欢迎访问kok官网注册网站!
0551-65909059   公司OA
联系电话:
当前位置:首页>>新闻中心>>行业动态 >>数据安全专栏|一种简便的业务系统分级方法
今天是: 2024年01月16日   【农历:腊月初六】  星期二
数据安全专栏|一种简便的业务系统分级方法

业务系统是企事业单位中最重要的信息资产之一,直接关系到企事业单位的运营和安全。在网络安全工作中,我们通常以业务系统为对象开展等级保护测评、风险评估、渗透测试。因此,对业务系统进行分级管理,可以帮助企事业单位确定哪些系统需要更高的安全级别,并采取相应的措施来保护敏感数据和信息。但是,基于现实中很多企业缺乏专业的网络安全人员、或人员水平参差不齐的情况,如果有一种简便的业务系统分级方法,将可以有效地缩小水平差、提高工作效率。

本文展示的方法是大数据公司在实践尝试过程中总结而出的,从后果、范围、措施等维度将业务系统划分为四级,由低至高分别为L1级、L2级、L3级、L4级。分级方法采用以下四个步骤:

步骤一. 明确系统被入侵或数据泄漏的后果

第一步考虑该业务系统被恶意攻击者入侵成功或其中数据泄漏,产生的后果有多影响。这个后果同样分为四级,由低至高分别为无影响、轻微、一般、严重。按照下表进行区分:

图片

步骤二. 明确系统可被访问的范围规模

第二步考虑该业务系统可以被多少人访问,其规模有多大。这个规模可能有人会误以为是用户规模,其实不然。用户规模是指已注册或使用该业务系统的真实用户,但是这里仅仅指可以通过网络访问到该系统的人数。举个例子来说,处于内网中的OA系统,其可访问的人数肯定没有处于互联网中的门户系统多,但是其用户规模却要更多。

这个范围规模分为三级,由低至高分别为较小范围、较大范围、超大范围。按照下表进行区分:

图片

步骤三.初步定级

第三步将根据前两步明确的后果和范围进行初步定级,其定级方法参考下表:

图片

步骤四、最终定级
最后通过考虑业务系统当前是否具备安全防护措施,来进行最终定级。简单来说,如果不具备安全防护措施,原本的级别可能会上调。其方法参考下表:

图片