根据国家信息系统安全等级保护相关标准,为客户提供信息系统安全等级定级、总体安全规划等服务,并指导客户落实安全规划,达到国家信息系统安全等级保护的要求并通过等级保护测评。
信息系统等级保护的相关工作包括系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止、等级测评等几个阶段(见下图)。定级是等级保护实施的基础性工作,是进行相应等级安全建设的依据(见安全需求方法论)。完成定级工作之后,更关键的是依据等级保护基本要求和风险评估结果,进行等级化安全体系的设计与建设,最终符合国家等级保护的基本要求。易聆科将引导用户在深入理解定级的根本要求、充分调查评估信息系统安全风险的基础上,完成准确定级,形成全面系统有效的安全方案,并协助用户落实安全方案,最终顺利通过等级保护的测评。
图-等级保护实施流程
| 如何定级 |
·确定信息系统
– 恰当划分信息系统(大系统、系统边界)
– 具有信息系统的基本要素
– 承载单一或相对独立的业务应用
– 具有唯一确定的安全责任单位 |
·确定受侵害的客体
– 国家安全
– 社会秩序、公众利益
– 公民、法人和其他组织的合法权益 |
·确定对客体的侵害程度
– 一般损害
– 严重损害
– 特别严重损害 |
安全需求方法论
