【等級保護】如何確定系統(tǒng)安全等級
信息系統(tǒng)定級是等保工作的首要環(huán)節(jié),準確的定級能夠避免后續(xù)工作中的很多彎路,也能盡量避免投資浪費或定級過低而帶來的風險。
信息系統(tǒng)定級大致可以分為五大步驟:
確定定級對象——初步確定等級——專家評審——行業(yè)主管部門審核——公安機關備案審查。
一
確定定級對象
一、定級準備
《網(wǎng)絡安全等級保護基本要求》中指出等級保護對象通常是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)。主要包括基礎信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術的系統(tǒng)等。
定級范圍:定級范圍包括本單位內部建設、使用的承載生產、調度、管理、辦公等重要業(yè)務的信息系統(tǒng)。
另外,定級對象還應具備如下基本特征:
1、具有唯一確定的安全責任單位。作為定級對象的信息系統(tǒng)應能夠唯一確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設、運行維護等過程的全部安全責任;則這個下級單位可以成為信息系統(tǒng)的安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任;則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的單位。
2、具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件;如服務器、終端、網(wǎng)絡設備等作為定級對象。
3、承載單一或相對獨立的業(yè)務應用。定級對象承載“單一”的業(yè)務應用是指該業(yè)務應用的流程獨立;且與其他業(yè)務應用沒有數(shù)據(jù)交換;且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程獨立;同時與其他業(yè)務應用有少量交換;定級對象可能會與其他業(yè)務應用共享一些設備;尤其是網(wǎng)絡傳輸設備。
B、信息系統(tǒng)摸底
開展對所有需要定級的信息系統(tǒng)的摸底調查工作,掌握信息系統(tǒng)的基本情況,了解信息系統(tǒng)的業(yè)務類型、應用或服務范圍、用戶數(shù)量、系統(tǒng)結構、部署方式等信息,為下一步明確定級范圍、進行定級奠定基礎。
二
初步確定等級
信息系統(tǒng)安全等級由受侵害客體和對客體的侵害程度兩大要素決定。
A、受侵害的客體包括:公民、法人和其他組織的合法權益;社會秩序、公共利益;國家安全。
注:確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時;應首先判斷是否侵害國家安全;然后判斷是否侵害社會秩序或公眾利益;最后判斷是否侵害公民;法人和其他組織的合法權益。
B、對客體的侵害程度分為:一般損害、嚴重損害、特別嚴重損害。
注:在針對不同的受侵害客體進行侵害程度的判斷時;應參照以下不同的判別基準:
如果受侵害客體是公民、法人或其他組織的合法權益;則以本人或本單位的總體利益作為判斷侵害程度的基準;如果受侵害客體是社會秩序、公共利益或國家安全;則應以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。
《信息安全等級保護管理辦法》規(guī)定;信息系統(tǒng)的安全保護等級分為以下五級;一至五級等級逐級增高:
第一級;信息系統(tǒng)受到破壞后;會對公民、法人和其他組織的合法權益造成損害;但不損害國家安全、社會秩序和公共利益。
第二級;信息系統(tǒng)受到破壞后;會對公民、法人和其他組織的合法權益產生嚴重損害;或者對社會秩序和公共利益造成損害;但不損害國家安全。
第三級;信息系統(tǒng)受到破壞后;會對社會秩序和公共利益造成嚴重損害;或者對國家安全造成損害。
第四級;信息系統(tǒng)受到破壞后;會對社會秩序和公共利益造成特別嚴重損害;或者對國家安全造成嚴重損害。
第五級;信息系統(tǒng)受到破壞后;會對國家安全造成特別嚴重損害。
舉例:
單位的信息系統(tǒng)A如果受到破壞后;不會對國家安全造成損害;但是會對社會秩序和公共利益造成嚴重損害;對公民、法人和其他組織的合法權益造成一般損害;則參考(表一)該信息系統(tǒng)A的定級應為三級。
單位的信息B如果受到破壞后;不會影響國家安全;也不會對社會秩序和公共利益造成損害;但是對公民、法人和其他組織的合法權益造成嚴重損害;則參考(表一)該信息系統(tǒng)A的定級應為二級。
(表一)定級要素與安全等級的關系
三
專家評審
初步確定信息系統(tǒng)等級后,單位可以聘請等級保護專家、行業(yè)專家、主管機關領導等外部專家,召開信息系統(tǒng)定級評審會,對定級報告進行外部評審,并形成評審意見。單位結合評審意見形成最終定級報告。(此步驟可以邀請測評機構協(xié)助)
四
主管部門審核
若單位有上級主管部門或行業(yè)主管單位,并對定級報告具有審批要求的,單位需將信息系統(tǒng)安全保護等級定級報告報經上級主管部門審批同意。
五
公安機關備案審查
根據(jù)43號文《信息安全等級保護管理辦法》,信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門,應到公安機關辦理備案手續(xù),提交有關備案資料。
注:已運營(運行)的第二級以上信息系統(tǒng);應當在安全保護等級確定后30日內,由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。
新建第二級以上信息系統(tǒng);應當在投入運行后30日內;由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。
備案時應當提交《信息系統(tǒng)安全等級保護備案表》(一式兩份)。第二級以上信息系統(tǒng)備案時需提交《備案表》表一、表二、表三。第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內提交《備案表》表四及其有關材料。