等级保护：信息网络系统定级标准是什么？

等保第一步就是要定级，很多人想了解这个定级到底怎么定？谁说了算？会不会本来二级给定成三级，或者本来三级定成二级？

 

我只想告诉大家等保定级这么严肃的事情，怎么可能那么随意。先给大家看看相关的标准：

 

 

十大重要标准

计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）

信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）

信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）

信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）

信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）

信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）

信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）

信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）

信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）

信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

 

其它相关标准

GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求

GB/T 20270-2006 信息安全技术 网络基础安全技术要求

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272-2006 信息安全技术 操作系统安全技术要求

GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

GB/T 20985-2007 信息安全技术 信息安全事件管理指南

GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南

GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

我们简要的了解下等保定级的流程

 

定级主要分为五级，级别越高相应的要求也越严格，定级需要结合国家相关的法规和行业主管部门的建议来进行，最终由当地网安来确认。参考的标准分为系统服务安全和业务信息安全两类：

 

系统服务安全被破坏时所侵害的客体	对相应客体的侵害程度
	一般损害	严重损害	特别严重损害
公民、法人和其他组织的合法权益	第一级	第二级	第三级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

业务信息安全被破坏时所侵害的客体	对相应客体的侵害程度
	一般损害	严重损害	特别严重损害
公民、法人和其他组织的合法权益	第一级	第二级	第三级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

总而言之就是当业务信息和系统服务受到破坏时，影响越严重，则保护级别越高。

 

 

第一级：用户自主保护级；这个级别不做强制要求，相当于自己家的篱笆院，就养了一头小肥猪，也没啥值钱的东西，一旦发生问题，最多是猪跑出来，丢口锅啥的，不会对别人造成太大伤害。所以自己管好就行了，当然想做等保也是可以做的。

 

第二级：系统审计保护级；这个级别有强制要求，相当于自己家的小农场，养了好多的牛啊、羊啊什么的，经常有人来咱家买奶，买肉，还有人来卖饲料什么的，一旦发生问题，客户信息会泄露、家里的钱会被偷，牛羊啥的一群出去，可能会伤人，较大面积的损坏别人家的田地什么的，所以要至少两年一次强制保护；这个一般是县区一级的普通单位，或者是单位、企业的非核心业务系统；

 

第三级：安全标记保护级；这个级别要求更高一些，相当于自己家有大农场，牛、羊、马、藏獒各上千头，手里面有着大量客户信息、家里面还有很多的现金，那就要求你的农场必须要标准化，否则一旦卫生不达标容易出现大面积的疫情，自己受损失还会影响周边的养殖户，甚至还会危害其他群众的健康，影响社会秩序等；还会要求你围墙建好、监控装好等，每年都要检查；你不仅要做好防护工作，发现有可疑人物晃悠或者其他的异常情况，还要及时联系警察叔叔帮忙，及时上报；受到侵害后，还能迅速的把围墙垒起来，恢复农场的核心功能；这个一般是各行业的省、市一级单位，金融行业等关键基础设施普遍要求三级；

 

第四级：结构化保护级；这个相当于你不仅有农场、还有上下游的饲料厂、屠宰场、深加工场等，一旦某个环节出问题，不仅是你个人财产的问题，会大面积影响到居民的健康安全、大量的客户信息泄露、当地经济受到重大损失，社会舆情极其不利，这个要求至少每年要检测一次，到这个级别那你就进入TOP100了；

 

第五级：访问验证保护级；这个一般都是国家级了，第三方测评机构已经也做不了了，由国家专门组建专门的团队来维护，我等就不用太操心了。

 

等级保护测评会帮助用户从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等8大通用要求，发现可以优化改进的地方，还会针对云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求来针对用户进行专业的测评，给用户提供信息和网络安全的系统改进建议和报告。