浅说如何开展信息安全等级保护
发布:admin | 发布时间: 2011年11月7日前言:
信息安全等级保护制度是我国信息安全保障工作的一项基本制度,国内重要单位、企业开展了等级保护的定级工作、保护整改工作,证明是维护国家基础信息网络和重要信息系统安全最直接、有效的措施。
一、定级
定级是安全等级保护工作的基层,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。是以信息系统的重要性和信息系统遭到破坏对国家安全、社会稳定,人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
1、确定定级对象
以某系统为例,该系统由服务器设备,交换机,以及客户端软件等相关的配套设备,确定为一个定级对象。
2、确定受侵害客体及侵害程度
首先确定受侵害客体,根据《中华人民和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》,确定定级对象受到破坏后所侵害的客体,判断是否侵害公民、法人和其他组织的合法权益。再确定受侵害客体的侵害程度,根据不同的受侵害客体、不同危害后果分别确定其危害程度。共分为一般损害、严重损害、严重损害、特别严重损害。
3、完成安全等级的确定
以某系统为例,该系统的信息若发生泄漏或数据遭到破坏,将对单位产生影响的程度,对社会秩序、公共利益的影响程度,对国家安全损害程度;以及对于系统服务来说,若是系统遭到破坏,造成的损害,初步判定为不需定级,或者初步判定为最低级的一级到最高级五级的其中一个级别。
4、定级备案
使用“等级保护备案端软件”,完成《信息系统安全等级保护备案表》的内容填写。送交当地公安机关备案。
二、整改
根据总体的信息防护策略,结合等级保护要求,确定信息安全等级保护整改方案,据此开展具体的实施。通常措施之一是安全域划分。以常见的“二级系统统一成域”为例,所有二级系统统一部署于二级系统域中进行安全防护建设。其他保护措施一般包括物理环境安全防护、网络环境安全防护、主机及数据安全防护、应用防护,以及管理体系建设等。
结语
信息安全等级保护工作首先需要合理定级,一般还需要完成保护整改工作。信息安全等级保护工作是目前比较成熟有效的信息安全防护措施。
文章如转载,请注明转载自:http://www.5iadmin.com/post/924.html
- 相关文章:
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。