等級保護(hù)定級備案是網(wǎng)絡(luò)安全等級保護(hù)的第一階段,而這一部分對后續(xù)工作起到重要指引作用��。如果定級不合理���,將大大把網(wǎng)絡(luò)安全等級保護(hù)的作用降低了�。為啥要開展等級保護(hù)工作��,其實(shí)就是為了通過分級管理的辦法�,把需要做好網(wǎng)絡(luò)安全防護(hù)的對象,采取合適的網(wǎng)絡(luò)安全防護(hù)建設(shè)�,做到不過度防御,但也要給予足夠的基礎(chǔ)網(wǎng)絡(luò)安全防御措施�����。是不是覺得等級保護(hù)定級備案很難,其實(shí)參考一些文檔和聽取專家意見后�,合理定級還是不難的。
等級保護(hù)定級備案參考標(biāo)準(zhǔn)
1�����、網(wǎng)絡(luò)安全等級保護(hù)定級指南���,當(dāng)?shù)毓膊恳蟮臉?biāo)準(zhǔn)����,一般是當(dāng)下正在實(shí)施的定級標(biāo)準(zhǔn)���。
2�、行業(yè)等級保護(hù)定級指南�����,由行業(yè)主管部門發(fā)布的��。
等級保護(hù)定級備案流程
定級與備案流程為:確定定級對象����、初步確定等級����、專家評審��、主管部門核準(zhǔn)以及備案審核����。
上海市計算機(jī)軟件評測重點(diǎn)實(shí)驗室�,徐佳瑾發(fā)布的《網(wǎng)絡(luò)安全等級保護(hù)工作中的定級與備案》一文中提到一些建議和對象舉例,能夠更形象為大家說明哪些系統(tǒng)需要做定級備案�,以及在定級備案的過程中如何定級更合適。當(dāng)然�����,這僅僅是建議���,實(shí)際在等級保護(hù)定級備案的過程中�����,聽取當(dāng)?shù)毓膊块T以及主管部門的要求和專家評審意見��,結(jié)合公司實(shí)際情況���,來科學(xué)定級���,才能夠得出更為符合實(shí)際情況的定級結(jié)果。
定級對象
網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)定級之前�,首先需要梳理信息系統(tǒng)的信息,包括識別系統(tǒng)的數(shù)量�����、邊界和范圍等�����,需要說明的是:個人����、家庭組建的網(wǎng)絡(luò)和使用的計算機(jī)不在等級保護(hù)范圍內(nèi)。
那么如何科學(xué)�����、合理地確定定級對象呢��,網(wǎng)絡(luò)運(yùn)營者或主管部門可參考下列情況來確定定級對象。
一是各單位的各類業(yè)務(wù)系統(tǒng)���,主要用于生產(chǎn)����、調(diào)度��、管理��、作業(yè)�、指揮�、辦公、郵件等目的;
二是各單位的各類網(wǎng)站(如門戶網(wǎng)站��,OA管理網(wǎng)站����,電子商務(wù)網(wǎng)站等),另外安全級別高的網(wǎng)站后臺管理系統(tǒng)�����,也應(yīng)作為獨(dú)立的定級對象;
三是云計算平臺����,物聯(lián)網(wǎng)信息系統(tǒng)也需作為獨(dú)立的定級對象來進(jìn)行備案;
需特別注意的是���,作為定級對象的網(wǎng)絡(luò)、信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備����、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。不應(yīng)將某個單一的系統(tǒng)組件(例如服務(wù)器�、終端、網(wǎng)絡(luò)設(shè)備等)作為定級對象;
定級級別建議
定級對象收到破壞時所侵害的客體包括國家安全����、社會秩序、公眾利益以及公民�����、法人和其他組織的合法權(quán)益���。確定受侵害的客體時����,應(yīng)首先判斷是否侵害國家安全��,然后判斷是否侵害社會秩序或公眾利益,最后判斷是否侵害公民����、法人和其他組織的合法權(quán)益。
定級對象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全��,首先確定業(yè)務(wù)信息安全受到破壞時所侵害的客體�����,根據(jù)業(yè)務(wù)信息安全保護(hù)等級矩陣表得出業(yè)務(wù)信息安全保護(hù)等級����,然后確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體,根據(jù)系統(tǒng)服務(wù)安全保護(hù)等級矩陣表得出系統(tǒng)服務(wù)安全保護(hù)等級��,將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者確定為定級對象的安全保護(hù)等級�。
信息系統(tǒng)運(yùn)營使用單位可參照下列說明來確定信息系統(tǒng)的安全保護(hù)等級:
第一級信息系統(tǒng):一般適用于小型私營���、個體企業(yè)�、中小學(xué)���,鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)���,縣級單位中一般的信息系統(tǒng)��。
第二級信息系統(tǒng):一般適用于縣級某些單位中的重要的信息系統(tǒng);地市級以上國家機(jī)關(guān)�����、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)�����。例如非涉及工作秘密���、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等��。
第三級信息系統(tǒng):一般適用于國家機(jī)關(guān)�����、企業(yè)�、事業(yè)單位內(nèi)部重要的信息系統(tǒng),例如涉及工作秘密�、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng);跨省或全國聯(lián)網(wǎng)運(yùn)行用于生產(chǎn)��、調(diào)度、管理��、指揮�����、作業(yè)�����、控制等方面的重要信息系統(tǒng);以及其他包含大量敏感信息的各類重要信息系統(tǒng);
等保測評咨詢
