安全資訊

信息安全等級保護制度是國家信息安全保障的基本制度，而定級是等級保護工作的首要環(huán)節和關(guān)鍵環(huán)節，定級不準，系統備案、建設、整改、等級測評等后續工作都會(huì )失去意義，信息系統安全就沒(méi)有保證。網(wǎng)絡(luò )安全等級保護制度是保障和促進(jìn)信息化建設健康發(fā)展的一項基本制度。安徽靈狐網(wǎng)絡(luò )科技有限公司聯(lián)合各地測評機構和安全廠(chǎng)商，提供一站式等保合規測評和網(wǎng)絡(luò )安全整改服務(wù)，為用戶(hù)構建合法合規、重點(diǎn)突出、節約成本、符合實(shí)際的安全保障體系，幫助企業(yè)快速通過(guò)公安部要求的《信息系統安全等級保護》測評。

定級時(shí)應主要考慮信息系統破壞后對國家安全、社會(huì )穩定的影響。需要運營(yíng)使用單位、主管部門(mén)真正承擔起安全責任，同時(shí)，信息安全監管部門(mén)代表國家對重要信息系統的安全進(jìn)行監督、檢查、指導。在重要信息系統安全方面，運營(yíng)使用單位和主管部門(mén)是第一責任部門(mén)，負主要責任，信息安全監管部門(mén)是第二責任部門(mén)，負監管責任。

一、安全保護等級

《網(wǎng)絡(luò )安全等級保護條例（征求意見(jiàn)稿）》第十五條規定，根據網(wǎng)絡(luò )在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會(huì )秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權益的危害程度等因素，網(wǎng)絡(luò )分為五個(gè)安全保護等級。

安全保護能力應隨著(zhù)安全保護等級的增高，逐漸增強。

二、準確確定定級對象。

在定級工作中，如何科學(xué)、合理地確定定級對象是最關(guān)鍵的問(wèn)題。這里首先要明確一個(gè)概念，信息系統包括起支撐、傳輸作用的基礎信息網(wǎng)絡(luò )和各類(lèi)應用系統。具體工作中，應按如下原則確定定級對象：
一是起支撐、傳輸作用的基礎信息網(wǎng)絡(luò )要作為定級對象。但不是將整個(gè)網(wǎng)絡(luò )作為一個(gè)定級對象，而是要從安全管理和安全責任的角度將基礎信息網(wǎng)絡(luò )劃分成若干個(gè)最小安全域或最小單元去定級。

二是專(zhuān)網(wǎng)、內網(wǎng)、外網(wǎng)等網(wǎng)絡(luò )系統（包括網(wǎng)管系統）要作為定級對象。同基礎信息網(wǎng)絡(luò )一樣，也不能將整個(gè)網(wǎng)絡(luò )系統作為一個(gè)定級對象，而是要從安全管理和安全責任的角度將網(wǎng)絡(luò )系統劃分成若干個(gè)最小安全域或最小單元去定級。

三是各單位網(wǎng)站要作為獨立的定級對象。如果網(wǎng)站的后臺數據庫管理系統安全級別高，也要作為獨立的定級對象。網(wǎng)站上運行的信息系統（例如對社會(huì )服務(wù)的報名考試系統）也要作為獨立的定級對象。

四是用于生產(chǎn)、調度、管理、作業(yè)、指揮、辦公等目的的各類(lèi)應用系統，要按照不同業(yè)務(wù)類(lèi)別單獨確定為定級對象，不以系統是否進(jìn)行數據交換、是否獨享設備為確定定級對象條件。不能將某一類(lèi)信息系統作為一個(gè)定級對象去定級。

五是確認負責定級的單位是否對所定級系統負有業(yè)務(wù)主管責任。也就是說(shuō)，業(yè)務(wù)部門(mén)應主導對業(yè)務(wù)信息系統定級，運維部門(mén)（例如信息中心、托管方）可以協(xié)助定級并按照業(yè)務(wù)部門(mén)的要求開(kāi)展后續安全保護工作。

六是具有信息系統的基本要素。作為定級對象的信息系統應該是由相關(guān)的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實(shí)體。應避免將某個(gè)單一的系統組件（如服務(wù)器、終端、網(wǎng)絡(luò )設備等）作為定級對象。

三、科學(xué)、合理、準確確定信息系統安全保護等級。

信息系統的安全保護等級是信息系統本身的客觀(guān)自然屬性，不應以已采取或將采取什么安全保護措施為依據，而是以信息系統的重要性和信息系統遭到破壞后對國家安全、社會(huì )穩定、人民群眾合法權益的危害程度為依據，確定信息系統的安全等級。

針對不同的信息系統，建議參考以下原則定級。

第一級信息系統：一般適用于鄉鎮所屬信息系統、縣級某些單位中一般的信息系統、小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)的信息系統。

第二級信息系統：一般適用于縣級某些單位中的重要信息系統，地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內部一般的信息系統。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統和管理系統等。

第三級信息系統：一般適用于地市級以上國家機關(guān)、重要企事業(yè)單位內部重要的信息系統。例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統和管理系統，重要領(lǐng)域、重要部門(mén)跨省、跨市或全國（?。┞?lián)網(wǎng)運行的用于生產(chǎn)、調度、管理、作業(yè)、指揮等方面的重要信息系統，跨省或全國聯(lián)網(wǎng)運行的重要信息系統在省、地市的分支系統，中央各部委、?。▍^、市）門(mén)戶(hù)網(wǎng)站和重要網(wǎng)站，跨省聯(lián)接的網(wǎng)絡(luò )系統等。

第四級信息系統：一般適用于國家重要領(lǐng)域、重要部門(mén)中的特別重要系統以及核心系統。例如全國鐵路、民航、電力等部門(mén)的調度系統，銀行、證券、保險、稅務(wù)、海關(guān)等幾十個(gè)重要行業(yè)、部門(mén)中的涉及國計民生的核心系統。

第五級信息系統：一般適用于國家重要領(lǐng)域、重要部門(mén)中的極端重要系統。