本文详细介绍了网络安全等级保护的基础知识,包括定级原理、安全保护等级概念和流程。根据信息系统的破坏程度对国家安全、社会秩序、公共利益的影响,系统被分为五个安全保护等级。定级要素包括受侵害的客体和侵害程度,定级流程包括确定定级对象、专家评审、主管部门核准和备案审核。此外,文章还提到了不同类型的系统(如云计算、物联网、工业控制系统)的定级要求和流程。
等级保护工作中用到的主要标准
(一)基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019
(二)系统定级环节
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
(三)建设整改环节
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
(四)等级测评环节
《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019
《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018
等级保护工作过程及标准应用
系统定级
定级
根据信息、信息系统的重要程度和信息系统遭到破环后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,确定信息系统的安全保护等级。系统定级过程实质上是对国家重要信息资产的识别过程。
等级的概念-重要程度等级
在《管理办法》中,明确了“信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定”
等级的概念-安全保护能力等级
《基本要求》给出了安全保护能力的新定义
• 一级安全保护能力
• 二级安全保护能力
• 三级安全保护能力
• 四级安全保护能力
• 五级安全保护能力(未公布)
等级的概念——“监督管理”等级
• 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。
• 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。属于指导保护级。
• 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。
• 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。属于强制保护级。
• 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。属于专控保护级。
定级原理及流程
1 安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级∶
a) 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益
b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
c) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害
最低0.47元/天 解锁文章
扫一扫
2774
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
