定級建議
系統定級是實施信息系統安全等級保護的前提和基礎。信息系統安全等級的確定是否科學、準確直接關系到是否對信息系統采取了足夠的安全保護措施,是否能夠將信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度降到最低。
信息系統定級可以選擇但不局限于以下方法:
a)根據經驗直接定級
b)自行制定定級方法
c)按照定級標準定級
信息系統的安全等級確定不是一個過程就可以完成的,可能要經過信息系統劃分、定級要素賦值、信息系統定級、定級結果調整、定級要素重新賦值、信息系統再定級、定級結果再調整的循環過程,最終才能確定出較為準確的信息系統安全等級。
安全規劃
安全規劃設計是等級保護實施過程中的一個重要階段,安全規劃設計階段的目標是通過安全評估和需求分析判斷信息系統的安全保護現狀與等級保護基本要求之間的差距,確定安全需求,然后根據信息系統的劃分情況、信息系統的定級情況、信息系統承載業務情況和安全需求等,設計合理的、滿足等級保護要求的總體安全方案,并制定出安全實施計劃等,以指導后續的信息系統安全建設工程實施。
對于大型的信息系統,比如包含多個不同等級的信息系統、涉及的地理范圍較大、安全建設周期較長,則建議執行所有的活動。對于小型信息系統,比如只有一個安全等級且涉及范圍不大的信息系統,可以執行部分活動。
安全規劃設計主要包括以下幾個步驟:
第一步 安全評估和需求分析;
第二步 安全總體設計;
第三步 安全建設規劃。
安全培訓
信息安全等級保護工作是一項由信息系統的主管部門和建設運營單位、信息安全產品和服務廠商和信息安全等級保護的監管執法機關等三方參與,涉及技術與管理的復雜系統工程。為滿足等級保護工作各參與方的安全培訓需求,評估中心于國內首家開設涵蓋信息安全政策法規和等級保護相關標準、安全基礎知識、安全攻防技術、等級安全測評等內容的等級保護培訓專項課程。
通過培訓,參訓人員可以充分了解國家信息安全等級保護管理政策、思路和公安部門依法行政的安全監管模式,學習信息安全基礎知識與攻防技術,并掌握信息安全檢測技術和方法、檢測流程和工作規范以及對檢測結果的分析和處理,為開展重要網絡與信息系統的安全保護工作打下堅實的理論和實踐基礎。
