一、系统梳理
开展五类基础调查,全面掌握系统现状:
网络拓扑调查:分析网络结构,确定各网络区域安全等级,明确拓扑安全边界。
资产信息调查:识别系统中重要资产,包括服务器、核心交换机、边界防火墙、IDS等关键设备。
服务信息调查:梳理系统对外提供的服务对象与覆盖范围。
系统边界调查:界定各子系统之间的逻辑与物理边界。
信息数据调查:分类评估系统内外各类数据资源的类型、覆盖范围及存储规模。
二、定级分析
基于前期调查结果,开展两类关键分析:
业务类型分析:判断各系统的业务属性,确定其在组织中的重要性。
管理机构分析:评估安全管理机构设置的合理性与职责匹配度。
三、定级要素分析
结合业务与管理分析,完成三项核心判定:
业务信息分析:明确业务信息系统(含数据)遭破坏后对公民、法人及其他组织的合法权益、社会秩序、公共利益、地区安全、国计民生和保密程度的影响程度。
系统服务分析:明确系统服务遭破坏或中断后对上述权益与秩序的影响程度。
综合定级:将业务信息安全等级与系统服务安全等级进行交叉比对,取两者中较高者作为整个系统的最终安全保护等级。
四、撰写定级报告
依据上述分析成果,编制系统定级报告,内容包括:
系统基本描述;
业务信息安全保护等级的确定过程与结论;
系统服务安全保护等级的确定过程与结论;
整个系统安全保护等级的最终确定结果。
五、协助备案
协助完成后续行政与技术流程:
协助填写并提交网络安全等级保护备案表;
协助组织召开定级评审会,完成定级审批全流程。


