安全等级保护备案表填报人,XXX(姓名)、XXX(职务)。

2. 填报时间,XXXX年XX月XX日。

3. 备案有效期,XXXX年XX月XX日至XXXX年XX月XX日。

以上为信息系统安全等级保护备案表,如有变动将及时更新备案情况。

信息系统安全等级保护定级报告

信息系统安全等级保护定级报告

《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。

XXX(盖章) X年x月x日。

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择(G3) (6)1.1.1.2 物理访问控制(G3) (6)1.1.1.3 防盗窃和防破坏(G3) (7)1.1.1.4 防雷击(G3) (7)1.1.1.5 防火(G3) (8)1.1.1.6 防水和防潮(G3) (8)1.1.1.7 防静电(G3) (8)1.1.1.8 温湿度控制(G3) (9)1.1.1.9 电力供应(A3) (9)1.1.1.10 电磁防护(S3) (9)1.1.2 网络安全 (10)1.1.2.1 结构安全(G3) (10)1.1.2.2 访问控制(G3) (10)1.1.2.3 安全审计(G3) (11)1.1.2.4 边界完整性检查(S3) (12)1.1.2.5 入侵防范(G3) (12)1.1.2.6 恶意代码防范(G3) (13)1.1.2.7 网络设备防护(G3) (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别(S3) (14)1.1.3.2 访问控制(S3) (14)1.1.3.3 安全审计(G3) (15)1.1.3.4 剩余信息保护(S3) (16)1.1.3.5 入侵防范(G3) (16)1.1.3.6 恶意代码防范(G3) (17)1.1.3.7 资源控制(A3) (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别(S3) (18)1.1.4.2 访问控制(S3) (18)1.1.4.3 安全审计(G3) (19)1.1.4.4 剩余信息保护(S3) (20)1.1.4.5 通信完整性(S3) (20)1.1.4.6 通信保密性(S3) (20)1.1.4.7 抗抵赖(G3) (20)1.1.4.8 软件容错(A3) (21)1.1.4.9 资源控制(A3) (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性(S3) (22)1.1.5.2 数据保密性(S3) (22)1.1.5.3 备份和恢复(A3) (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度(G3) (23)1.2.1.2 制定和发布(G3) (24)1.2.1.3 评审和修订(G3) (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置(G3) (25)1.2.2.2 人员配备(G3) (25)1.2.2.3 授权和审批(G3) (26)1.2.2.4 沟通和合作(G3) (26)1.2.2.5 审核和检查(G3) (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用(G3) (28)1.2.3.2 人员离岗(G3) (28)1.2.3.3 人员考核(G3) (29)1.2.3.4 安全意识教育和培训(G3) (29)1.2.3.5 外部人员访问管理(G3) (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级(G3) (30)1.2.4.2 安全方案设计(G3) (30)1.2.4.3 产品采购和使用(G3) (31)1.2.4.4 自行软件开发(G3) (32)1.2.4.5 外包软件开发(G3) (32)1.2.4.6 工程实施(G3) (33)1.2.4.7 测试验收(G3) (33)1.2.4.8 系统交付(G3) (34)1.2.4.9 系统备案(G3) (35)1.2.4.10 等级测评(G3) (35)1.2.4.11 安全服务商选择(G3) (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理(G3) (36)1.2.5.2 资产管理(G3) (37)1.2.5.3 介质管理(G3) (37)1.2.5.4 设备管理(G3) (38)1.2.5.5 监控管理和安全管理中心(G3). 39 1.2.5.6 网络安全管理(G3) (40)1.2.5.7 系统安全管理(G3) (41)1.2.5.8 恶意代码防范管理(G3) (42)1.2.5.9 密码管理(G3) (43)1.2.5.10 变更管理(G3) (43)1.2.5.11 备份与恢复管理(G3) (43)1.2.5.12 安全事件处置(G3) (44)1.2.5.13 应急预案管理(G3) (45)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

网络安全等级保护之信息系统定级备案工作方案

网络安全等级保护之信息系统定级备案工作方案

网络安全等级保护之信息系统定级备案工作方案一、信息系统安全保护等级的划分与保护(一)信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。

同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。

在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。

(二)信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的二、定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。

这里先明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。

信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。

信息系统安全等级保护备案相关表格及定级报告模板

信息系统安全等级保护备案相关表格及定级报告模板

附件1:《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求(三级要求)

