安全资讯

【等级保护】如何确定系统安全等级

    信息系统定级是等保工作的首要环节,准确的定级能够避免后续工作中的很多弯路,也能尽量避免投资浪费或定级过低而带来的风险。
    信息系统定级大致可以分为五大步骤:
        确定定级对象——初步确定等级——专家评审——行业主管部门审核——公安机关备案审查。
        一
    确定定级对象
    一、定级准备
        《网络安全等级保护基本要求》中指出等级保护对象通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
        定级范围:定级范围包括本单位内部建设、使用的承载生产、调度、管理、办公等重要业务的信息系统。
        另外,定级对象还应具备如下基本特征:
        1、具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任;则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任;则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
        2、具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件;如服务器、终端、网络设备等作为定级对象。
        3、承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的流程独立;且与其他业务应用没有数据交换;且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立;同时与其他业务应用有少量交换;定级对象可能会与其他业务应用共享一些设备;尤其是网络传输设备。
        B、信息系统摸底
        开展对所有需要定级的信息系统的摸底调查工作,掌握信息系统的基本情况,了解信息系统的业务类型、应用或服务范围、用户数量、系统结构、部署方式等信息,为下一步明确定级范围、进行定级奠定基础。

        二
    初步确定等级
        信息系统安全等级由受侵害客体和对客体的侵害程度两大要素决定。
        A、受侵害的客体包括:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
        注:确定作为定级对象的信息系统受到破坏后所侵害的客体时;应首先判断是否侵害国家安全;然后判断是否侵害社会秩序或公众利益;最后判断是否侵害公民;法人和其他组织的合法权益。
        B、对客体的侵害程度分为:一般损害、严重损害、特别严重损害。
        注:在针对不同的受侵害客体进行侵害程度的判断时;应参照以下不同的判别基准:
        如果受侵害客体是公民、法人或其他组织的合法权益;则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全;则应以整个行业或国家的总体利益作为判断侵害程度的基准。
        《信息安全等级保护管理办法》规定;信息系统的安全保护等级分为以下五级;一至五级等级逐级增高:
        第一级;信息系统受到破坏后;会对公民、法人和其他组织的合法权益造成损害;但不损害国家安全、社会秩序和公共利益。
        第二级;信息系统受到破坏后;会对公民、法人和其他组织的合法权益产生严重损害;或者对社会秩序和公共利益造成损害;但不损害国家安全。
        第三级;信息系统受到破坏后;会对社会秩序和公共利益造成严重损害;或者对国家安全造成损害。
        第四级;信息系统受到破坏后;会对社会秩序和公共利益造成特别严重损害;或者对国家安全造成严重损害。
        第五级;信息系统受到破坏后;会对国家安全造成特别严重损害。
        举例:
        单位的信息系统A如果受到破坏后;不会对国家安全造成损害;但是会对社会秩序和公共利益造成严重损害;对公民、法人和其他组织的合法权益造成一般损害;则参考(表一)该信息系统A的定级应为三级。
        单位的信息B如果受到破坏后;不会影响国家安全;也不会对社会秩序和公共利益造成损害;但是对公民、法人和其他组织的合法权益造成严重损害;则参考(表一)该信息系统A的定级应为二级。
        (表一)定级要素与安全等级的关系

        三

专家评审
    初步确定信息系统等级后,单位可以聘请等级保护专家、行业专家、主管机关领导等外部专家,召开信息系统定级评审会,对定级报告进行外部评审,并形成评审意见。单位结合评审意见形成最终定级报告。(此步骤可以邀请测评机构协助)

        四
    主管部门审核
        若单位有上级主管部门或行业主管单位,并对定级报告具有审批要求的,单位需将信息系统安全保护等级定级报告报经上级主管部门审批同意。

        五
    公安机关备案审查
        根据43号文《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应到公安机关办理备案手续,提交有关备案资料。
        注:已运营(运行)的第二级以上信息系统;应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
        新建第二级以上信息系统;应当在投入运行后30日内;由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
        备案时应当提交《信息系统安全等级保护备案表》(一式两份)。第二级以上信息系统备案时需提交《备案表》表一、表二、表三。第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号