网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
白话版:
除了个人和家庭以外的信息系统都需要做网络安全等级保护并对其分等级管理。
定级。
定级是网络运营者开展网络安全等级保护工作,落实等级保护制度的首要工作。根据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》定级工作又分为:确定定级对象、初步确定等级、专家评审、主管部门核准、备案审核这5个步骤。
01.确定定级对象
网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源等。
注意:
在确定定级对象的时候要注意整体性,从业务逻辑整体出发,避免将某个单一的系统组件、如终端、服务器或者网络设备等作为定级对象;也不要盲目将每一个系统都视为定级对象,其实有一些只是系统下的模块而已。
02.初步确定等级
根据《GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南》等级保护对象的安全保护等级分为五个等级:
第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害, 但不危害国家安全、社会秩序和公共利益;
第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。
在确定定级对象之后,由责任主体按照业务实际运行情况确定等级、自主定级。下图为:定级方法流程示意图
从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
等级的确定根据定级指南,可依据下表:
定级指南中指出:将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
白话版:
如果你的业务信息安全定为第二级,系统服务安全定为第三级,根据就高不就低的原则,该信息系统的则最终定级为:第三级。
二级及以上的信息系统需要组织专家评审,并到网安机关备案、审核。
一级信息系统自主定级、自主备案且不需要到网安机关提交备案材料。
03.专家评审
专家对信息系统定级合理情况进行评审,并确定是否定级准确。三名专家组成专家组,三名专家中必须有一人为高级等级保护测评师。
注意:
专家评审看重的是系统的安全性,看系统是否缺少了什么安全防护设备并确定系统定级的准确性。
有些网络运营者习惯把一些系统合并成为一个系统,专家应该审核这种合并的合理性,前文提到的将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级,在评审表中应该考虑系统服务安全和系统业务安全,并认清对应的级别;对于认定为一级的系统也应该在专家评审意见中写明原因,不能只写二级以上的评审意见。
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询