信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择(G3) (6)1.1.1.2 物理访问控制(G3) (6)1.1.1.3 防盗窃和防破坏(G3) (7)1.1.1.4 防雷击(G3) (7)1.1.1.5 防火(G3) (8)1.1.1.6 防水和防潮(G3) (8)1.1.1.7 防静电(G3) (8)1.1.1.8 温湿度控制(G3) (9)1.1.1.9 电力供应(A3) (9)1.1.1.10 电磁防护(S3) (9)1.1.2 网络安全 (10)1.1.2.1 结构安全(G3) (10)1.1.2.2 访问控制(G3) (10)1.1.2.3 安全审计(G3) (11)1.1.2.4 边界完整性检查(S3) (12)1.1.2.5 入侵防范(G3) (12)1.1.2.6 恶意代码防范(G3) (13)1.1.2.7 网络设备防护(G3) (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别(S3) (14)1.1.3.2 访问控制(S3) (14)1.1.3.3 安全审计(G3) (15)1.1.3.4 剩余信息保护(S3) (16)1.1.3.5 入侵防范(G3) (16)1.1.3.6 恶意代码防范(G3) (17)1.1.3.7 资源控制(A3) (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别(S3) (18)1.1.4.2 访问控制(S3) (18)1.1.4.3 安全审计(G3) (19)1.1.4.4 剩余信息保护(S3) (20)1.1.4.5 通信完整性(S3) (20)1.1.4.6 通信保密性(S3) (20)1.1.4.7 抗抵赖(G3) (20)1.1.4.8 软件容错(A3) (21)1.1.4.9 资源控制(A3) (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性(S3) (22)1.1.5.2 数据保密性(S3) (22)1.1.5.3 备份和恢复(A3) (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度(G3) (23)1.2.1.2 制定和发布(G3) (24)1.2.1.3 评审和修订(G3) (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置(G3) (25)1.2.2.2 人员配备(G3) (25)1.2.2.3 授权和审批(G3) (26)1.2.2.4 沟通和合作(G3) (26)1.2.2.5 审核和检查(G3) (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用(G3) (28)1.2.3.2 人员离岗(G3) (28)1.2.3.3 人员考核(G3) (29)1.2.3.4 安全意识教育和培训(G3) (29)1.2.3.5 外部人员访问管理(G3) (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级(G3) (30)1.2.4.2 安全方案设计(G3) (30)1.2.4.3 产品采购和使用(G3) (31)1.2.4.4 自行软件开发(G3) (32)1.2.4.5 外包软件开发(G3) (32)1.2.4.6 工程实施(G3) (33)1.2.4.7 测试验收(G3) (33)1.2.4.8 系统交付(G3) (34)1.2.4.9 系统备案(G3) (35)1.2.4.10 等级测评(G3) (35)1.2.4.11 安全服务商选择(G3) (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理(G3) (36)1.2.5.2 资产管理(G3) (37)1.2.5.3 介质管理(G3) (37)1.2.5.4 设备管理(G3) (38)1.2.5.5 监控管理和安全管理中心(G3). 39 1.2.5.6 网络安全管理(G3) (40)1.2.5.7 系统安全管理(G3) (41)1.2.5.8 恶意代码防范管理(G3) (42)1.2.5.9 密码管理(G3) (43)1.2.5.10 变更管理(G3) (43)1.2.5.11 备份与恢复管理(G3) (43)1.2.5.12 安全事件处置(G3) (44)1.2.5.13 应急预案管理(G3) (45)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

