等级保护定级解决方案
发布时间:2012-01-02   作者:VENUS

一.等级保护定级工作的重要性

 

作为落实等级保护工作的第一步,全国重要信息系统安全等级保护定级工作率先启动。2007年7月四部委联合下发了“关于开展全国重要信息系统安全等级保护定级工作的通知”(公信安[2007]861号),全面部署了全国范围内的重要信息系统定级工作。861号文要求,各信息系统的使用单位和建设单位通过开展重要信息系统基本情况的摸底调查、初步确定安全保护等级、评审与审批、备案、备案管理等五个阶段的工作,完成重要信息系统的定级。7月20日,公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。


信息系统的定级是等级保护工作的首要环节。从等级保护角度看,安全级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解国家等级保护政策、准确定级,是开展后续整改和测评工作的基础,可以避免后续工作走弯路,造成投资浪费或者安全程度过低;从定级单位自身的安全需求看,是本单位结合业务需求、信息安全建设现状,从自身安全需求出发,进行有针对性的信息安全规划、建设、运维的实际要求。

 

二.启明星辰等级保护定级过程

 

启明星辰等级保护定级与备案工作是基于国家信息系统安全等级保护相关文件的要求,结合客户的组织架构、业务要求、信息系统的实际情况,协助客户进行信息系统的等级评定,并为客户制定适合自身行业特点的信息系统定级指导意见(可选)的服务。共分为七个大的阶段:定级准备阶段、摸底调查阶段、初步定级阶段、行业化定级指导建议阶段(可选)、评审和审批阶段、协助备案阶段、项目总结阶段。

 

定级之后,随着业务的变化,信息系统的级别可能需要进行适当的调整、变更,此时需要进行等级变更。


 

 

                                                                  图 启明星辰等级保护定级咨询服务流程图

 

● 定级准备阶段

 

在定级的过程中,不仅会涉及客户的信息管理部门,还会涉及到不同的业务部门,只有业务部门对信息系统的业务要求、信息系统受损害后的程度最为了解,因此业务部门应参与、甚至主导对业务信息系统的定级工作。
针对定级指导委员会、定级工作项目组,由启明星辰进行国家等级保护政策的培训。

 

初步明确定级范围,以便后续开展摸底调查和进行定级。定级范围包括本单位内部建设、使用的承载生产、调度、管理、办公等重要业务的信息系统。

 

启明星辰根据已了解的初步基本信息、定级范围,按照国家等级保护相关文件(如861号文、国家《定级指南》、启明星辰定级方法等),制定本单位信息系统安全等级的定级工作计划,并与客户沟通确认。

 

● 信息系统识别

 

由定级工作项目组中的信息管理部门相关人员牵头,开展对所有需要定级的信息系统的摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式等信息,为下一步明确定级范围、进行定级奠定基础。

 

启明星辰会准备《信息系统调查表》,协助客户的信息管理部门开展信息系统识别工作,组织相关业务部门填写调查表。

 

在这个工作过程中,各业务部门的接口人根据信息系统的实际情况填写调查表,启明星辰通过邮件、电话等方式对各业务部门接口人提供技术支持,支持解答定级范围、表格填写以及填报系统使用等问题。

 

● 初步定级

 

启明星辰准备《信息系统安全等级保护定级报告模板》,给出定级报告示例。定级工作项目组的信息管理部门和业务部门依据定级报告模板,起草《信息系统安全等级保护定级报告》。

 

虽然国家《定级指南》已经给出了定级的原则和指南,但在具体定级过程中,由于各行业各单位的自身特点不同,加上信息系统的数量可能较多、涉及单位或部门较多,业务单位则普遍缺少定级的经验,可能会导致定出来的安全等级不合理、同类信息系统在不同单位定的级别不一致、下级单位定级高于上级单位定级等不合理等情况。

 

启明星辰根据已经掌握的信息系统情况,对各单位上传的定级报告的合理性进行初步研究和审核把关,请相关单位派人共同讨论,按照系统类别梳理定级报告,对照国家对不同等级的要求,在报告内容、行文格式、定级准确性等方面给出修改意见。

 

根据讨论的定级报告修改意见,各单位的定级工作组修改定级报告,并汇总到定级工作项目组,由定级工作项目组统一汇总、整理后,形成定级报告的专家评审稿。

 

● 行业化定级指导建议

 

依据对已定级信息系统的了解,根据客户单位的实际情况,结合国家《定级指南》的要求,启明星辰可协助客户制定行业化的《某某行业等级保护定级指导建议》(可选),以指导本行业、本地区的定级工作。

 

● 评审和审批

 

初步确定信息系统安全保护等级后,启明星辰将协助客户聘请等级保护专家、行业专家、主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,并形成评审意见。

 

评审后,启明星辰将协助客户参考专家定级评审意见,最终确定信息系统等级,进一步修改各信息系统的《定级报告》和行业化定级指导建议(若有),形成最终的定级报告。

 

若客户有上级主管部门或行业主管,并对定级报告具有审批要求的,启明星辰将协助将信息系统安全保护等级定级报告报经上级主管部门审批同意。

 

● 协助备案

 

根据43号文(《信息安全等级保护管理办法》),信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应到公安部网站下载《信息系统安全等级保护备案表》,持填写的备案表纸制版及其电子版(均为word表格),到公安机关办理备案手续,提交有关备案材料。启明星辰将协助客户填写《信息系统安全等级保护备案表》,协助完成备案工作。

 

● 总结报告阶段

 

各单位对本单位的定级工作进行总结并报给定级项目工作组。定级项目工作组汇总整个单位的定级情况,对定级工作进行总结,形成总结报告,提交信息系统定级指导委员会、信息管理部门主管领导,并可同时报送给备案的公安机关。

文章来源:VENUS
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号