等级保护测评认证定级过程中常见的问题

来源:本站 作者:中联信科 日期:2021-08-02 17:15:47 浏览: 176

1、等保定级标准或者规范是?

2020年4月28日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》,且该指南将于2020年11月1日正式实施。企业定级以本指南为主要指引,如主管单位另有要求,就以主管单位的为准。
北京中联信科信息安全等级保护2.0三级等保测评认证办理代办公司

2、信息系统分哪几个等级?受什么因素影响?

根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。
等保级别 适用信息系统及行业 信息系统破坏后侵害程度 
第一级
(自主保护级) 一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 
第二级
(指导保护级) 一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 
第三级
(监督保护级) 一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 
第四级
(强制保护级) 一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 
第五级
(专控保护级) 一般适用于国家重要领域、重要部门中的极端重要系统。 信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分。 
等级保护对象的级别由两个定级要素决定:①受侵害的客体,分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。②对客体的侵害程度,分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
同时,根据相关规定,定级对象具有以下三大基本特征:①具有确定的主要安全责任主体;②承载相对独立的业务应用;③包含相互关联的多个资源。
如果企业的系统有以上特征,那么就算系统再小,也需要进行定级备案。简而言之,互联网上的系统差不多都要进行定级备案。

3、等级保护定级流程是怎样的?

定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
根据规定,安全保护等级初步确定为第二级及以上的等级保护对象,其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核,最终确定其安全保护等级。
①专家评审:定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,并出具专家评审意见 。
②主管部门审批:定级对象的运营、使用单位应将初步定级结果定级结果报请行业主管(监管)部门核准,并出具核准意见。
③公安机关审核:定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。

4、定级不准或者不定级会怎样?

公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
此外,对拒不备案的,公安机关应当依据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部门通报。依照规定向中央和国家机关通报的,应当报经公安部同意。
最后,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。

5、谁对定级负责任?

企业(运营使用单位)和主管部门需要配合信息安全监管部门做好信息系统的安全工作,一旦发生安全问题,这三方都是需要承担责任的,不过企业和主管部门需要负主要责任。“谁主管谁负责、谁运维谁负责、谁使用谁负责”。
0
上一篇:等保测评1.0到2.0都发生了哪些变化? ← 下一篇:等保测评认证2.0的核心防御技术:可信计算 →
0.098727s