信息系统等级保护与风险管理

信息系统等级保护与风险管理

信息系统等级保护与风险管理信息系统等级保护是根据信息系统的功能需要和价值等级,根据国家有关规定对系统进行等级划分,确定相应的保护措施和控制要求。

其目的是确保信息系统的稳定运行,防止信息泄露、篡改和黑客攻击等各种风险,确保信息资产的安全性和可靠性。

信息系统等级保护通常分为四个等级,即一级、二级、三级和四级。

其中一级是最高级别,适用于对国家安全和重要利益有特殊要求的信息系统。

四级则是最低级别,适用于一般性信息系统。

不同等级的信息系统在安全要求和保护措施方面会有差异,并由专业的机构进行评估和认证。

风险管理是一种有针对性的控制措施,用于预防潜在的风险,减少系统遭受威胁的可能性,并及时应对已发生的风险。

风险管理的过程包括风险识别、风险评估、风险控制和风险监控等环节,其中风险评估是核心环节。

通过对系统的威胁、弱点和潜在风险进行全面分析和评估,可以帮助组织制定有效的保护策略和应对措施。

在信息系统等级保护和风险管理中,关键的一环是建立健全的安全管理体系和安全政策。

只有有系统地进行信息安全管理,确保安全政策得到有效执行,才能真正提高信息系统的安全性,减少潜在风险。

此外,还应加强人员的安全教育和培训,提高员工对信息安全的意识和保护意识,减少人为因素导致的安全问题。

总之,信息系统等级保护与风险管理是保护信息系统安全的重要手段。

通过对信息系统进行等级保护和风险管理,可以有效地预防和应对各种威胁和风险,确保信息的保密性、完整性和可用性。

同时,也需要各个组织和个人共同努力,加强安全意识和管理,形成全民参与的信息安全防护网络。

信息系统等级保护和风险管理是保障信息系统安全的重要手段,其重要性不可忽视。

随着信息技术的飞速发展,信息系统的安全问题日益突出,给个人和组织带来了巨大的风险。

为了更好地应对这些风险,信息系统等级保护和风险管理不断完善和提升,以确保信息系统的稳定运行和数据的安全。

首先,信息系统等级保护是根据信息系统的功能要求和价值等级对系统进行等级划分。

信息安全等级保护定级和备案

信息安全等级保护定级和备案

二、信息安全保护等级的划分和标准
信息系统的安全保护等级应当根据信 息系统在国家安全、经济建设、社会生活 中的重要程度,遭到破坏后对国家安全、 社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定 。
第4页,本讲稿共37页
二、信息安全保护等级的划分和标准 第一级,信息系统受到破坏后,会
定级对象的破坏,其危害方式表现为对信息安 全的破坏和对信息系统服务的破坏。
第22页,本讲稿共37页
三、信息系统安全保护等级的确定
信息安全和系统服务安全受到破坏后,可能产 生以下危害后果: 影响行使工作职能 导致业务能力下降
引起法律纠纷 导致财务损失 造成社会不良影响 对其他组织和个人造成损失
其他影响。
第30页,本讲稿共37页
三、信息系统安全保护等级的确定
定级工作步骤
第三步:信息系统等级评审
在信息系统安全保护等级确定过程中,可以聘请专家 进行咨询评审,并出具定级评审意见
对拟确定为第四级以上信息系统的,运营、使用单位 或者主管部门应当邀请国家信息安全保护等级专家评审 委员会评审,出具评审意见。
第31页,本讲稿共37页
三、信息系统安全保护等级的确定
定级工作步骤
第四步:信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意 见,最终确定信息系统等级,形成《定级报 告》。 如果专家评审意见与运营使用单位意见不一 致时,由运营使用单位自主决定系统等级。 信息系统运营使用单位有上级主本讲稿共37页
三、信息系统安全保护等级的确定
4.综合判定侵害程度 系统服务安全被破坏导致业务能力下降的程度 可以从信息系统服务覆盖的区域范围、用户人 数或业务量等不同方面确定。 业务信息安全被破坏导致的财物损失可以从直 接的资金损失大小、间接的信息恢复费用等方 面进行确定。

信息系统安全等级保护定级报告模版

信息系统安全等级保护定级报告模版

信息系统安全等级保护定级报告模版《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。

二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。

(二)系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。

2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。

3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。

4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。

浅谈如何规范开展等级保护定级和备案工作

浅谈如何规范开展等级保护定级和备案工作

浅谈如何规范开展等级保护定级和备案工作前言最近《关键信息基础设施安全保护条例》(以下简称《条例》)正式公布并将于2021年9月1日起正式实施。

业界形容《条例》开启了关键信息基础设施保护的新纪元,很是恰如其分。

无论是《网络安全法》还是《条例》,都提出关键信息基础设施要在网络安全等级保护基础上,实行重点保护。

保护关键信息基础设施安全,首在落实网络安全等级保护制度。

笔者规划接下来将就如何保护关键信息基础设施安全进行系列分享,今天我们先来谈一谈如何规范开展等级保护定级和备案工作。

一、网络安全等级保护对象在我们开始谈等级保护对象定级和备案开始之前,我们先来谈一下网络安全等级保护对象是什么。

在等保1.0时代,等级保护对象很明确是信息系统。

等保进入2.0时代后,等级保护对象已不再局限为信息系统,而是表述为“网络安全等级保护工作直接作用的对象,主要包括信息系统、通信网络设施和数据资源等”(见GB/T 22240-2020 《信息安全技术网络安全等级保护定级指南》)。

在GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中,对于等级保护对象,则给出了更为详细的解释:等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。

