信息安全等級(jí)保護(hù)定級(jí)培訓(xùn)PPT.ppt

信息安全等級(jí)保護(hù)培訓(xùn),一、我國(guó)在信息安全保障工作中為什么要實(shí)行等級(jí)保護(hù)制度,當(dāng)前，我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全面臨的形勢(shì)十分嚴(yán)峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)。 一是針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。 二是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重。 三是我國(guó)的信息安全保障工作基礎(chǔ)還很薄弱。,二、實(shí)行信息安全等級(jí)保護(hù)制度能夠解決哪些主要問(wèn)題,信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障，是信息安全保障工作中國(guó)家意志的體現(xiàn)。 有效解決我國(guó)信息安全面臨的威脅和存在的主要問(wèn)題，充分體現(xiàn)“適度安全、保護(hù)重點(diǎn)”的目的，將有限的財(cái)力、物力、人力投入到重要信息系統(tǒng)安全保護(hù)中，按標(biāo)準(zhǔn)建設(shè)安全保護(hù)措施，建立安全保護(hù)制度，落實(shí)安全責(zé)任，有效保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國(guó)信息安全保障工作的整體水平。,三、國(guó)家、有關(guān)部門和企業(yè)在等級(jí)保 護(hù)工作中各自的責(zé)任和義務(wù)是什么,1、國(guó)家層面 2、信息安全監(jiān)管部門（包括公安機(jī)關(guān)、保密部門、國(guó)家密碼工作部門） 3、信息系統(tǒng)主管部門 4、信息系統(tǒng)運(yùn)營(yíng)使用單位 5、安全服務(wù)機(jī)構(gòu),等級(jí)保護(hù)工作的職責(zé)分工 公安機(jī)關(guān)是等級(jí)保護(hù)工作的牽頭部門，承擔(dān)著信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)； 國(guó)家保密工作部門、國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo)； 國(guó)信辦及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作部門間的協(xié)調(diào)。 其中，涉及國(guó)家秘密信息系統(tǒng)的等級(jí)保護(hù)監(jiān)督管理工作由國(guó)家保密工作部門負(fù)責(zé)；非涉及國(guó)家秘密信息系統(tǒng)的等級(jí)保護(hù)監(jiān)督管理工作由公安機(jī)關(guān)負(fù)責(zé)。,四、近幾年來(lái)開展了哪些具體工作 一是制定了50多個(gè)國(guó)標(biāo)和行標(biāo)，初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 二是開展了等級(jí)保護(hù)基礎(chǔ)調(diào)查工作 三是開展了等級(jí)保護(hù)試點(diǎn)工作 四是出臺(tái)了公安部、國(guó)務(wù)院信息化工作辦公室等四部門關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) 66號(hào)文、信息安全等級(jí)保護(hù)管理辦法 43號(hào)文、861號(hào)文等政策文件。 五是召開“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視 電話會(huì)議” 六是成立“國(guó)家信息安全等級(jí)保護(hù)協(xié)調(diào)小組”,五、等級(jí)保護(hù)工作的主要流程包括哪 些，開展等級(jí)保護(hù)工作的基本要求 是什么,主要流程包括六項(xiàng)內(nèi)容： 一是自主定級(jí)與審批。 二是評(píng)審。 三是備案。 四是系統(tǒng)安全建設(shè)。 五是等級(jí)測(cè)評(píng)。 六是監(jiān)督檢查。,六、開展等級(jí)保護(hù)工作的總體要求,各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求完成等級(jí)保護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作 。 公安機(jī)關(guān)和保密、密碼工作部門要及時(shí)開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測(cè)評(píng)等工作。 對(duì)故意將信息系統(tǒng)安全級(jí)別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責(zé)任。,七、定級(jí)工作的主要步驟是什么,定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。 第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù) 第二步，確定定級(jí)對(duì)象 第三步，初步確定信息系統(tǒng)等級(jí) 第四步，信息系統(tǒng)等級(jí)評(píng)審,第五步，信息系統(tǒng)等級(jí)的最終確定與審批 第六步：備案。 第七步：備案審核。 第八步：及時(shí)總結(jié)并提交總結(jié)報(bào)告。