一、要求内容
a)应明确信息系统的边界和安全保护等级;
b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;
c)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;
d)应确保信息系统的定级结果经过相关部门的批准。
二、实施建议
通常根据系统的应用功能划分出多个系统,然后可以根据物理或网络划分各系统的边界,根据各系统的重要性和信息系统受到破坏后,会对公民、法人、其他组织和国家合法权益造成多大的损害对系统定级。 对于等级在二级以上的单位需要向公安部指定主管部门申请备案并接受定期的检查。
三、常见问题
无。
四、实施难点
无。
五、测评方法
形式 访谈,检查。 对象 安全主管,系统定级文档,专家论证文档。
实施
a)应访谈安全主管,询问划分信息系统的方法和确定信息系统安全保护等级的方法是否参照定级指南的指导,是否对其进行明确描述;是否组织相关部门和有关安全技术专家对定级结果进行论证和审定,定级结果是否获得了相关部门(如上级主管部门)的批准;
b)应检查系统定级文档,查看文档是否给出信息系统的安全保护等级,是否明确描述确定信息系统为某个安全等级的方法和理由,是否给出安全等级保护措施组成SxAyGz值;查看定级结果是否有相关部门的批准盖章;
c)应检查专家论证文档,查看是否有专家对定级结果的论证意见。
六、参考资料
《信息系统安全保护等级定级指南》中详细介绍的定级的方法:
5.1 定级的一般流程 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a)确定作为定级对象的信息系统;
b)确定业务信息安全受到破坏时所侵害的客体;
c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
d)依据表2,得到业务信息安全保护等级;
e)确定系统服务安全受到破坏时所侵害的客体;
f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
g)依据表3,得到系统服务安全保护等级;
h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。