【指导建议】我的系统在等保测评中如何定级呢
等保测评第一步系统定级,对于大多数的基层单位,如何定级,怎样定级是首要问题,今天就和大家探讨一下这个问题。
定级指南里对信息系统等级的划分一共五级,系统等级越高,系统越重要。定级必须看两个主要的指标要素,说得直白一些就是所负责的系统受到攻击后影响到谁,影响的程度如何。
具体影响到谁呢?官方回答共分为三个层次:
1、公民、法人和其他组织的合法权益;
2、社会秩序、公共利益;
3、国家安全。
影响的危害程度多深呢?官方定义是这样的:对客体的侵害程度:分为造成一般损害;造成严重损害;造成特别严重损害。
受侵害的客体 |
对客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
1 |
2 |
3 |
|
社会秩序、公共利益 |
2 |
3 |
4 |
|
国家安全 |
3 |
4 |
5 |
看了定级要素和对应的要素关系,涉及到个人、小团体的损害度最低,涉及到单位日常办公生产的,是中级。上升到国家层面的一定就最高了。
理论不如实战,大家可以看下面这个表格,根据实际情况对应一下,有没有点大海航行中即将靠岸找到灯塔的感觉呢?
等级 |
对象 |
侵害客体 |
侵害程度 |
各类系统定级参考 |
|
第一级 (自主保护级) | 一般系统 |
合法权益 |
损害 |
适用于小型企业、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 |
|
第二级 (指导保护级) | 合法权益 |
严重损害 |
适用于县级某些单位中的重要信息系统;地市级以上的国家机关、企事业内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 |
|
|
社会秩序 公共利益 | 损害 |
|||
|
第三级 (监督保护级) | 重要系统 | 社会秩序 公共利益 | 严重损害 |
适用于地市级以上的国家机关、企事业内部重要信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。跨省或者全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类信息系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站,跨省连接的网络系统等。 |
|
国家安全 |
损害 |
|||
|
第四级 (强制保护级) | 社会秩序 公共利益 | 特别严重损害 |
一般适用于国家重要领域,部门中涉及国际民生、国家利益、国家安全、影响社会稳定的核心系统。例如电力生产控制系统,银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。 |
|
|
国家安全 |
严重损害 |
|||
|
第五级 (专控保护级) | 极端重要 |
国家安全 |
严重损害 |
尚未接触 |
县级、地市级信息系统中不涉及敏感信息、重要信息的,这些系统都可以定为二级系统;地市级及以上门户网站及重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级;跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
当然这些是普遍适用,但也不能生搬硬套,具体问题具体分析。不能为了躲避检查或者为图一时之快,系统等级定级过低,这样定级不合理,一旦出现安全事件,责任就不是一时之事。当然,有些行业有特殊标准的,一定要按照行业标准来定级。
综上,日常生活中定级基本就是二级系统和三级系统,只要涉及敏感信息的均建议定三级。其他访问量小、数据量少的系统定级二级。
纸上得来终觉浅,绝知此事要躬行!把你负责的系统再次拿来梳理一下,如何?
相关新闻
-
【等保2.0】高风险判定指引
GB/T22239—2019中第三级安全要求与本文件判例对应关系;为方便测评人员在测评过程中使用本文件,下表给出了本文件中高风险判例与GB/T22239—2019中第三级安全要求的对应关系。
-
商用密码应用安全性评估FAQ(第二版)
本文件对商用密码应用安全性评估工作及相关标准中涉及的常见问题进行了整理和解答,以帮助密码应用以及商用密码应用安全性评估人员更好的开展商用密码应用安全性评估工作。