【等保2.0】等級保護定級備案及專家評審注意事項
等保2.0已經(jīng)正式實施了一個多月,全國各地逐步按照等保2.0的要求,對信息系統(tǒng)的定級組織專家評審。今天的文章,小伙伴們就和我一起了解定級中專家評審的注意事項。
根據(jù)《網(wǎng)絡(luò)安全法》要求,國家實行網(wǎng)絡(luò)安全等級保護制度,也就是給予了網(wǎng)絡(luò)安全等級保護的法律地位。根據(jù)《網(wǎng)絡(luò)安全等級保護條例》要求網(wǎng)絡(luò)運營者應(yīng)當依法開展網(wǎng)絡(luò)定級備案,也就意味著網(wǎng)絡(luò)運營者所有的系統(tǒng)都要定級備案(一級系統(tǒng)不需要到公安機關(guān)備案),系統(tǒng)保護等級一共有五級,最低為一級,所以,任何系統(tǒng)理論上最少也是一級,沒有0級,不管是幾級,哪怕是一級,也要開展定級工作,這是網(wǎng)絡(luò)運營者的責任義務(wù),根據(jù)等保2.0規(guī)定,除家庭及個人自建的網(wǎng)絡(luò)除外,已經(jīng)涵蓋所有的系統(tǒng),所以一級的系統(tǒng)也應(yīng)該定級。根據(jù)GB/T22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》對一級系統(tǒng)的要求中描述:應(yīng)以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由。那么專家評審后認定的一級系統(tǒng)更具有說服力。
定級備案流程:根據(jù)網(wǎng)絡(luò)安全等級保護條例要求為:確定定級對象--->初步確定等級--->專家評審--->主管部門核準--->公安機關(guān)備案審核--->最終確定的等級。
解釋如下:各單位應(yīng)該首先自己確定定級對象,對自己單位的所有系統(tǒng)進行一個梳理,對每一個系統(tǒng)進行一個初步預(yù)定級,如果認為該系統(tǒng)應(yīng)該為二級以上,應(yīng)該進行專家評審,但是很多單位對于自己單位的系統(tǒng)的重要程度,被破壞后的危害認識存在很多主觀因素,或者認識不夠,因此建議所有的系統(tǒng)都應(yīng)該做專家評審,否則某個單位系統(tǒng)假如說有幾十個,主觀認為都是一級,那就進行不到專家評審這一環(huán)節(jié)了,違背了定級的思想了,所以,個人覺得在專家評審時,應(yīng)該對所有系統(tǒng)進行定級評審。避免出現(xiàn)二級(含二級)以上系統(tǒng)沒有定級備案的情況,避免因為信息系統(tǒng)沒有定級備案而被違法處罰。專家評審后有主管部門的報主管部門審核,審核后出具定級審批意見后,報給公安機關(guān)備案審查,公安機關(guān)屬于終審,如果公安機關(guān)認為仍然定級不準備,則重新調(diào)整回到第一步。公安機關(guān)審核通過后,最終確定等級,出具備案證明。
這里面有個小問題需要注意,各個行業(yè)有各個行業(yè)的標準,比如電力,金融,航空,醫(yī)療等,但是所有的標準必須遵從網(wǎng)絡(luò)安全等級保護的標準,除非行業(yè)標準高于等保標準。等保條例屬于上位標準。即便是行業(yè)標準高于等保標準,公安機關(guān)也是按照等保標準而不是行業(yè)標準去執(zhí)法。
重回定級備案中的定級問題,有一些單位為了避免或者躲避測評問題,或者為了某些目的,故意將系統(tǒng)的級別調(diào)低或者調(diào)高。一些資金充裕的單位愿意把系統(tǒng)級別定的很高,資金不充裕的單位,想定低一些,造成了定級不準確。公安部也是看到這種現(xiàn)象,所以在等保2.0中明確規(guī)定了,所有擬定為2級以上(包括2級)的系統(tǒng)都要經(jīng)過專家評審。這在一定程度上能很好的控制定級的準確性問題。
但是即使是這樣,仍然會遇到一些問題,本應(yīng)二級的系統(tǒng),故意定為一級。比如說有一些國企或者事業(yè)單位說,我們的網(wǎng)站什么功能也沒有,就是一個展示宣傳,我們認為夠不上二級,先看一級,二級怎么定義的。
(一)第一級,一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害,但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡(luò)。
(二)第二級,一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴重損害,或者對社會秩序和公共利益造成危害,但不危害國家安全的一般網(wǎng)絡(luò)。
一級系統(tǒng)中僅僅是對公民、法人和其他組織的合法權(quán)益造成損害,不涉及社會秩序和公共利益。二級系統(tǒng)涉及到了社會秩序和公共利益,而且只需造成一般損害就可以定為二級。那么一些國企事業(yè)單位開設(shè)網(wǎng)站的目的就是為了公開信息,對外宣傳,服務(wù)公眾,方便公眾使用公共設(shè)施等。如果這樣的網(wǎng)站被篡改或者訪問不了,就等于侵害了公共利益,根據(jù)定級指南:侵害公共利益的事項包括:1.影響社會成員使用公共設(shè)施。2.影響社會成員獲取公開信息資源。3.影響社會成員接受公共服務(wù)等方面。4.其他影響公共利益的事項。如果說某些權(quán)威單位網(wǎng)站被篡改,比如說上市公司、國企,網(wǎng)站上的新聞動態(tài)可能直接影響股價?;蛘吣承┬畔⒐_不能被社會成員獲取,或者某些單位網(wǎng)站被篡改可能直接導(dǎo)致影響正常生活秩序,比如說預(yù)警發(fā)布自然災(zāi)害信息被惡意發(fā)布,可能會造成整個社會的恐慌,動亂,對于這樣單位的網(wǎng)站,即使被定為三級也不為過。
此外,系統(tǒng)定級,還要從多個角度去分析,比如單位職能,單位信譽,人身安全等方面對本單位、對社會造成的影響以及影響范圍。單位對系統(tǒng)的依賴關(guān)系,依賴程度,影響程度。比如數(shù)據(jù)泄露后導(dǎo)致的人生生命財產(chǎn)安全,產(chǎn)生嚴重的法律問題等。
專家評審注意問題:
