用户工具

站点工具


等级保护:定级指南:定级流程

定级流程


一、确定定级对象

1.1 基础信息网络

对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。

跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。

1.2 信息系统

1.2.1 工业控制系统

工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见2.5章节。现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。

对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。

1.2.2 云计算平台

在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。

对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

1.2.3 物联网

物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。

1.2.4 采用移动互联技术的信息系统

采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。

1.2.5 其他信息系统

作为定级对象的其他信息系统应具有如下基本特征:

  • a) 具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位;
  • b) 承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用,完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象;
  • c) 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。

1.3 大数据

应将具有统一安全责任单位的大数据作为一个整体对象定级,或将其与责任主体相同的相关支撑平台统一定级。

二、初步确定信息系统等级

2.1 定级方法

定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。

定级方法如下:
  a)确定受到破坏时所侵害的客体
     1)确定业务信息受到破坏时所侵害的客体;
     2)确定系统服务受到侵害时所侵害的客体。 
  b)确定对客体的侵害程度
     1)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
     2)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度。
  c)确定安全保护等级
     1)确定业务信息安全保护等级;
     2)确定系统服务安全保护等级;
     3)将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。

对于大数据等定级对象,应综合考虑数据规模、数据价值等因素,根据其在国家安全、经济建设、社会生活中的重要程度,以及数据资源遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上

对于基础信息网络、云计算平台等定级对象,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级

国家关键信息基础设施的安全保护等级应不低于第三级。

2.2 确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。

2.3 确定对客体的侵害程度

2.3.1 侵害的客观方面

在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对业务信息安全的破坏和对信息系统服务的破坏,其中业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。

业务信息安全和系统服务安全受到破坏后,可能产生以下危害后果: 
  * 影响行使工作职能; 
  * 导致业务能力下降; 
  * 引起法律纠纷; 
  * 导致财产损失; 
  * 造成社会不良影响; 
  * 对其他组织和个人造成损失; 
  * 其他影响。  

2.3.2 综合判定侵害程度

侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

在针对不同的受侵害客体进行侵害程度的判断时,应按照以下不同的判别基准:

  • 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
  • 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。

2.3.3 确定安全保护等级

  • 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据安全保护等级矩阵表,即可得到业务信息安全保护等级。
  • 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据安全保护等级矩阵表,即可得到系统服务安全保护等级。

定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

三、专家评审

定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。

四、主管部门审核

定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。

五、公安机关备案审查

定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。

六、等级变更

当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据本标准要求重新确定定级对象和安全保护等级。

七、注意事项

  • 各信息系统运营使用单位和主管部门是信息系统定级的责任主体。
  • 信息系统的安全保护等级是信息系统本身的客观自然属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法公益的危害程度为依据,确定信息系统的安全保护等级。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响,考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密等因素。既要防止个别单位版面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。
  • 单位自建的信息系统(与上级单位无关),单位自主定级。等级确定后,是否报上级主管部门审批,由各行业自行决定。
  • 跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。需特别注意的是:同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级的重要行业的重要系统不能定为一、二级。
  • 对于新建系统,信息系统运营使用单位在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
  • 信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
  • 信息系统定级基本准确的,公安机关颁发由公安部统一监制的《信息系统安全等级保护备案证明》(以下简称《备案证明》)。对于定级不准的,公安机关应向备案单位发整改通知,并建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
等级保护/定级指南/定级流程.txt · 最后更改: 2020/02/26 17:43 由 小密