编辑:小星
多一份网络防护技能
多一份信息安全保障
等保制度是国家安全保障的基本制度,定级则是等保工作中首要环节和重要环节,定级工作没有做好,那么后续环节的工作也就失去了意义,信息系统的安全就得不到保障。定级需要考虑的信息有系统遭到破坏后对国家安全和社会稳定造成的影响程度。三级以上的系统均属于国家重点保护的系统,都是重要的系统。
重要的信息系统是国家的基础设施,其安全需要企业及企业相关部门共同承担起安全责任,运营在调研、定级评审过程中,也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。企业(运营使用单位)和主管部门需要配合信息安全监管部门做好信息系统的安全工作,一旦发生安全问题,这三方都是需要承担责任的,不过企业和主管部门需要负主要责任。
运营使用单位和主管部门在完成等保工作的时候可能会遇到以下问题:
1.不能做到换位思考,运营使用单位或者主管部门未能从国家安全、社会稳定等位置对信息系统等级进行统筹考虑,只是一味的站在行业、信息系统自身的安全角度看待问题。
2.运营使用单位或者主管部门觉得定级定高了,成本相应的也会高很多,企业的负担会加重许多。
3.运营使用单位或者主管部门对本行业下属单位的定级指导不当,对于同类的信息系统定的级数太低,无法达到政策法规的标准。
4.是少数运营使用单位或者主管部门对于定级工作的重要性还不够了解,出现一些企业只是对信息系统的运维单位进行定级,而没有对业务单位进行定级。
出于种种问题,致使很多企业的定级工作可能做得不是很好,甚至是没有做的的情况,结合大家的各种情况,我们来总结一下该如何正确的进行定级工作吧!
1.确定对象
定级的第一步就是确认对象,只有科学、合理地确定好定级对象,才便于后续的工作开展,可参考以下内容确定定级对象
一、起到支撑和传输作用的基础信息网络是需要定级对象。
二、包括网管系统的网络系统(专网、内网、外网等)都要作为定级对象。
三、各单位网站要作为独立的定级对象。不过安全级别较高的网站后台的数据库管理系统,需要作为独立的定级对象。
四、不同业务类别的应用系统需要分别作为独立的定级对象,不能以系统是否有数据交换或独享设备作为确定标准。
五、确认组织需要定级的系统有专门的业务主管,以便运维部门(例如信息中心、托管方)可以协助该组织的业务门开展后续等保工作。
六、具备信息系统的基本要素,避免将服务器、终端、网络设备等单一的系统组件作为定级对象。
2.确定等级
定级对象的系统重要性以及受到破坏的后对各方面造成的危害程度不同,导致他们的安全等级也不同。所以在确认系统等级的时候一定要根据实际情况进行,不能主观的想定几级就定几级。针对信息系统的不同情况,可按照下列情况进行定级。
3.系统等级的确定与审批
如果运行的信息系统是跨省或者全国统一联网的,可由主管部门统一确定保护等级。其中两点需要注意:
一是出现全国联网系统的保护策略是由各行业统一规划、统一建设的,需要分别让行业的主管部门确定等级;
二是信息系统是全国联网由各行业统一规划、分级建设的,应该由部、省、地市分别对系统等级进行确定,各行业的主管部门只对系统提出定级意见,但不应出现同类系统下级定级高于上级的情况。
还有一点需要注意,如果出现部、省、市行政级别的降低的情况,同类信息系统的安全保护等级不能降低。
以上为个人观点,仅供参考。
欢迎关注小星(ID:DBXSJ01)
