等级保护测评第一步就是系统定级,可是究竟如何定级呢?怎样定级最合理合规合适呢?不得不等今天就详细的和大家交流下心得。
首先我们来看下定级指南里对信息系统等级的划分:
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成特别严重损害,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
可以看出系统等级越高,系统越重要,造成的损害越严重。
我们再来看看定级的两个要素:
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如下表所示。
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第三级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
看了定级要素和对应的要素关系,我们可以总结为对受侵害的客体造成的损害越大那么等级就越高,可是看完这个我们还是有点模糊特别是对第一次想开展这块工作的伙伴们来说更是雾里看花。那我们再看一个表格:
看了这个表格后,我们会清楚很多,到底我们的系统是几级,不得不等在此总结一下:县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。当然在这里我也提出一点:现在一些地区区县虽然行政是区县,但是实际经济总量和人口已经远远大于中西部一些地级市,所以我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死搬硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统就得定到三级。定级不合理,将来不小心出了事情都是自己的事情,没必要把这样的风险全抗在自己肩膀上。另外补充一点如果行业有要求就按照行业要求来,这样办事省心省力。总结成一句话就是:信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。当然涉及到国家安全的特别是全国性的系统要定四级。
到底哪些是国家安全?哪些是社会秩序、公共利益?可以参照近期的定级指南意见稿。
侵害国家安全的事项包括以下方面:
——影响国家政权稳固和主权完整;
——影响国家统一、民族团结和社会稳定;
——影响国家经济秩序和文化实力;
——影响宗教活动秩序和反恐能力建设;
——其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
——影响国家机关社会管理和公共服务的工作秩序;
——影响各种类型的经济活动秩序;
——影响各行业的科研、生产秩序;
——影响公众在法律约束和道德规范下的正常生活秩序等;
——其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面
——影响社会成员使用公共设施;
——影响社会成员获取公开信息资源;
——影响社会成员接受公共服务等方面;
——其他影响公共利益的事项。
什么样是一般损害?什么样是严重损害和特别严重损害?也可以参考近期的定级指南意见稿。
三种侵害程度的描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
最后再举个近期的例子,近期一些地方p2p系统定级备案开始开放了,有些地区明确要求三级,有些地区要求不低于二级,那这些p2p企业到底该定几级?我们对照定级指南来分析下,首先p2p的借贷系统主要是面向各地的民众、法人等进行借贷使用的信息系统,该系统对应的客体主要是:公民、法人和其他组织的合法权益。再看这个系统用户范围,不得不等认为至少是面向一个地级市乃至一个省的,其中很多是面向全国的,系统用户数量众多。其二,这些系统涉及到的信息,一块是公民、法人等的身份敏感信息;另一块是这些公民、法人等的财产敏感信息。这样的系统一旦遭受攻击破坏后,可能会导致系统无法使用,公民、法人等身份信息大范围泄露,公民、法人等财产遭受损失。那么这样的损害程度完全可以定为特别严重损害。那就是说这些p2p系统受侵害的客体是公民、法人和其他组织的合法权益,对客体的侵害程度为:特别严重损害,那么对照定级指南,该p2p系统应定为三级信息系统。最后补充一句p2p监管肯定是从严监管,此次允许大家等保备案了,后期如果都通过金融办的备案后,广大投资者如何选择一家更合适的p2p平台呢?网络安全水平也会是投资者考虑的一个因素,满足三级等保的信息系统和满足二级等保的信息系统,其网络安全防护水平肯定不一样的。有些机会要把握住,不是天天有的,该定几级,一定要想好。
其他相关文章:
等级保护定级指南意见稿五点重大变化
不做等保即使不出事也可能会被处以罚款记入信用档案等处罚
这些行业按照行业政策要求开展等级保护工作
2018年cisp八大知识域新知识体系更新介绍
【如果您觉得有用,欢迎收藏并分享到朋友圈,让更多的朋友了解网络安全,了解等级保护,分享也是一种美德!】
欢迎扫描关注我们,及时了解更多关于等级保护的知识