等级; Р h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等Р 级。Р 上述步骤如图1确定等级一般流程所示。Р 3РGB/T 22240—2008 Р 1、确定定级对象Р 2、确定业务信息安全受到破坏时 5、确定系统服务安全受到破坏时Р 所侵害的客体所侵害的客体Р 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度Р Р 依据表 2 依据表 3 Р 4、业务信息安全等级 7、系统服务安全等级Р 8、定级对象的安全保护等级Р Р 图1 确定等级一般流程Р5.2 确定定级对象Р 一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设Р成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不Р同安全保护等级的定级对象。Р 作为定级对象的信息系统应具有如下基本特征: Р a) 具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。Р 如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则Р 这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担Р 信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的Р 单位。Р b) 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按Р 照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、Р 终端、网络设备等作为定级对象。Р c) 承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务Р 流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相Р 对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数Р4
全文预览
