等级保护定级标准分几级

时间: 2024-02-16 21:23:47 |   作者: 悬挂系列

  近几年,慢慢的变多人关注到网络安全等级保护,网络安全关系到每一个系统的安全,这是每一个企业和团体应该去积极落实的,国源天顺安全服务有限公司是全国等级保护推荐测评机构,证书编号:DJCP2020120201。这里国源天顺就等级保护的一些普遍的问题为大家梳理了几个常见问题:

  2007年7月26日,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)。该通知为全国重要信息系统等级保护开展定级工作给出要求顶层设计。随后,2008 年6月19日国家标准发布《信息系统安全保护等级定级指南》(GB/T22240—2008),为全国定级工作给出方法指导。

  《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861 号)中精确指出了我国的重要信息系统定级范围。重要信息系统范围如下:

  ① 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

  ② 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

  各行业主管部门、运营使用单位要组织并且开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。

  各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨省或者全国统一联网运行的信息系统能由主管部门统一确定安全保护等级。涉密信息系统的等级确定依照国家保密局的有关法律法规和标准执行。

  初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

  根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。

  公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况做审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。

  各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术上的支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。

  定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《信息安全等级保护管理办法》和本通知要求,具体实施定级工作。

  各地区、各部门要按照统一部署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家相关部委、各省级公安、保密、密码和信息化领导小组办事机构就《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》等内容做培训。信息系统主管部门对所管辖的信息系统运营使用单位做培训。各地参照上述培训模式开展培训工作。

  各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送公安部。

  在通知中精确指出,在“此次定级工作完成后,请各主管部门、运营使用单位按照《信息安全等级保护管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作”,同时要求“各级公安、保密、密码部门要开展等级保护工作的监督、检查和指导”。

  等级保护的定级方法主要是根据《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》,定级的主要要素为“受侵害的客体、对客体的侵害程度”

  根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级: