信息系统分级管理目的是加强信息系统在生命周期中的管理,保证信息系统安全,防范信息系统管理的信息安全风险。 业务系统的分级方法取决于系统的业务影响性分析。本策略从系统服务的可用性及所承载的数据的机密性受破坏后对业务的影响程度来确定系统的重要等级。 信息系统分级定义 ▼▼第一级信息系统定义
▼▼第二级信息系统定义
信息系统的分级管理 ▼▼通用管理原则如下 信息系统包括服务器端和客户端。其管控方式须一致。 应根据信息系统分类分级,在全生命周期内对使用、废弃、访问控制、变更管理等方面做出相应要求。 信息系统生命周期中,须依据系统的重要级别建立差异的访问控制机制,对重要系统的访问须有严格的授权。 应落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。 信息系统的开发环境、测试环境及生产环境应有效隔离;同时开发、测试阶段的系统管理职能与生产系统的管理职能相分离。 信息系统的建设和运营阶段,宜识别获取方式、维护方式、环境、人员、干系方等风险因素,采取适当的项目管理方法,控制信息科技项目相关的风险。 应降低利用已公布的技术脆弱性导致的风险。 应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决业务系统问题,并对问题进行记录、分类和索引; 应建立应急响应机制以有效保证业务连续性。 应建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。 信息系统的废弃由指定部门执行。应采取相关处理流程,保证其承载的公司内部级及以上级别的信息不能泄露。 承载保密信息的业务系统,其使用过程中应遵守相关保密要求。 作者:李鹏飞(转载请获本人授权,并注明作者与出处) |
|