安全性就高枕无忧。对于系统所有者来讲,安全目标一定是有限的,是考虑了成本与效益的平衡,考虑了更高威胁所造成损失的可接受。因此,威胁可以不作为确定信息系统安全等级所考虑的系统元素,而放在确定保护各级别系统的控制目标和控制措施时考虑。Р此外,系统是指通过软件、硬件等组成的有机整体所提供的功能和服务,业务是由信息系统所承载的,对内部或外部用户提供的信息化服务,它们的核心内容都是功能和服务,因此将影响安全等级的一个系统元素确定为服务,信息系统提供的服务,另一个元素为信息。Р根据上述分析,信息系统重要程度可以从信息系统所处理的信息和信息系统所提供的服务两方面来体现,对信息系统的破坏也应从对业务信息安全的破坏和对系统服务安全的破坏两方面来考虑。因此,在《定级指南》中也是分别从这两个方面确定信息系统安全被破坏后所影响的客体及对客体的影响程度。Р定级过程和方法Р定级对象概述Р定级工作是信息系统等级保护工作的起点,定级结果直接决定了后续安全保障工作的开展。在定级之前,首先必须明确定级的对象,即,对哪个信息系统进行定级。《定级指南》中指出,作为定级对象的信息系统应当具备以下三个条件:Р具有唯一确定的安全责任单位Р作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,而其上级部门仅负有监督、指导责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。Р具有信息系统的基本要素Р作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如
全文预览
