定級方法 ? 系統識別 ? 識別單位基本信息 ? 識別管理框架 ? 識別業(yè)務(wù)種類(lèi)和業(yè)務(wù)流程 ? 識別信息 ? 識別網(wǎng)絡(luò )結構 ? 識別主要的軟硬件設備 ? 識別用戶(hù)類(lèi)型和分布

定級方法 ? 系統劃分 ? 分析安全管理責任，確定管理邊界 ? 分析網(wǎng)絡(luò )結構和已有內外部邊界 ? 分析業(yè)務(wù)流程和業(yè)務(wù)間關(guān)系

定級方法 ? 第二步：確定受侵害客體 ? 業(yè)務(wù)信息受到破壞后的侵害客體 ? 系統服務(wù)受到破壞后的侵害客體 ? 多種信息和多種服務(wù)系統的處理

定級方法 ? 第三步：確定對客體的侵害程度 ? 業(yè)務(wù)信息受到破壞后對客體的侵害程度 ? 系統服務(wù)受到破壞后對客體的侵害程

定級方法 綜合判定侵害程度 ： ? 如果受侵害客體是公民、法人或其他組織的合法權益，則以本 人或本單位的總體利益作為判斷侵害程度的基準。 ? 如果受侵害客體是社會(huì )秩序、公共利益或國家安全，則應以整 個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準。

定級方法 ? 第四步：確定業(yè)務(wù)信息安全等級和系統服務(wù)安全等級 ? 第五步：初步確定系統安全保護等級

定級流程 ? 系統等級調整 信息系統的決策者或上級主管部門(mén)可根據系統的特殊安全需求進(jìn)行等級 調整，可以參考以下因素： ? 上級主管部門(mén)在政策和管理方面的特殊要求； ? 預測業(yè)務(wù)數據可能會(huì )隨著(zhù)時(shí)間的變化從量變轉化為質(zhì)變； ? 隨著(zhù)信息系統所承載的業(yè)務(wù)不斷完善和穩定，各種業(yè)務(wù)的取消或合并； ? 信息系統服務(wù)范圍隨著(zhù)業(yè)務(wù)的發(fā)展，將會(huì )有較大的變化

等保分為5個(gè)級別，具體如下：

第一級 自主保抄護??級：無(wú)需備案襲，對測評周期無(wú)要求

第二級 指導保護級: 公安部門(mén)備案，建議兩年測評一次

第三級百 監督保度護級：公安部門(mén)備案，要求每年測評一次

第四級 強制保護級：公安部門(mén)備案，要求半年一次

第五知級 專(zhuān)控保護級：公安部門(mén)備案，依據特殊道安全需求進(jìn)行