安全資訊

【等保2.0】等級保護定級備案及專(zhuān)家評審注意事項

【時(shí)間】2020-01-10

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

等保2.0已經(jīng)正式實(shí)施了一個(gè)多月,全國各地逐步按照等保2.0的要求,對信息系統的定級組織專(zhuān)家評審。今天的文章,小伙伴們就和我一起了解定級中專(zhuān)家評審的注意事項。


根據《網(wǎng)絡(luò )安全法》要求,國家實(shí)行網(wǎng)絡(luò )安全等級保護制度,也就是給予了網(wǎng)絡(luò )安全等級保護的法律地位。根據《網(wǎng)絡(luò )安全等級保護條例》要求網(wǎng)絡(luò )運營(yíng)者應當依法開(kāi)展網(wǎng)絡(luò )定級備案,也就意味著(zhù)網(wǎng)絡(luò )運營(yíng)者所有的系統都要定級備案(一級系統不需要到公安機關(guān)備案),系統保護等級一共有五級,最低為一級,所以,任何系統理論上最少也是一級,沒(méi)有0級,不管是幾級,哪怕是一級,也要開(kāi)展定級工作,這是網(wǎng)絡(luò )運營(yíng)者的責任義務(wù),根據等保2.0規定,除家庭及個(gè)人自建的網(wǎng)絡(luò )除外,已經(jīng)涵蓋所有的系統,所以一級的系統也應該定級。根據GB/T22239—2019《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》對一級系統的要求中描述:應以書(shū)面的形式說(shuō)明保護對象的安全保護等級及確定等級的方法和理由。那么專(zhuān)家評審后認定的一級系統更具有說(shuō)服力。


定級備案流程:根據網(wǎng)絡(luò )安全等級保護條例要求為:確定定級對象--->初步確定等級--->專(zhuān)家評審--->主管部門(mén)核準--->公安機關(guān)備案審核--->最終確定的等級。

解釋如下:各單位應該首先自己確定定級對象,對自己?jiǎn)挝坏乃邢到y進(jìn)行一個(gè)梳理,對每一個(gè)系統進(jìn)行一個(gè)初步預定級,如果認為該系統應該為二級以上,應該進(jìn)行專(zhuān)家評審,但是很多單位對于自己?jiǎn)挝坏南到y的重要程度,被破壞后的危害認識存在很多主觀(guān)因素,或者認識不夠,因此建議所有的系統都應該做專(zhuān)家評審,否則某個(gè)單位系統假如說(shuō)有幾十個(gè),主觀(guān)認為都是一級,那就進(jìn)行不到專(zhuān)家評審這一環(huán)節了,違背了定級的思想了,所以,個(gè)人覺(jué)得在專(zhuān)家評審時(shí),應該對所有系統進(jìn)行定級評審。避免出現二級(含二級)以上系統沒(méi)有定級備案的情況,避免因為信息系統沒(méi)有定級備案而被違法處罰。專(zhuān)家評審后有主管部門(mén)的報主管部門(mén)審核,審核后出具定級審批意見(jiàn)后,報給公安機關(guān)備案審查,公安機關(guān)屬于終審,如果公安機關(guān)認為仍然定級不準備,則重新調整回到第一步。公安機關(guān)審核通過(guò)后,最終確定等級,出具備案證明。


這里面有個(gè)小問(wèn)題需要注意,各個(gè)行業(yè)有各個(gè)行業(yè)的標準,比如電力,金融,航空,醫療等,但是所有的標準必須遵從網(wǎng)絡(luò )安全等級保護的標準,除非行業(yè)標準高于等保標準。等保條例屬于上位標準。即便是行業(yè)標準高于等保標準,公安機關(guān)也是按照等保標準而不是行業(yè)標準去執法。


重回定級備案中的定級問(wèn)題,有一些單位為了避免或者躲避測評問(wèn)題,或者為了某些目的,故意將系統的級別調低或者調高。一些資金充裕的單位愿意把系統級別定的很高,資金不充裕的單位,想定低一些,造成了定級不準確。公安部也是看到這種現象,所以在等保2.0中明確規定了,所有擬定為2級以上(包括2級)的系統都要經(jīng)過(guò)專(zhuān)家評審。這在一定程度上能很好的控制定級的準確性問(wèn)題。


