各个行业信息系统如何开展定级工作

对于很多初次开展等保的单位，首当其冲的就是系统定级问题：究竟是定二级还是三级？定低一点会不会更好？定级的依据标准是什么？

我们通过这篇文章，来把系统定级问题讲清楚，涉及的几个问题是：

1、信息系统定级标准？

2、信息系统定级流程？

3、典型代表的单位、行业的定级标准？

4、定级报告是什么？

在了解这些问题之前，我们来了解下什么是定级？为什么要进行定级工作？

定级工作是等级保护工作的第一步，也就是确定等级保护对象的等级即信息系统的等级。根据《网络安全法》第21条：国家实行网络安全等级保护制度，即“划分等级，整点保护“。因此开展等保工作的第一步就是确定保护对象的等级。

一、信息系统定级标准？

目前最新的网络安全等级保护定级工作的参考国标文件是GT/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》。该标准文件适用于非涉及国际秘密的等级保护对象的等保定级。

GT/T 22240-2020 标准将我国的等级保护对象分为5个等级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

这5个等级，就是我们确定信息系统等级的最根本依据。上述标准还有个简明的图表：

那么在这里又有一个新的问题：标准中的各个受侵害客体的具体范围以及侵害程度如何理解？

公民、法人和其他组织的合法权益：对于网络安全领域主要包括姓名权、肖像权、名誉权、荣誉权、隐私权、财产安全、个人信息安全等

社会秩序和公共利益：这是个比较抽象的概念，简单理解为社会的正常运行和广大公民所能享受的利益

国家安全：包括政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核、海外利益、生物、太空、极地、深海安全

二、信息系统定级流程？

专家评审：

公安机关：各地网安