1.專家評審的時候,不是審查備案表和定級報告的瑕疵,文件的毛病,不是看系統(tǒng)的安全性,看系統(tǒng)是否缺少了什么安全防護設(shè)備。
2.專家的主要職責是根據(jù)系統(tǒng)的重要程度,根據(jù)系統(tǒng)被破壞后產(chǎn)生的影響后果去確定系統(tǒng)的級別,這才是專家評審的意義。其實系統(tǒng)定級是一件比較難,也非常重要的工作。系統(tǒng)級別確定后,系統(tǒng)就要按照這個標準去建設(shè),去防護。
3.專家評審時,應(yīng)該對系統(tǒng)的邊界劃分清楚。有些單位習(xí)慣把一些系統(tǒng)合并成為一個系統(tǒng),專家應(yīng)該審核這種合并的合理性。
4.在評審表中應(yīng)該考慮系統(tǒng)服務(wù)安全和系統(tǒng)業(yè)務(wù)安全,并認清對應(yīng)的級別。
5.在評審時,很多單位會把所有的系統(tǒng)都拿出來評審,對于認定為一級的系統(tǒng)也應(yīng)該在專家評審意見中寫明原因。不能只寫二級以上的評審意見。
系統(tǒng)定級仍然可以參考公安部2007年7月下發(fā)的《等級保護實施主要技術(shù)環(huán)節(jié)說明》。
作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征:
a) 具有確定的主要安全責任主體;
b) 承載相對獨立的業(yè)務(wù)應(yīng)用;
c) 包含相互關(guān)聯(lián)的多個資源。
注1:主要安全責任主體包括但不限于企業(yè)、機關(guān)和事業(yè)單位等法人,以及不具備法人資格的社會團體等其他組織;
注2:避免將某個單一的系統(tǒng)組件,如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備作為定級對象。
等保定級中的侵害的客體為國家安全、社會秩序和公共利益、公民、法人和其他組織的合法權(quán)益。
國家安全一般指:
重要的國家事務(wù)處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等屬于影響國家政權(quán)穩(wěn)固和國防實力的信息系統(tǒng);廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng),如果受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結(jié)和社會安定的重大事件;處理國家對外活動信息的信息系統(tǒng);處理國家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵察系統(tǒng);尖端科技領(lǐng)域得研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟競爭力和科技實力得信息系統(tǒng),以及電力、通信、能源、交通運輸、金融等國家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。
社會秩序:
借助信息化手段提高國家機關(guān)的社會管理和公共服務(wù)水平,提高經(jīng)濟活動效率,更方便地從事科研、生產(chǎn)、生活活動是維護社會秩序的表現(xiàn)。
各級政府政府機構(gòu)的社會管理和公共服務(wù)系統(tǒng):如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng),也包括教育、科研機構(gòu)的工作系統(tǒng),以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。
公共利益:
公共利益包括的范圍非常廣,可以是經(jīng)濟利益,也可能是包括教育、衛(wèi)生、環(huán)境等各個方面的利益。
借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進行管理控制都應(yīng)當是要考慮的方面。比如:公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。
公共利益與社會秩序密切相關(guān),社會秩序的破壞一般會造成對公共利益的損害。
公民、法人和其他組織的合法權(quán)益:
指的是擁有信息系統(tǒng)的個體或確定組織所享有的社會權(quán)力和利益。
損害程度:
對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現(xiàn)的,因此對客體的侵害外在表現(xiàn)為對等級保護對象的破壞,通過侵害方式、侵害后果和侵害程度加以描述。
等級保護對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種:
a) 造成一般損害;
b) 造成嚴重損害;
c) 造成特別嚴重損害。
侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn),因此,首先根據(jù)不同的受侵害客體、不同侵害后果分別確定其侵害程度。對不同侵害后果確定其侵害程度所采取的方法和所考慮的角度可能不同,例如,系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從定級對象服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定,業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費用等方面進行確定。
在針對不同的受侵害客體進行侵害程度的判斷時,參照以下不同的判別基準:
——如果受侵害客體是公民、法人或其他組織的合法權(quán)益,則以本人或本單位的總體利益作為判斷侵害程度的基準;
——如果受侵害客體是社會秩序、公共利益或國家安全,則以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。
不同侵害后果的三種侵害程度描述如下:
1.一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行,出現(xiàn)較輕的法律問題,較低的財產(chǎn)損失,有限的社會不良影響,對其他組織和個人造成較低損害;
