由于最新的定级指南还未正式发布,目前还是参照国家等级保护标准体系的核心标准《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)。《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)规定了非涉及国家秘密的等级保护对象的定级方法和流程,通过指导网络运营者合理地划分定级对象和准确的确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定了良好的基础,有力推动了等级保护工作的开展。
但随着信息技术的高速发展和等级保护对象的不断的扩大,原先《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)规定信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。已不能满足新形势下的信息系统定级要求,主要体现在第一安全的含义不断演进,又早期面向数据的信息安全,过渡到面向信息系统的信息保障,并进一步演进为面向网络空间的网络安全。第二,IT系统重要型的提升,随着互联网的发展,信息系统的产品和技术重要性不断提供,成为不可或缺的信息基础设施。地市新技术新应用的不断涌现,云计算、物联网、大数据和移动互联网等新技术应用给社会和公众带来便利的同时也对等级保护工作带来挑战。由此在缺乏相关指导标准的情况下,如何正确定级就越发重要。
那么如何定级呢?第一步,还是先确定定级对象。参照《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008),等级保护对象被定义为:“信息安全等级保护工作直接作用的具体信息和信息系统”。但随着云计算、物联网、大数据和移动互联网等新技术应用,就不满足原先的定义了,所以参考相关资料,当前等级保护对象被定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。其中,通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,如电信网络,传输网络,以及行业或单位的跨省专用网(骨干部分)等;信息系统还是原先指由计算机或其他信息终端及相关设备组成的系统,如邮件系统、工业控制系统、云平台等;数据资源的典型案例就是大数据。
第二步,确定了定级对象后,还需考虑定级的两个要素——信息系统安全包括业务信息安全和系统服务安全。什么意思呢?就是说从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级,从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。当信息系统遭到破坏时,从业务信息安全和系统服务安全两个角度去确定定级对象“受侵害的客体”和“对客体的侵害程度”。其中受侵害的客体可能是以下三者之一或者组合:1)公民、法人和其他组织的合法权益;2)社会秩序、公共利益;3)国家安全。对于对客体的侵害程度一般分为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别损害。根据实际情况结合等级保护相关管理文件确定系统等级,以及参考新的业务信息安全保护等级矩阵表和系统服务安全保护等级矩阵表,进行初步定级,由业务信息安全等级和系统服务安全等级较高者为定级对象的保护等级。
一般信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第三步,信息系统运营者组织网络安全等级保护专家对初步定级结果进行评审,并由专家组出具评审意见。
第四步,主管部门核准。当由行业主管(监管)部门的,定级对象的运营着应将初步定级结果报请行业主管(监管)部门核准。
第五步,信息系统运营者将初步定级结果提交到所在地县级以上公安机关进行备案审核,审核通过后的结果确定为定级对象的安全保护等级。
在上述过程中,专家评审、主管部门核准或备案审核不通过的,定级对象的运营着应参照上面步骤重新开始定级工作。
以上就是本次等保2.0下信息系统的定级和备案。
2394
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