,第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù),按照定級(jí)工作通知確定的定級(jí)范圍，各單位、各部門可以組織開展對(duì)所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實(shí)責(zé)任奠定基礎(chǔ)。,第二步，確定定級(jí)對(duì)象,一是應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨(dú)確定為定級(jí)對(duì)象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象條件。起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要作為單獨(dú)的定級(jí)對(duì)象。 二是確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)系統(tǒng)具有安全管理責(zé)任。 三是具有信息系統(tǒng)的基本要素。,第三步，初步確定信息系統(tǒng)等級(jí),信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護(hù)等級(jí)。既要防止個(gè)別單位片面追求絕對(duì)安全而定級(jí)過(guò)高，也要防止為了逃避監(jiān)管定級(jí)偏低。 信息網(wǎng)絡(luò)的安全等級(jí)可以參照在其上運(yùn)行的信息系統(tǒng)的等級(jí)、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo(hù)等級(jí)，不以在其上運(yùn)行的信息系統(tǒng)的最高等級(jí)或最低等級(jí)為標(biāo)準(zhǔn)。,跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護(hù)策略的信息系統(tǒng)，應(yīng)由各部委統(tǒng)一確定一個(gè)級(jí)別；由各部委統(tǒng)一規(guī)劃、分級(jí)建設(shè)、運(yùn)行的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級(jí)，但各行業(yè)應(yīng)對(duì)該類系統(tǒng)提出定級(jí)意見(jiàn)，避免出現(xiàn)同類系統(tǒng)定級(jí)出現(xiàn)較大偏差問(wèn)題。,安全保護(hù)等級(jí)的劃分,五級(jí)監(jiān)管,第四步，信息系統(tǒng)等級(jí)評(píng)審,在信息系統(tǒng)安全保護(hù)等級(jí)確定過(guò)程中，可以聘請(qǐng)專家進(jìn)行咨詢?cè)u(píng)審，并出具定級(jí)評(píng)審意見(jiàn)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審，出具評(píng)審意見(jiàn)。 當(dāng)專家意見(jiàn)與運(yùn)營(yíng)使用單位或者主管部門不一致時(shí)，以運(yùn)營(yíng)使用單位或者主管部門意見(jiàn)為準(zhǔn)。,在信息系統(tǒng)安全保護(hù)等級(jí)確定過(guò)程中，可以聘請(qǐng)專家進(jìn)行咨詢?cè)u(píng)審，并出具定級(jí)評(píng)審意見(jiàn)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審，出具評(píng)審意見(jiàn)。 當(dāng)專家意見(jiàn)與運(yùn)營(yíng)使用單位或者主管部門不一致時(shí)，以運(yùn)營(yíng)使用單位或者主管部門意見(jiàn)為準(zhǔn)。,第五步，信息系統(tǒng)等級(jí)的最終確定與審批,信息系統(tǒng)運(yùn)營(yíng)使用單位參考專家定級(jí)評(píng)審意見(jiàn)，最終確定信息系統(tǒng)等級(jí)，形成定級(jí)報(bào)告。信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。主管部門一般是指行業(yè)的上級(jí)主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運(yùn)營(yíng)使用的信息系統(tǒng)，則必須由其上級(jí)主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級(jí)的一致性。,第六步，備案,第二級(jí)以上信息系統(tǒng)，在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。定級(jí)工作的結(jié)果是以備案完成為標(biāo)志?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的定級(jí)、備案工作9月底前完成。,第七步，備案審核,受理備案的公安機(jī)關(guān)要公布備案受理地點(diǎn)、備案聯(lián)系方式等。在受理備案時(shí)，應(yīng)對(duì)提交的備案材料進(jìn)行完整性審核和定級(jí)準(zhǔn)確性審核。對(duì)符合等級(jí)保護(hù)要求的，應(yīng)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明。發(fā)現(xiàn)定級(jí)不準(zhǔn)的，通知備案單位重新審核確定。,第八步，及時(shí)總結(jié)并提交總結(jié)報(bào)告,各地區(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級(jí)工作的實(shí)際，認(rèn)真總結(jié)經(jīng)驗(yàn)和不足，提出改進(jìn)和完善定級(jí)方法的意見(jiàn)和建議，及時(shí)總結(jié)定級(jí)工作經(jīng)驗(yàn)，形成定級(jí)工作總結(jié)報(bào)告，并于10月中旬報(bào)送公安部。