5、定级方法描述
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受qinhai客体和对客体的qinhai程度可能不同,因此,安全保护等级由业务信息安全(机密性和完整性)和系统服务安全(可用性)两方面确定。定级方法流程图如下:
确定受qinhai的客体时,首先判断是否qinhai害国家安全(三级),然后判断是否qinhai社会秩序或公共利益(看严重程度定级级别),最后判断是否侵害公民、法人和其他组织的合法权益(一级或二级)。qinhai客体的影响分类如下:
一类:侵害国家安全的事项影响包括:
a)影响国家zhengquan稳固和lingtuzhuq、海洋权益完整;
b)影响国家统一、民族团结和社会稳定;
c)影响国家社会主义市场经济秩序和文化实力;
d)其他影响国家安全的事项。
二类:侵害社会秩序的事项包括以下方面:
a)影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
b)影响公共场所的活动秩序、公共交通秩序;
c)影响人们群众的生活秩序;
d)其他影响社会秩序的事项。
三类:侵害公共利益的事项包括以下方面:
a)影响社会成员使用公共设施;
b)影响社会成员获取公开数据资源;
c)影响社会成员接受公共服务等方面;
d)其他影响公共利益的事项。
业务信息安全和系统服务安全受到pohai后,可能产生以下qinhai后果:
a)影响行使工作职能;
b)导致业务能力下降;
c)引起法律纠纷;
d)导致财产损失;
e)造成社会不良影响;
f)对其他组织和个人造成损失;
g)其他影响。
不同侵害后果的三种侵害程度描述如下:
a)一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
b)严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能的执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
c)特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,较大范围的社会不良影响,对其他组织和个人造成非常高损害;
6、初步确定等级
根据业务信息安全被破坏时所侵害的客体以及对应的侵害程度,可得到业务信息安全保护等级:
根据系统服务安全被破坏时所侵害的客体以及对应的侵害程度,可得到系统服务安全保护等级:
定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
8、确定安全保护等级
初步定为第二级及以上的对象,网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果给行业主管(监管)部门核准,并出具核准意见。然后把定级报告、备案表相关材料报送公安机关进行备案审核(目前广州市可以在线申请备案)。公安机关审核通过会颁发备案证,不同过,网络运营者需组织重新定级。
9、等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据《定级指南》重新确定定级对象和安全保护等级。如机房位置发生变化、线下系统迁移到云平台、业务或功能发生较大变化等都需要重新确定等级。
10、定级及备案实践
目前广州市都是网上受理等保备案材料,地址:http://gaj.gz.gov.cn/wlaqjc/各单位在网上注册、上传材料即可,备案的时候需要提供哪些材料如下:
一类:二级系统需提供以下材料
a)信息系统安全等级保护备案表(一份,里面有总体内容和分项内容填写)
b)信息系统安全等级保护定级报告(一个信息系统一份)
c)授权经办人身份证复印件(一份)
d)授权委托证明书(一份)
二类:三级及三级以上的系统需提供以下材料
除了二级所提供的材料之外,还需要提供以下材料:
备案相关材料需购买视频之后才能提供,请谅解,学习视频(51CTO学院搜索:网络安全等级保护2.0实践体系课程(https://edu.51cto.com/course/17518.html))。
原文:https://blog.51cto.com/lovevickie/2534583