等级保护定级备案是网络安全等级保护的第1阶段,而这一部分对后续工作起到重要指引作用。如果定级不合理,将大大把网络安全等级保护的作用降低了。为啥要开展等级保护工作,其实就是为了通过分级管理的办法,把需要做好网络安全防护的对象,采取合适的网络安全防护建设,做到不过度防御,但也要给予足够的基础网络安全防御措施。是不是觉得等级保护定级备案很难,其实参考一些文档和听取专家意见后,合理定级还是不难的。
等级保护定级备案参考标准
1、网络安全等级保护定级指南,当地公安部要求的标准,一般是当下正在实施的定级标准。
2、行业等级保护定级指南,由行业主管部门发布的。
等级保护定级备案流程
定级与备案流程为:确定定级对象、初步确定等级、专家评审、主管部门核准以及备案审核。
上海市计算机软件评测重点实验室,徐佳瑾发布的《网络安全等级保护工作中的定级与备案》一文中提到一些建议和对象举例,能够更形象为大家说明哪些系统需要做定级备案,以及在定级备案的过程中如何定级更合适。当然,这仅仅是建议,实际在等级保护定级备案的过程中,听取当地公安部门以及主管部门的要求和专家评审意见,结合公司实际情况,来科学定级,才能够得出更为符合实际情况的定级结果。
定级对象
网络运营者开展网络定级之前,首先需要梳理信息系统的信息,包括识别系统的数量、边界和范围等,需要说明的是:个人、家庭组建的网络和使用的计算机不在等级保护范围内。
那么如何科学、合理地确定定级对象呢,网络运营者或主管部门可参考下列情况来确定定级对象。
一是各单位的各类业务系统,主要用于生产、调度、管理、作业、指挥、办公、邮件等目的;
二是各单位的各类网站(如门户网站,OA管理网站,电子商务网站等),另外安全级别高的网站后台管理系统,也应作为独立的定级对象;
三是云计算平台,物联网信息系统也需作为独立的定级对象来进行备案;
需特别注意的是,作为定级对象的网络、信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。不应将某个单一的系统组件(例如服务器、终端、网络设备等)作为定级对象;
定级级别建议
定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,判断是否侵害公民、法人和其他组织的合法权益。
定级对象的安全主要包括业务信息安全和系统服务安全,首先确定业务信息安全受到破坏时所侵害的客体,根据业务信息安全保护等级矩阵表得出业务信息安全保护等级,然后确定系统服务安全受到破坏时所侵害的客体,根据系统服务安全保护等级矩阵表得出系统服务安全保护等级,将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
信息系统运营使用单位可参照下列说明来确定信息系统的安全保护等级:
第1级信息系统:一般适用于小型私营、个体企业、中小学,乡镇所属信息系统,县级单位中一般的信息系统。
第2级信息系统:一般适用于县级某些单位中的重要的信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第3级信息系统:一般适用于国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统;以及其他包含大量敏感信息的各类重要信息系统;