等级保护信息系统分析

等级保护信息系统分析

一、信息系统定级阶段的工作流程

信息系统定级阶段是信息系统运营、使用单位按照国家有关管理规范和GB/T 22240-2008，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。

二、信息系统分析

定级阶段的工作流程

1、系统识别和描述

活动目标:

本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息，并对信息进行综合分析和整理，依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。

参与角色:信息系统运营、使用单位，信息安全服务机构。

活动输入:信息系统的立项、建设和管理文档。

2、信息系统划分

等级保护信息系统划分

活动目标:

本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统

进行合理分解，确定所包含可以作为定级对象的信息系统的个数。

参与角色:信息系统运营、使用单位，信息安全服务机构。

划分方法的选择

一个组织机构可能运行一个大型信息系统，为了突出重点保护的等级保护原则，应对大型信息系统

进行划分，进行信息系统划分的方法可以有多种，可以考虑管理机构、业务类型、物理位置等因素，信

息系统的运营、使用单位应该根据本单位的具体情况确定-一个系统的分解原则。

信息系统划分

依据选择的系统划分原则，将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中，应该首先考虑组织管理的要素，然后考虑业务类型、物理区域等要素。

信息系统详细描述

在对信息系统进行划分并确定定级对象后，应在信息系统总体描述文件的基础上，进一步增加信息

系统划分信息的描述，准确描述- 一个大型信息系统中包括的定级对象的个数。

关键词： 信息系统 使用单位 组织机构