定级方法 • 系统识别 • 识别单位基本信息 • 识别管理框架 • 识别业务种类和业务流程 • 识别信息 • 识别网络结构 •识别主要的软硬件设备 • 识别用户类型和分布
定级方法 • 系统划分 • 分析安全管理责任,确定管理边界 • 分析网络结构和已有内外部边界 •分析业务流程和业务间关系
定级方法 • 第二步:确定受侵害客体 • 业务信息受到破坏后的侵害客体 • 系统服务受到破坏后的侵害客体 •多种信息和多种服务系统的处理
定级方法 • 第三步:确定对客体的侵害程度 • 业务信息受到破坏后对客体的侵害程度 • 系统服务受到破坏后对客体的侵害程
定级方法 综合判定侵害程度 : • 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准。 • 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
定级方法 • 第四步:确定业务信息安全等级和系统服务安全等级 • 第五步:初步确定系统安全保护等级
定级流程 • 系统等级调整 信息系统的决策者或上级主管部门可根据系统的特殊安全需求进行等级 调整,可以参考以下因素: •上级主管部门在政策和管理方面的特殊要求; • 预测业务数据可能会随着时间的变化从量变转化为质变; •随着信息系统所承载的业务不断完善和稳定,各种业务的取消或合并; • 信息系统服务范围随着业务的发展,将会有较大的变化