等级保护定级要素与等级的关系矩阵表
《信息安全等级保护管理办法》:国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
定级要素与等级的关系矩阵表
对象 | 等级 | 公民/法人/组织的合法权益 | 社会秩序/公共利益 | 国家安全 | |||||
---|---|---|---|---|---|---|---|---|---|
损害 | 严重损害 | 损害 | 严重损害 | 特别严重损害 | 损害 | 严重损害 | 特别严重损害 | ||
一般系统 | 一级 |
|
|||||||
二级 |
|
|
|||||||
重要系统 | 三级 |
|
|
||||||
四级 |
|
|
|||||||
极端重要系统 | 五级 |
|
第一级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
自主保护级第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
适用系统一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
指导保护级第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
适用系统一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
监督保护级第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
适用系统一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
强制保护级第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
适用系统一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级信息系统受到破坏后,会对国家安全造成特别严重损害。
专控保护级第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
适用系统一般适用于国家重要领域、重要部门中的极端重要系统。
五个实施环节
定级流程在《信息系统安全等级保护定级指南》中,说明了定级的一般流程:
1、确定作为定级对象的信息系统;
2、确定业务信息安全受到破坏时所侵害的客体;
3、根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
4、根据业务信息的重要性和受到破坏后的危害性确定业务信息安全保护等级;
5、确定系统服务安全受到破坏时所侵害的客体;
6、根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
7、根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;
8、将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
已运营/新建的第二级以上信息系统,应当在安全保护等级确定/投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
提交材料《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》、《系统定级评审意见》、《涉及国家秘密的信息系统分级保护备案表》等。
备案审核公安机关在收到备案材料之日起的10个工作日内,对符合等保要求的,颁发《信息系统安全等级保护备案证明》;对不符合法规或等级保护要求的,应当在十个工作日内通知备案单位进行纠正或整改。
政策依据《信息安全等级保护备案实施细则》(公信安[2007]1360号)。
(1)《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括《信息安全等级保护安全建设整改工作指南》和《信息安全等级保护主要标准简要说明》。该文件由公安部印发。
(2)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)。该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行,明确了项目验收条件:公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。该文件由发改委、公安部、国家保密局共同会签印发。
政策依据关于印发《信息系统安全等级测评报告模版(试行)》的通知(公信安[2009]1487号)。该文件明确了等级测评的内容、方法和测评报告格式等内容,用以规范等级测评活动。该文件由公安部网络安全保卫局印发。
《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号)。该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等,使检查工作规范化、制度化。该文件由公安部网络安全保卫局印发。