一、系统梳理

开展五类基础调查,全面掌握系统现状:

  • 网络拓扑调查:分析网络结构,确定各网络区域安全等级,明确拓扑安全边界。

  • 资产信息调查:识别系统中重要资产,包括服务器、核心交换机、边界防火墙、IDS等关键设备。

  • 服务信息调查:梳理系统对外提供的服务对象与覆盖范围。

  • 系统边界调查:界定各子系统之间的逻辑与物理边界。

  • 信息数据调查:分类评估系统内外各类数据资源的类型、覆盖范围及存储规模。


二、定级分析

基于前期调查结果,开展两类关键分析:

  • 业务类型分析:判断各系统的业务属性,确定其在组织中的重要性。

  • 管理机构分析:评估安全管理机构设置的合理性与职责匹配度。


三、定级要素分析

结合业务与管理分析,完成三项核心判定:

  • 业务信息分析:明确业务信息系统(含数据)遭破坏后对公民、法人及其他组织的合法权益、社会秩序、公共利益、地区安全、国计民生和保密程度的影响程度。

  • 系统服务分析:明确系统服务遭破坏或中断后对上述权益与秩序的影响程度。

  • 综合定级:将业务信息安全等级与系统服务安全等级进行交叉比对,取两者中较高者作为整个系统的最终安全保护等级。


四、撰写定级报告

依据上述分析成果,编制系统定级报告,内容包括:

  • 系统基本描述;

  • 业务信息安全保护等级的确定过程与结论;

  • 系统服务安全保护等级的确定过程与结论;

  • 整个系统安全保护等级的最终确定结果。

五、协助备案

协助完成后续行政与技术流程:

  • 协助填写并提交网络安全等级保护备案表;

  • 协助组织召开定级评审会,完成定级审批全流程。