您的位置:360文档中心› 4.9.1、XX信息系统等级保护定级和备案管理

4.9.1、XX信息系统等级保护定级和备案管理

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XX

信息系统等级保护定级和备案管理

制定:

审核:

批准:

版本:

XX

二〇二〇年九月

XX

信息系统等级保护定级和备案管理

1.1 工作目标和范围

XX信息安全等级保护实施,包括新建信息系统的安全建设和已投入运行信息系统的安全整改。

通过落实XX信息系统安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使XX信息系统安全管理水平明显提高、安全保护能力明显增强、安全隐患和安全事故明显减少,有效保障XX系统信息化健康发展,维护国家安全、社会秩序和公共利益。

XX应落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

1.2 安全保护能力目标

依据《GBT22240-2020 信息安全技术信息系统安全等级保护定级指南》,XX信息系统的安全保护等级主要包括第一级至第四级。

XX信息系统应分别达到以下安全保护能力目标:

a)第一级信息系统:

——信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;

——系统遭到损害后,具有恢复系统主要功能的能力。

b)第二级信息系统:

——信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能

力;

——具有检测常见的攻击行为,并对安全事件进行记录的能力;

——系统遭到损害后,具有恢复系统正常运行状态的能力。

c)第三级信息系统:

——信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和

恶意代码危害的能力;

——具有检测、发现、报警、记录入侵行为的能力;

——具有对安全事件进行响应处置,并能够追踪安全责任的能力;

——在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;

——具有对系统资源、用户、安全机制等进行集中控管的能力。

1.3 等级保护相关角色

1.3.1 信息系统主管部门

XX信息系统主管部门主要负责依照国家信息安全等级保护的管理规范和技术标准,制定XX系统信息安全技术标准和制度规范,落实信息系统安全等级保护工作。

1.3.2 信息系统运营、使用单位

XX信息系统运营、使用单位主要职责包括:

a)负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息

系统的安全保护等级,应当报XX系统主管部门审核批准;

b)根据已经确定的安全保护等级,到公安机关办理备案手续;

c)按照国家信息安全等级保护管理规范和技术标准,进行XX信息系统

安全保护的规划设计;

d)使用符合国家有关规定,满足XX信息系统安全保护等级需求的信息

技术产品和信息安全产品,开展信息系统安全建设或者改建工作;

e)制定、落实各项XX信息系统安全管理制度,定期对XX信息系统的安

全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;

f)制定不同等级信息安全事件的响应、处置预案,对XX信息系统的信

息安全事件分等级进行应急处置。

1.3.3 外部相关机构

XX信息系统外部相关机构主要包括:

g)信息安全服务机构

负责根据XX信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助XX信息系统运营、使用单位完成等级保护的相关工作,包括确定具体XX信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。

h)信息安全等级测评机构

负责根据XX信息系统运营、使用单位的委托或根据国家管理部门的授权,协助XX信息系统运营、使用单位或国家管理部门,按照国家信息安全等

级保护的管理规范和技术标准,对已经完成等级保护建设的XX信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。

i)信息安全产品供应商

涉及XX系统需要的,负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。

1.4 信息系统定级

1.4.1 信息系统分析

1.4.1.1 确定定级对象

作为定级对象的XX信息系统应具有如下基本特征:

j)承载单一或相对独立的XX业务应用,划分程度不应过粗或过细,同一层次的XX机构划分的粒度应具有一致性;

k)具有唯一确定的安全责任单位,在XX机构内能够落实到具体的责任单位;

l)具有信息系统的基本要素,作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体;应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。

1.4.1.2 系统识别和描述

对准备定级的XX信息系统的识别和描述,应收集有关信息系统的信息,对信息进行综合分析和整理,依据分析和整理的内容形成XX机构内信息系统的总体描述性文档。

a)识别信息系统的基本信息

——调查了解信息系统的XX业务特征、主管机构、业务范围、地理位置以及信息系统基本情况;

——获得信息系统的背景信息和联络方式。

b)识别信息系统的管理框架

——了解XX信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责;

——获得支持XX信息系统业务运营的管理特征和管理框架方面的信息;

——明确XX信息系统的安全责任主体。

c)识别信息系统的网络及设备部署

——了解XX信息系统的物理环境、网络拓扑结构和硬件设备的部署

相关文档
最新文档