信息系统安全保护等级定级对象
定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。
信息系统的划分
一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:
1)相同的管理机构
信息系统内的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略。
2)相同的业务类型
信息系统内的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略。
3)相同的物理位置或相似的运行环境
信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护。
信息系统和业务子系统
按照信息系统的定义,典型的信息系统应由计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、计算机网络硬件设备(包括交换机、路由器、各种适配器以及通信线路等)、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联,可能存在共用设备或较为频繁的数据交换。
业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元,业务子系统应具有信息系统的全部特点,应该是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体,并且承载确定的业务。
业务系统越复杂,功能越多,且安全级别不一致
则适合于划分多个子系统
如:
企业的ERP、企业员工的BBS,就可以属于不同的子系统
ERP承载了重要信息,BBS仅仅是个休闲娱乐的场所
这样来做,可以细分系统安全级别
并且以最小的代价来做安全防护 :)学习了。。 同意百川的说法,一个信息系统之上可能承载多种业务,应该将业务进行划分后,在定级,这样一个信息系统可能会定出不同的安全保护等级,选择最高的等级作为该信息系统的安全保护等级。在具体实施安全保护的时候,则根据不同业务划分的不同等级进行响应的安全保护。 一个信息系统里包含多个应用的情况下,按应用来定级,定完级以后,共用的设备就高,不共用的设备就按自己的级别就可以了 多谢,下来学习下~~~~· 研究研究~~ 多谢楼主的无私分享! 谢谢。。急需要
页:
[1]