二、定级备案的主要工作要求规范开展网络安全等级保护定级和备案工作,应明确其主要工作要求。

其主要工作要求包括:(1)运营者(运营或使用单位)应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。

(2)运营者(运营或使用单位)应当在规划设计阶段确定网络安全保护等级(根据三同步原则)。

(3)对于确定为关键信息基础设施(非涉密)的等级保护对象,原则上其安全保护等级不低于第三级。

信息安全等级保护备案实施细则

信息安全等级保护备案实施细则

信息安全等级保护备案实施细则信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作,规范备案受理、审核和管理等工作,根据《信息安全等级保护管理办法》制定本实施细则。

第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。

第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。

隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。

第四条隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。

隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。

跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

第五条受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。

第六条信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。

办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。

第七条备案时应当提交《信息系统安全等级保护备案表》(以下简称《备案表》)(一式两份)及其电子文档。

第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

第八条公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在五日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。

信息系统定级和备案工作介绍

信息系统定级和备案工作介绍

信息系统定级与备案工作介绍本文主要介绍信息系统安全保护等级的确定,定级工作的流程和要求,备案工作的流程和要求等。

一、信息系统安全保护等级的划分与保护(一)信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。

同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。

在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。

(二)信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。

(三)信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1.受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。

信息安全等级保护备案工作实施细则

信息安全等级保护备案工作实施细则

信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作,规范备案受理、审核和管理等工作,根据《信息安全等级保护管理办法》制定本实施细则。

第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。

第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。

隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。

第四条隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。

隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。

跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

第五条受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。

第六条信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。

办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。

第七条备案时应当提交《信息系统安全等级保护备案表》(以下简称《备案表》)(一式两份)及其电子文档。

第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

第八条公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在五日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。

信息安全等级保护备案工作实施细则

信息安全等级保护备案工作实施细则

信息安全等级保护备案实施细则第一条为加强和指导信息安全等级保护备案工作,规范备案受理、审核和管理等工作,根据《信息安全等级保护管理办法》制定本实施细则。

第二条本细则适用于非涉及国家秘密的第二级以上信息系统的备案。

第三条地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。

隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。

第四条隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。

隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。

跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。

第五条受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。

第六条信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。

办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。

第七条备案时应当提交《信息系统安全等级保护备案表》(以下简称《备案表》)(一式两份)及其电子文档。

第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

第八条公安机关公共信息网络安全监察部门收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在五日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XX信息系统等级保护定级和备案管理制定:审核:批准:版本:XX二〇二〇年九月XX信息系统等级保护定级和备案管理1.1 工作目标和范围XX信息安全等级保护实施,包括新建信息系统的安全建设和已投入运行信息系统的安全整改。

通过落实XX信息系统安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使XX信息系统安全管理水平明显提高、安全保护能力明显增强、安全隐患和安全事故明显减少,有效保障XX系统信息化健康发展,维护国家安全、社会秩序和公共利益。

XX应落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

1.2 安全保护能力目标依据《GBT22240-2020 信息安全技术信息系统安全等级保护定级指南》,XX信息系统的安全保护等级主要包括第一级至第四级。

XX信息系统应分别达到以下安全保护能力目标:a)第一级信息系统:——信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;——系统遭到损害后,具有恢复系统主要功能的能力。

b)第二级信息系统:——信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;——具有检测常见的攻击行为,并对安全事件进行记录的能力;——系统遭到损害后,具有恢复系统正常运行状态的能力。

c)第三级信息系统:——信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;——具有检测、发现、报警、记录入侵行为的能力;——具有对安全事件进行响应处置,并能够追踪安全责任的能力;——在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;——具有对系统资源、用户、安全机制等进行集中控管的能力。

1.3 等级保护相关角色1.3.1 信息系统主管部门XX信息系统主管部门主要负责依照国家信息安全等级保护的管理规范和技术标准,制定XX系统信息安全技术标准和制度规范,落实信息系统安全等级保护工作。

1.3.2 信息系统运营、使用单位XX信息系统运营、使用单位主要职责包括:a)负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,应当报XX系统主管部门审核批准;b)根据已经确定的安全保护等级,到公安机关办理备案手续;c)按照国家信息安全等级保护管理规范和技术标准,进行XX信息系统安全保护的规划设计;d)使用符合国家有关规定,满足XX信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;e)制定、落实各项XX信息系统安全管理制度,定期对XX信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;f)制定不同等级信息安全事件的响应、处置预案,对XX信息系统的信息安全事件分等级进行应急处置。