但是即使是這樣,仍然會(huì )遇到一些問(wèn)題,本應二級的系統,故意定為一級。比如說(shuō)有一些國企或者事業(yè)單位說(shuō),我們的網(wǎng)站什么功能也沒(méi)有,就是一個(gè)展示宣傳,我們認為夠不上二級,先看一級,二級怎么定義的。

(一)第一級,一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會(huì )秩序和公共利益的一般網(wǎng)絡(luò )。

(二)第二級,一旦受到破壞會(huì )對相關(guān)公民、法人和其他組織的合法權益造成嚴重損害,或者對社會(huì )秩序和公共利益造成危害,但不危害國家安全的一般網(wǎng)絡(luò )。


一級系統中僅僅是對公民、法人和其他組織的合法權益造成損害,不涉及社會(huì )秩序和公共利益。二級系統涉及到了社會(huì )秩序和公共利益,而且只需造成一般損害就可以定為二級。那么一些國企事業(yè)單位開(kāi)設網(wǎng)站的目的就是為了公開(kāi)信息,對外宣傳,服務(wù)公眾,方便公眾使用公共設施等。如果這樣的網(wǎng)站被篡改或者訪(fǎng)問(wèn)不了,就等于侵害了公共利益,根據定級指南:侵害公共利益的事項包括:1.影響社會(huì )成員使用公共設施。2.影響社會(huì )成員獲取公開(kāi)信息資源。3.影響社會(huì )成員接受公共服務(wù)等方面。4.其他影響公共利益的事項。如果說(shuō)某些權威單位網(wǎng)站被篡改,比如說(shuō)上市公司、國企,網(wǎng)站上的新聞動(dòng)態(tài)可能直接影響股價(jià)?;蛘吣承┬畔⒐_(kāi)不能被社會(huì )成員獲取,或者某些單位網(wǎng)站被篡改可能直接導致影響正常生活秩序,比如說(shuō)預警發(fā)布自然災害信息被惡意發(fā)布,可能會(huì )造成整個(gè)社會(huì )的恐慌,動(dòng)亂,對于這樣單位的網(wǎng)站,即使被定為三級也不為過(guò)。


此外,系統定級,還要從多個(gè)角度去分析,比如單位職能,單位信譽(yù),人身安全等方面對本單位、對社會(huì )造成的影響以及影響范圍。單位對系統的依賴(lài)關(guān)系,依賴(lài)程度,影響程度。比如數據泄露后導致的人生生命財產(chǎn)安全,產(chǎn)生嚴重的法律問(wèn)題等。


專(zhuān)家評審注意問(wèn)題:

1.專(zhuān)家評審的時(shí)候,不是審查備案表和定級報告的瑕疵,文件的毛病,不是看系統的安全性,看系統是否缺少了什么安全防護設備。

2.專(zhuān)家的主要職責是根據系統的重要程度,根據系統被破壞后產(chǎn)生的影響后果去確定系統的級別,這才是專(zhuān)家評審的意義。其實(shí)系統定級是一件比較難,也非常重要的工作。系統級別確定后,系統就要按照這個(gè)標準去建設,去防護。

3.專(zhuān)家評審時(shí),應該對系統的邊界劃分清楚。有些單位習慣把一些系統合并成為一個(gè)系統,專(zhuān)家應該審核這種合并的合理性。

4.在評審表中應該考慮系統服務(wù)安全和系統業(yè)務(wù)安全,并認清對應的級別。

5.在評審時(shí),很多單位會(huì )把所有的系統都拿出來(lái)評審,對于認定為一級的系統也應該在專(zhuān)家評審意見(jiàn)中寫(xiě)明原因。不能只寫(xiě)二級以上的評審意見(jiàn)。


系統定級仍然可以參考公安部2007年7月下發(fā)的《等級保護實(shí)施主要技術(shù)環(huán)節說(shuō)明》。

作為定級對象的信息系統應具有如下基本特征:

a)  具有確定的主要安全責任主體;

b)  承載相對獨立的業(yè)務(wù)應用;

c)  包含相互關(guān)聯(lián)的多個(gè)資源。

注1:主要安全責任主體包括但不限于企業(yè)、機關(guān)和事業(yè)單位等法人,以及不具備法人資格的社會(huì )團體等其他組織;

注2:避免將某個(gè)單一的系統組件,如服務(wù)器、終端或網(wǎng)絡(luò )設備作為定級對象。


等保定級中的侵害的客體為國家安全、社會(huì )秩序和公共利益、公民、法人和其他組織的合法權益。


國家安全一般指:

重要的國家事務(wù)處理系統、國防工業(yè)生產(chǎn)系統和國防設施的控制系統等屬于影響國家政權穩固和國防實(shí)力的信息系統;廣播、電視、網(wǎng)絡(luò )等重要新聞媒體的發(fā)布或播出系統,如果受到非法控制可能引發(fā)影響國家統一、民族團結和社會(huì )安定的重大事件;處理國家對外活動(dòng)信息的信息系統;處理國家重要安全保衛工作信息的信息系統和重大刑事案件的偵察系統;尖端科技領(lǐng)域得研發(fā)、生產(chǎn)系統等影響國家經(jīng)濟競爭力和科技實(shí)力得信息系統,以及電力、通信、能源、交通運輸、金融等國家重要基礎設施的生產(chǎn)、控制、管理系統等。


社會(huì )秩序:

借助信息化手段提高國家機關(guān)的社會(huì )管理和公共服務(wù)水平,提高經(jīng)濟活動(dòng)效率,更方便地從事科研、生產(chǎn)、生活活動(dòng)是維護社會(huì )秩序的表現。

各級政府政府機構的社會(huì )管理和公共服務(wù)系統:如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統,也包括教育、科研機構的工作系統,以及所有為公眾提供醫療衛生、應急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統或管理系統。


公共利益:

公共利益包括的范圍非常廣,可以是經(jīng)濟利益,也可能是包括教育、衛生、環(huán)境等各個(gè)方面的利益。

借助信息化手段為社會(huì )成員提供使用的公共設施和通過(guò)信息系統對公共設施進(jìn)行管理控制都應當是要考慮的方面。比如:公共通信設施、公共衛生設施、公共休閑娛樂(lè )設施、公共管理設施、公共服務(wù)設施等。

公共利益與社會(huì )秩序密切相關(guān),社會(huì )秩序的破壞一般會(huì )造成對公共利益的損害。


公民、法人和其他組織的合法權益:

指的是擁有信息系統的個(gè)體或確定組織所享有的社會(huì )權力和利益。


損害程度:

對客體的侵害程度由客觀(guān)方面的不同外在表現綜合決定。由于對客體的侵害是通過(guò)對等級保護對象的破壞實(shí)現的,因此對客體的侵害外在表現為對等級保護對象的破壞,通過(guò)侵害方式、侵害后果和侵害程度加以描述。

等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:

a)  造成一般損害;

b)  造成嚴重損害;

c)  造成特別嚴重損害。


侵害程度是客觀(guān)方面的不同外在表現的綜合體現,因此,首先根據不同的受侵害客體、不同侵害后果分別確定其侵害程度。對不同侵害后果確定其侵害程度所采取的方法和所考慮的角度可能不同,例如,系統服務(wù)安全被破壞導致業(yè)務(wù)能力下降的程度可以從定級對象服務(wù)覆蓋的區域范圍、用戶(hù)人數或業(yè)務(wù)量等不同方面確定,業(yè)務(wù)信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進(jìn)行確定。


在針對不同的受侵害客體進(jìn)行侵害程度的判斷時(shí),參照以下不同的判別基準:

         ——如果受侵害客體是公民、法人或其他組織的合法權益,則以本人或本單位的總體利益作為判斷侵害程度的基準;   

         ——如果受侵害客體是社會(huì )秩序、公共利益或國家安全,則以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準。  


       不同侵害后果的三種侵害程度描述如下:

       1.一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執行,出現較輕的法律問(wèn)題,較低的財產(chǎn)損失,有限的社會(huì )不良影響,對其他組織和個(gè)人造成較低損害;

        2.嚴重損害:工作職能受到嚴重影響,業(yè)務(wù)能力顯著(zhù)下降且嚴重影響主要功能執行,出現較嚴重的法律問(wèn)題,較高的財產(chǎn)損失,較大范圍的社會(huì )不良影響,對其他組織和個(gè)人造成較高損害;  

       3.特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業(yè)務(wù)能力嚴重下降且或功能無(wú)法執行,出現極其嚴重的法律問(wèn)題,極高的財產(chǎn)損失,大范圍的社會(huì )不良影響,對其他組織和個(gè)人造成非常高損害。  


