安全資訊

    信息系統定級是等保工作的首要環(huán)節，準確的定級能夠避免后續工作中的很多彎路，也能盡量避免投資浪費或定級過(guò)低而帶來(lái)的風(fēng)險。
    信息系統定級大致可以分為五大步驟：
        確定定級對象——初步確定等級——專(zhuān)家評審——行業(yè)主管部門(mén)審核——公安機關(guān)備案審查。
        一
    確定定級對象
    一、定級準備
        《網(wǎng)絡(luò )安全等級保護基本要求》中指出等級保護對象通常是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集、存儲、傳輸、交換、處理的系統。主要包括基礎信息網(wǎng)絡(luò )、云計算平臺/系統、大數據應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統和采用移動(dòng)互聯(lián)技術(shù)的系統等。
        定級范圍：定級范圍包括本單位內部建設、使用的承載生產(chǎn)、調度、管理、辦公等重要業(yè)務(wù)的信息系統。
        另外，定級對象還應具備如下基本特征：
        1、具有唯一確定的安全責任單位。作為定級對象的信息系統應能夠唯一確定其安全責任單位。如果一個(gè)單位的某個(gè)下級單位負責信息系統安全建設、運行維護等過(guò)程的全部安全責任；則這個(gè)下級單位可以成為信息系統的安全責任單位；如果一個(gè)單位中的不同下級單位分別承擔信息系統不同方面的安全責任；則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。
        2、具有信息系統的基本要素。作為定級對象的信息系統應該是由相關(guān)的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實(shí)體。應避免將某個(gè)單一的系統組件；如服務(wù)器、終端、網(wǎng)絡(luò )設備等作為定級對象。
        3、承載單一或相對獨立的業(yè)務(wù)應用。定級對象承載“單一”的業(yè)務(wù)應用是指該業(yè)務(wù)應用的流程獨立；且與其他業(yè)務(wù)應用沒(méi)有數據交換；且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務(wù)應用是指其業(yè)務(wù)應用的主要業(yè)務(wù)流程獨立；同時(shí)與其他業(yè)務(wù)應用有少量交換；定級對象可能會(huì )與其他業(yè)務(wù)應用共享一些設備；尤其是網(wǎng)絡(luò )傳輸設備。
        B、信息系統摸底
        開(kāi)展對所有需要定級的信息系統的摸底調查工作，掌握信息系統的基本情況，了解信息系統的業(yè)務(wù)類(lèi)型、應用或服務(wù)范圍、用戶(hù)數量、系統結構、部署方式等信息，為下一步明確定級范圍、進(jìn)行定級奠定基礎。

        二
    初步確定等級
        信息系統安全等級由受侵害客體和對客體的侵害程度兩大要素決定。
        A、受侵害的客體包括：公民、法人和其他組織的合法權益；社會(huì )秩序、公共利益；國家安全。
        注：確定作為定級對象的信息系統受到破壞后所侵害的客體時(shí)；應首先判斷是否侵害國家安全；然后判斷是否侵害社會(huì )秩序或公眾利益；最后判斷是否侵害公民；法人和其他組織的合法權益。
        B、對客體的侵害程度分為：一般損害、嚴重損害、特別嚴重損害。
        注：在針對不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)；應參照以下不同的判別基準：
        如果受侵害客體是公民、法人或其他組織的合法權益；則以本人或本單位的總體利益作為判斷侵害程度的基準；如果受侵害客體是社會(huì )秩序、公共利益或國家安全；則應以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準。
        《信息安全等級保護管理辦法》規定；信息系統的安全保護等級分為以下五級；一至五級等級逐級增高：
        第一級；信息系統受到破壞后；會(huì )對公民、法人和其他組織的合法權益造成損害；但不損害國家安全、社會(huì )秩序和公共利益。
        第二級；信息系統受到破壞后；會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害；或者對社會(huì )秩序和公共利益造成損害；但不損害國家安全。
        第三級；信息系統受到破壞后；會(huì )對社會(huì )秩序和公共利益造成嚴重損害；或者對國家安全造成損害。
        第四級；信息系統受到破壞后；會(huì )對社會(huì )秩序和公共利益造成特別嚴重損害；或者對國家安全造成嚴重損害。
        第五級；信息系統受到破壞后；會(huì )對國家安全造成特別嚴重損害。
        舉例：
        單位的信息系統A如果受到破壞后；不會(huì )對國家安全造成損害；但是會(huì )對社會(huì )秩序和公共利益造成嚴重損害；對公民、法人和其他組織的合法權益造成一般損害；則參考（表一）該信息系統A的定級應為三級。
        單位的信息B如果受到破壞后；不會(huì )影響國家安全；也不會(huì )對社會(huì )秩序和公共利益造成損害；但是對公民、法人和其他組織的合法權益造成嚴重損害；則參考（表一）該信息系統A的定級應為二級。
        （表一）定級要素與安全等級的關(guān)系

        三

專(zhuān)家評審
    初步確定信息系統等級后，單位可以聘請等級保護專(zhuān)家、行業(yè)專(zhuān)家、主管機關(guān)領(lǐng)導等外部專(zhuān)家，召開(kāi)信息系統定級評審會(huì )，對定級報告進(jìn)行外部評審，并形成評審意見(jiàn)。單位結合評審意見(jiàn)形成最終定級報告。（此步驟可以邀請測評機構協(xié)助）

        四
    主管部門(mén)審核
        若單位有上級主管部門(mén)或行業(yè)主管單位，并對定級報告具有審批要求的，單位需將信息系統安全保護等級定級報告報經(jīng)上級主管部門(mén)審批同意。

        五
    公安機關(guān)備案審查
        根據43號文《信息安全等級保護管理辦法》，信息系統安全保護等級為第二級以上的信息系統運營(yíng)使用單位或主管部門(mén)，應到公安機關(guān)辦理備案手續，提交有關(guān)備案資料。
        注：已運營(yíng)（運行）的第二級以上信息系統；應當在安全保護等級確定后30日內，由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。
        新建第二級以上信息系統；應當在投入運行后30日內；由其運營(yíng)、使用單位到所在地設區的市級以上公安機關(guān)辦理備案手續。
        備案時(shí)應當提交《信息系統安全等級保護備案表》（一式兩份）。第二級以上信息系統備案時(shí)需提交《備案表》表一、表二、表三。第三級以上信息系統還應當在系統整改、測評完成后30日內提交《備案表》表四及其有關(guān)材料。