2.嚴重損害:工作職能受到嚴重影響,業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行,出現(xiàn)較嚴重的法律問題,較高的財產(chǎn)損失,較大范圍的社會不良影響,對其他組織和個人造成較高損害;
3.特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行,出現(xiàn)極其嚴重的法律問題,極高的財產(chǎn)損失,大范圍的社會不良影響,對其他組織和個人造成非常高損害。
對客體的侵害程度由對不同侵害結(jié)果的侵害程度進行綜合評定得出。由于各行業(yè)定級對象所處理的信息種類和系統(tǒng)服務(wù)特點各不相同,業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的侵害結(jié)果、侵害程度的計算方式均可能不同,各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)信息和系統(tǒng)服務(wù)特點制定侵害程度的綜合評定方法,并給出一般損害、嚴重損害、特別嚴重損害的具體定義。
影響行使工作職能,工作職能包括國家管理職能、公共管理職能、公共服務(wù)職能等國家或社會方面的職能。
導(dǎo)致業(yè)務(wù)能力下降,下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標的下降,每個行業(yè)都有本行業(yè)關(guān)注的業(yè)務(wù)指標。例如電力行業(yè)關(guān)注發(fā)電量和用電量,稅務(wù)行業(yè)關(guān)注稅費收入,銀行業(yè)關(guān)注存款額、貸款額、交易量等,證券經(jīng)濟行業(yè)關(guān)注股民數(shù)和交易額。
引起法律糾紛是比較嚴重的影響,在較輕的程度時可能表現(xiàn)為投訴、索賠、媒體曝光等形式。
導(dǎo)致財產(chǎn)損失,包括系統(tǒng)資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降帶來的損失、直接的資金損失、為客戶索賠所支付的資金等,以及由于信譽下降、單位形象降低、客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟損失。
直接造成人員傷亡,例如醫(yī)療服務(wù)系統(tǒng),公安行業(yè)的某些系統(tǒng)等。
造成社會不良影響,包括在社會風(fēng)氣、執(zhí)政信心等方面的影響。
簡要操作具體可以看表1:
表1 定級要素與安全保護等級的關(guān)系
業(yè)務(wù)信息安全被破壞時所侵害的客體 |
對相應(yīng)客體的侵害程度 |
||
一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行,出現(xiàn)較輕的法律問題,較低的財產(chǎn)損失,有限的社會不良影響,對其他組織和個人造成較低損害; |
嚴重損害:工作職能受到嚴重影響,業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行,出現(xiàn)較嚴重的法律問題,較高的財產(chǎn)損失,較大范圍的社會不良影響,對其他組織和個人造成較高損害; |
特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行,出現(xiàn)極其嚴重的法律問題,極高的財產(chǎn)損失,大范圍的社會不良影響,對其他組織和個人造成非常高損害。 |
|
公民、法人和其他組織的合法權(quán)益:指的是擁有信息系統(tǒng)的個體或確定組織所享有的社會權(quán)力和利益。 |
第一級 |
第二級 |
第二級 |
社會秩序:借助信息化手段提高國家機關(guān)的社會管理和公共服務(wù)水平,提高經(jīng)濟活動效率,更方便地從事科研、生產(chǎn)、生活活動是維護社會秩序的表現(xiàn)。各級政府政府機構(gòu)的社會管理和公共服務(wù)系統(tǒng):如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng),也包括教育、科研機構(gòu)的工作系統(tǒng),以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。 公共利益:公共利益包括的范圍非常廣,可以是經(jīng)濟利益,也可能是包括教育、衛(wèi)生、環(huán)境等各個方面的利益。借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進行管理控制都應(yīng)當是要考慮的方面。比如:公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。公共利益與社會秩序密切相關(guān),社會秩序的破壞一般會造成對公共利益的損害。 |
第二級 |
第三級 |
第四級 |
國家安全:重要的國家事務(wù)處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等屬于影響國家政權(quán)穩(wěn)固和國防實力的信息系統(tǒng);廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng),如果受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結(jié)和社會安定的重大事件;處理國家對外活動信息的信息系統(tǒng);處理國家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵察系統(tǒng);尖端科技領(lǐng)域得研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟競爭力和科技實力得信息系統(tǒng),以及電力、通信、能源、交通運輸、金融等國家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。 |
第三級 |
第四級 |
第五級 |