等级保护如何确定定级对象和保护等级
信息安全等级保护制度是国家信息安全保障的基本制度,而定级是等级保护工作的首要环节和关键环节,定级不准,系统备案、建设、整改、等级测评等后续工作都会失去意义,信息系统安全就没有保证。网络安全等级保护制度是保障和促进信息化建设健康发展的一项基本制度。安徽灵狐网络科技有限公司联合各地测评机构和安全厂商,提供一站式等保合规测评和网络安全整改服务,为用户构建合法合规、重点突出、节约成本、符合实际的安全保障体系,帮助企业快速通过公安部要求的《信息系统安全等级保护》测评。
定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响。需要运营使用单位、主管部门真正承担起安全责任,同时,信息安全监管部门代表国家对重要信息系统的安全进行监督、检查、指导。在重要信息系统安全方面,运营使用单位和主管部门是第一责任部门,负主要责任,信息安全监管部门是第二责任部门,负监管责任。
一、安全保护等级
《网络安全等级保护条例(征求意见稿)》第十五条规定,根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
安全保护能力应随着安全保护等级的增高,逐渐增强。
二、准确确定定级对象。
在定级工作中,如何科学、合理地确定定级对象是最关键的问题。这里首先要明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。具体工作中,应按如下原则确定定级对象:
一是起支撑、传输作用的基础信息网络要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是专网、内网、外网等网络系统(包括网管系统)要作为定级对象。同基础信息网络一样,也不能将整个网络系统作为一个定级对象,而是要从安全管理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级。
三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。
五是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
六是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
三、科学、合理、准确确定信息系统安全保护等级。
信息系统的安全保护等级是信息系统本身的客观自然属性,不应以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
针对不同的信息系统,建议参考以下原则定级。
第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。
第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。