,八、定級(jí)工作完成后需要開展哪些工作,一是開展安全建設(shè)和整改。 二是開展等級(jí)測(cè)評(píng)。 三是開展自查。,九、開展安全等級(jí)保護(hù)工作依據(jù)的主要標(biāo)準(zhǔn)有哪些,1、基礎(chǔ)標(biāo)準(zhǔn)劃分準(zhǔn)則（GB17859） 2、基線標(biāo)準(zhǔn) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 3、輔助標(biāo)準(zhǔn)定級(jí)指南、實(shí)施指南、測(cè)評(píng)準(zhǔn)則 4、目標(biāo)標(biāo)準(zhǔn) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271） 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270） 操作系統(tǒng)安全技術(shù)要求（GB/T20272） 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273） 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T671） 信息系統(tǒng)安全管理要求（GB/T20269） 信息系統(tǒng)安全工程管理要求（GB/T20282） 5、產(chǎn)品標(biāo)準(zhǔn)防火墻、入侵檢測(cè)、終端設(shè)備隔離部件等,十、公安機(jī)關(guān)組織開展等級(jí)保護(hù)中的職責(zé)任務(wù)是什么,1、監(jiān)督、檢查、指導(dǎo)信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門開展信息安全等級(jí)保護(hù)工作； 2、監(jiān)督、檢查信息系統(tǒng)運(yùn)營(yíng)使用單位的安全保護(hù)管理制度和技術(shù)措施落實(shí)情況、定級(jí)和備案情況、安全整改、等級(jí)測(cè)評(píng)、產(chǎn)品使用、自查等情況。,十一、公安機(jī)關(guān)如何對(duì)實(shí)施信息安全等級(jí)保護(hù)進(jìn)行監(jiān)督管理,一是指導(dǎo)定級(jí)。 二是受理備案。 三是定期檢查。,系統(tǒng)定級(jí)的具體實(shí)施,定級(jí)基本流程1,表2 業(yè)務(wù)信息安全等級(jí)矩陣表 根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)服務(wù)安全等級(jí)矩陣表，即可得到系統(tǒng)服務(wù)安全等級(jí)。,表3 系統(tǒng)服務(wù)安全等級(jí)矩陣表 作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者決定。定級(jí)對(duì)象等級(jí)確定后，可參照附件中的信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告模版起草定級(jí)報(bào)告。,不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問(wèn)題，較低的資產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。 嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問(wèn)題，較高的資產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。,特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問(wèn)題，極高的資產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。 信息安全和系統(tǒng)服務(wù)安全被破壞后對(duì)客體的侵害程度，由對(duì)不同危害結(jié)果的危害程度進(jìn)行綜合評(píng)定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)，制定危害程度的綜合評(píng)定方法，并給出侵害不同客體造成損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。,三種受侵害的客體: 國(guó)家安全 體現(xiàn)了國(guó)家層面、與全局相關(guān)的國(guó)家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全等方面利益。 社會(huì)秩序和公共利益 包括政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會(huì)公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。 合法權(quán)益 是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益，,關(guān)于侵害客體和侵害程度,關(guān)于國(guó)家安全 重要的國(guó)家事務(wù)處理系統(tǒng)、國(guó)防工業(yè)生產(chǎn)系統(tǒng)和國(guó)防設(shè)施的控制系統(tǒng)等；廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定的重大事件；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力的信息系統(tǒng)，以及電力、通信、能源、交通運(yùn)輸、金融等國(guó)家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。