1.3.3 外部相关机构XX信息系统外部相关机构主要包括:g)信息安全服务机构负责根据XX信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助XX信息系统运营、使用单位完成等级保护的相关工作,包括确定具体XX信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。

h)信息安全等级测评机构负责根据XX信息系统运营、使用单位的委托或根据国家管理部门的授权,协助XX信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的XX信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。

i)信息安全产品供应商涉及XX系统需要的,负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。

1.4 信息系统定级1.4.1 信息系统分析1.4.1.1 确定定级对象作为定级对象的XX信息系统应具有如下基本特征:j)承载单一或相对独立的XX业务应用,划分程度不应过粗或过细,同一层次的XX机构划分的粒度应具有一致性;k)具有唯一确定的安全责任单位,在XX机构内能够落实到具体的责任单位;l)具有信息系统的基本要素,作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体;应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。

1.4.1.2 系统识别和描述对准备定级的XX信息系统的识别和描述,应收集有关信息系统的信息,对信息进行综合分析和整理,依据分析和整理的内容形成XX机构内信息系统的总体描述性文档。

a)识别信息系统的基本信息——调查了解信息系统的XX业务特征、主管机构、业务范围、地理位置以及信息系统基本情况;——获得信息系统的背景信息和联络方式。

b)识别信息系统的管理框架——了解XX信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责;——获得支持XX信息系统业务运营的管理特征和管理框架方面的信息;——明确XX信息系统的安全责任主体。

c)识别信息系统的网络及设备部署——了解XX信息系统的物理环境、网络拓扑结构和硬件设备的部署情况;——明确XX信息系统的边界,即确定定级对象及其范围。

d)识别信息系统的业务种类和特性——了解XX机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等;——明确XX机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。

e)识别业务系统处理的信息资产——了解XX信息系统处理的信息资产的类型——了解XX信息资产在保密性、完整性和可用性等方面的重要性程度。

f)识别用户范围和用户类型——了解XX信息系统用户或用户群的分布范围;——了解XX业务系统的服务范围、作用以及业务连续性方面的要求等。

g)信息系统描述对收集的信息进行整理、分析,形成对XX信息系统的总体描述文件,应包含以下内容:——系统概述;——系统边界描述;——网络拓扑;——设备部署;——支撑的业务应用的种类和特性;——处理的信息资产;——用户的范围和用户类型;——信息系统的管理框架。

1.4.1.3 信息系统划分对XX机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数,形成XX信息系统详细描述文件。

a)划分方法的选择——应对大型XX信息系统进行划分,突出重点保护的等级保护原则;——可依据管理机构、业务类型、物理位置等因素;——XX信息系统的运营、使用单位应根据本单位的具体情况确定一个系统的分解原则。

b)信息系统划分——依据选择的系统划分原则,将一个XX机构内拥有的大型XX信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征;——在信息系统划分的过程中,应先考虑组织管理的要素,后考虑业务类型、物理区域等要素。

c)信息系统详细描述XX信息系统划分信息的描述,应准确描述一个大型XX信息系统中包括的定级对象的个数。

XX信息系统详细描述文件应包含以下内容:——相对独立信息系统列表;——每个定级对象的概述;——每个定级对象的边界;——每个定级对象的设备部署;——每个定级对象支撑的业务应用及其处理的信息资产类型;——每个定级对象的服务范围和用户类型;——其他内容。

1.4.2 安全保护等级确定1.4.2.1 定级、审核和批准按照国家有关管理规范和《GBT 22239-2019 信息安全技术信息系统安全等级保护基本要求》,确定XX信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。

形成信息系统定级评审意见。

a)信息系统安全保护等级初步确定根据国家有关管理规范和《GBT 22239-2019 信息安全技术信息系统安全等级保护基本要求》确定的定级方法,XX信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。

b)定级结果审核和批准——XX信息系统运营、使用单位初步确定了安全保护等级后,应当经XX系统主管部门审核批准;——跨省或者全国统一联网运行的XX信息系统由XX上级主管部门统一确定安全保护等级;——对拟确定为第三级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。

1.4.2.2 形成定级报告对XX信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。

信息系统定级结果报告可以包含以下内容:a)单位信息化现状概述;b)管理模式;c)信息系统列表;d)每个信息系统的概述;e)每个信息系统的边界;f)每个信息系统的设备部署;g)每个信息系统支撑的业务应用;h)信息系统列表、安全保护等级以及保护要求组合;i)其他内容。

1.5 定级和备案管理XX将按照《GBT 22239-2019 信息安全技术信息系统安全等级保护基本要求》,对XX信息系统定级和备案管理进行测试。

XX将从信息系统安全等级保护管理的角度,对定级和备案管理所涉及的组织实施、定级和备案细则、定级说明、定级审定和批准、定级系统材料管理、定级系统材料上报备案等方面开展工作。

相关文档
最新文档