参考文件:GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
1 等保测评对象
网络安全等级保护工作直接作用的对象。所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。
共分为五级,从第一级到五级逐级增高
2 部分术语定义
信息系统 information system
定义:应用、服务、信息技术资产或其他信息处理组件。
信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等
通信网络设施 networkinfrastructure
为信息流通、网络运行等起基础支撑作用的网络设备设施。主要包括电信网、广播电视传输网和行业或单位的专用通信网等
数据资源 data resources
具有或预期具有价值的数据集合。数据资源多以电子形式存在。
受侵害的客体 object of infringement
受法律保护的、等级保护对象受到破坏时所侵害的社会关系
3 定级原理
定级要素:
等级保护对象的定级要素包括(概述):受侵害的客体 / 对客体的侵害程度。
等级保护对象受侵害的客体包括以下三个方面:公民、法人和其他组织的合法权益;社会秩序、公共利益;;国家安全;
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:造成一般损害;造成严重损害;造成特别严重损害。
4 定级流程
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。(一级不必要)
定级工作一般工作流程图示
5 确定定级对象
-
信息系统
定级对象基本特征:具有确定的主要安全责任主体;承载相对独立的业务应用;包含相互关联的多个资源。(云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还需分别遵循如下相关要求。)
注:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织,。避免将某个单一的系统组件,如服务器,终端或网络设备作为定级对象。
-
通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若于个定级对象。 -
数据资源
数据资源可独立定级
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
6 确定安全保护等级
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
具体流程
- 确定受侵害的客体(分别确定业务信息收到破坏时以及系统服务收到侵害时的客体)
- 确定对客体的侵害程度(同上俩方面都需要确定)
- 确定安全保护等级(先确定以上二者的等级,将业务信息安全保护等级和系统服务安全保护等级的较高者确定为最终的安全保护等级。)
注:确定受侵害的客体以及侵害程度可参考下图标准
7 等级变更
扫一扫
1401
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