,關(guān)于社會(huì)秩序 各級(jí)政府機(jī)構(gòu)的社會(huì)管理和公共服務(wù)系統(tǒng)，如財(cái)政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機(jī)構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。,關(guān)于公共利益 借助信息化手段為社會(huì)成員提供使用的公共設(shè)施和通過(guò)信息系統(tǒng)對(duì)公共設(shè)施進(jìn)行進(jìn)行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂(lè)設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。 公共利益與社會(huì)秩序密切相關(guān)，社會(huì)秩序的破壞一般會(huì)造成對(duì)公共利益的損害。,直接的結(jié)果和間接的影響: 威脅直接作用的結(jié)果信息系統(tǒng)的破壞,但是確定對(duì)客體侵害的程度時(shí)，必須考慮間接的對(duì)客體產(chǎn)生的侵害和影響。 按照國(guó)家安全社會(huì)秩序和公共利益-公民、法人和組織的合法利益的順序考慮,一、定級(jí)對(duì)象的三個(gè)條件 具有唯一確定的安全責(zé)任單位 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個(gè)安全責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位，也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。 滿足信息系統(tǒng)的基本要素 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如單臺(tái)的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。,定級(jí)階段-關(guān)于定級(jí)對(duì)象確定,承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用 定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬?duì)獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一部分。,定級(jí)階段關(guān)鍵技術(shù)環(huán)節(jié) 定級(jí)對(duì)象確定 業(yè)務(wù)信息和系統(tǒng)服務(wù)確定 受侵害客體和侵害程度的分析,定級(jí)階段-定級(jí)對(duì)象舉例,電力營(yíng)銷系統(tǒng) 生產(chǎn)管理系統(tǒng) 工程管理系統(tǒng) 物資管理系統(tǒng) 財(cái)務(wù)管理系統(tǒng) OA系統(tǒng) EAI/EIP系統(tǒng) 等,定級(jí)階段-定級(jí)對(duì)象舉例,定級(jí)對(duì)象結(jié)果1 本部信息系統(tǒng) 供電局信息系統(tǒng) 定級(jí)對(duì)象結(jié)果2 本部 電力調(diào)度系統(tǒng) 綜合信息系統(tǒng) 營(yíng)業(yè)部 電力調(diào)度系統(tǒng) 綜合信息系統(tǒng),定級(jí)階段-定級(jí)對(duì)象舉例,定級(jí)對(duì)象結(jié)果3 本部 數(shù)據(jù)中心系統(tǒng) 用戶局域網(wǎng)系統(tǒng) 骨干網(wǎng)系統(tǒng) 供電局 數(shù)據(jù)中心系統(tǒng) 用戶局域網(wǎng)系統(tǒng) 城域網(wǎng)系統(tǒng),定級(jí)階段-定級(jí)對(duì)象舉例,定級(jí)對(duì)象結(jié)果4 電力營(yíng)銷系統(tǒng) 生產(chǎn)管理系統(tǒng) 工程管理系統(tǒng) 物資管理系統(tǒng) 財(cái)務(wù)管理系統(tǒng) OA系統(tǒng) EAI/EIP系統(tǒng),定級(jí)階段-定級(jí)對(duì)象舉例,處理不同類型業(yè)務(wù)的系統(tǒng)。 本身運(yùn)行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。 分不開的系統(tǒng)，按照高級(jí)別保護(hù)。,系統(tǒng)邊界不應(yīng)出現(xiàn)在服務(wù)器內(nèi)部，服務(wù)器共用的系統(tǒng)一般歸入同一個(gè)信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備一般是網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。 兩個(gè)信息系統(tǒng)邊界存在共用設(shè)備時(shí)，共用設(shè)備的安全保護(hù)等級(jí)按兩個(gè)信息系統(tǒng)安全保護(hù)等級(jí)較高者確定。 例如，一個(gè)2級(jí)系統(tǒng)和一個(gè)3級(jí)系統(tǒng)之間有一個(gè)防火墻或兩個(gè)系統(tǒng)共用一個(gè)核心交換機(jī)，此時(shí)防火墻和交換機(jī)可以作為兩個(gè)系統(tǒng)的邊界設(shè)備，但應(yīng)滿足3級(jí)系統(tǒng)的要求。,信息系統(tǒng)的管理終端是與相應(yīng)被管理設(shè)備相對(duì)應(yīng)的，服務(wù)器、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等屬于哪個(gè)系統(tǒng)，終端就應(yīng)歸在哪個(gè)信息系統(tǒng)中。 如果無(wú)法做到不同等級(jí)的信息系統(tǒng)使用不同的終端設(shè)備，則應(yīng)將終端設(shè)備劃分為其他的信息系統(tǒng)，并在服務(wù)器與內(nèi)部用戶終端之間建立邊界保護(hù)，對(duì)終端通過(guò)身份