定級方法 ? 系統識別 ? 識別單位基本信息 ? 識別管理框架 ? 識別業務種類和業務流程 ? 識別信息 ? 識別網絡結構 ? 識別主要的軟硬件設備 ? 識別用戶類型和分布
定級方法 ? 系統劃分 ? 分析安全管理責任�����,確定管理邊界 ? 分析網絡結構和已有內外部邊界 ? 分析業務流程和業務間關系
定級方法 ? 第二步:確定受侵害客體 ? 業務信息受到破壞后的侵害客體 ? 系統服務受到破壞后的侵害客體 ? 多種信息和多種服務系統的處理
定級方法 ? 第三步:確定對客體的侵害程度 ? 業務信息受到破壞后對客體的侵害程度 ? 系統服務受到破壞后對客體的侵害程
定級方法 綜合判定侵害程度 : ? 如果受侵害客體是公民����、法人或其他組織的合法權益��,則以本 人或本單位的總體利益作為判斷侵害程度的基準�����。 ? 如果受侵害客體是社會秩序、公共利益或國家安全����,則應以整 個行業或國家的總體利益作為判斷侵害程度的基準���。
定級方法 ? 第四步:確定業務信息安全等級和系統服務安全等級 ? 第五步:初步確定系統安全保護等級
定級流程 ? 系統等級調整 信息系統的決策者或上級主管部門可根據系統的特殊安全需求進行等級 調整����,可以參考以下因素: ? 上級主管部門在政策和管理方面的特殊要求����; ? 預測業務數據可能會隨著時間的變化從量變轉化為質變; ? 隨著信息系統所承載的業務不斷完善和穩定����,各種業務的取消或合并; ? 信息系統服務范圍隨著業務的發展���,將會有較大的變化
等保分為5個級別,具體如下:
第一級 自主保抄護??級:無需備案襲,對測評周期無要求
第二級 指導保護級: 公安部門備案���,建議兩年測評一次
第三級百 監督保度護級:公安部門備案,要求每年測評一次
第四級 強制保護級:公安部門備案,要求半年一次
第五知級 ??乇Wo級:公安部門備案��,依據特殊道安全需求進行
