发布日期:2024-05-21 浏览次数:108
网络安全等级保护信息系统定级主要依据国家标准要求及行业标准要求,根据信息系统业务信息遭受到侵害后对客体的损害程度、服务中断后对客体的损害程度进行界定;在定级工作中涉及信息系统业务主体信息、建设运维信息、业务情况、网络情况、安全防护情况、数据资源类型、数据量、客体识别、损害程度判定等。
下文列举了网络安全等级保护定级相关标准,章节包括:
一、国家标准;二、行业标准-教育行业;三、行业标准-广电行业;四、行业标准-电力行业;五、行业标准-卫生行业;六、行业标准-金融行业;七、行业标准-交通运输行业;八、行业标准-民航;九、行业标准-铁路行业;十、行业标准-报业。
内容较多,诸位各取所需,后续有新发现的持续补充。
国家标准:GB/T 22240-2020《 信息安全技术 网络安全等级保护定级指南》,以下简称“定级指南”。
①受侵害的客体;客体包括:公民、法人和其他组织的合法权益;社会秩序、公众利益;国家安全。
②对客体的侵害程度;侵害程度包括:一般损害;严重损害;特别严重损害。
| 受侵害的客体 | 对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公众利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
第一步:确定定级对象;也就是本次需要定级的系统名称,例如门户网站系统、xxx管理平台、电力监控系统、主机DCS系统、财务系统、OA系统、专网系统等。定级对象的基本特征包括:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。
第二步:初步确定等级;责任主体单位及责任主体部门或第三方技术人员,依照定级指南拟定等级。
第三步:专家评审;邀请具备资质的专家对初步拟定的定级对象等级进行评审,一般专家包括政府专家库中网络安全专家、网络安全等级保护测评机构高级测评师、网安专家库中登记备案的专家、责任主体单位具备高级职称的技术专家等,具体的按照当地的要求开展专家评审即可。
第四步:主管部门核准;若具备上级主管部门,则需拟上级主管部门审批意见经主管部门盖章确认。一般审批意见由上级主管部门出具,内容大致为你单位xxx系统定级资料已收悉,同意将xxx系统定为x级,在定级基础上做好网络安全等级保护工作。
第五步:备案审核;按照当地网安要求,准备备案资料提交网安审核。
①从业务信息安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据“定级要素与安全保护等级的关系表”,对业务信息安全保护等级进行确定;
②从系统服务安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据”定级要素与安全保护等级的关系表“,对系统服务安全保护等级进行确定;
③最终确定定级对象的安全保护等级(由业务信息安全保护等级和系统服务安全保护等级的较高者决定。)
微信便捷交流