對客體的侵害程度由對不同侵害結果的侵害程度進(jìn)行綜合評定得出。由于各行業(yè)定級對象所處理的信息種類(lèi)和系統服務(wù)特點(diǎn)各不相同,業(yè)務(wù)信息安全和系統服務(wù)安全受到破壞后關(guān)注的侵害結果、侵害程度的計算方式均可能不同,各行業(yè)可根據本行業(yè)業(yè)務(wù)信息和系統服務(wù)特點(diǎn)制定侵害程度的綜合評定方法,并給出一般損害、嚴重損害、特別嚴重損害的具體定義。 

影響行使工作職能,工作職能包括國家管理職能、公共管理職能、公共服務(wù)職能等國家或社會(huì )方面的職能。

導致業(yè)務(wù)能力下降,下降的表現形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶(hù)數量的下降以及其他各種業(yè)務(wù)指標的下降,每個(gè)行業(yè)都有本行業(yè)關(guān)注的業(yè)務(wù)指標。例如電力行業(yè)關(guān)注發(fā)電量和用電量,稅務(wù)行業(yè)關(guān)注稅費收入,銀行業(yè)關(guān)注存款額、貸款額、交易量等,證券經(jīng)濟行業(yè)關(guān)注股民數和交易額。

引起法律糾紛是比較嚴重的影響,在較輕的程度時(shí)可能表現為投訴、索賠、媒體曝光等形式。

導致財產(chǎn)損失,包括系統資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降帶來(lái)的損失、直接的資金損失、為客戶(hù)索賠所支付的資金等,以及由于信譽(yù)下降、單位形象降低、客戶(hù)關(guān)系損失等導致的間接經(jīng)濟損失。

直接造成人員傷亡,例如醫療服務(wù)系統,公安行業(yè)的某些系統等。

造成社會(huì )不良影響,包括在社會(huì )風(fēng)氣、執政信心等方面的影響。


簡(jiǎn)要操作具體可以看表1:


表1 定級要素與安全保護等級的關(guān)系


業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體

對相應客體的侵害程度

一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執行,出現較輕的法律問(wèn)題,較低的財產(chǎn)損失,有限的社會(huì )不良影響,對其他組織和個(gè)人造成較低損害;

嚴重損害:工作職能受到嚴重影響,業(yè)務(wù)能力顯著(zhù)下降且嚴重影響主要功能執行,出現較嚴重的法律問(wèn)題,較高的財產(chǎn)損失,較大范圍的社會(huì )不良影響,對其他組織和個(gè)人造成較高損害;

特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業(yè)務(wù)能力嚴重下降且或功能無(wú)法執行,出現極其嚴重的法律問(wèn)題,極高的財產(chǎn)損失,大范圍的社會(huì )不良影響,對其他組織和個(gè)人造成非常高損害。

公民、法人和其他組織的合法權益:指的是擁有信息系統的個(gè)體或確定組織所享有的社會(huì )權力和利益。

第一級

第二級

第二級

社會(huì )秩序:借助信息化手段提高國家機關(guān)的社會(huì )管理和公共服務(wù)水平,提高經(jīng)濟活動(dòng)效率,更方便地從事科研、生產(chǎn)、生活活動(dòng)是維護社會(huì )秩序的表現。各級政府政府機構的社會(huì )管理和公共服務(wù)系統:如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統,也包括教育、科研機構的工作系統,以及所有為公眾提供醫療衛生、應急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統或管理系統。

公共利益:公共利益包括的范圍非常廣,可以是經(jīng)濟利益,也可能是包括教育、衛生、環(huán)境等各個(gè)方面的利益。借助信息化手段為社會(huì )成員提供使用的公共設施和通過(guò)信息系統對公共設施進(jìn)行管理控制都應當是要考慮的方面。比如:公共通信設施、公共衛生設施、公共休閑娛樂(lè )設施、公共管理設施、公共服務(wù)設施等。公共利益與社會(huì )秩序密切相關(guān),社會(huì )秩序的破壞一般會(huì )造成對公共利益的損害。

第二級

第三級

第四級

國家安全:重要的國家事務(wù)處理系統、國防工業(yè)生產(chǎn)系統和國防設施的控制系統等屬于影響國家政權穩固和國防實(shí)力的信息系統;廣播、電視、網(wǎng)絡(luò )等重要新聞媒體的發(fā)布或播出系統,如果受到非法控制可能引發(fā)影響國家統一、民族團結和社會(huì )安定的重大事件;處理國家對外活動(dòng)信息的信息系統;處理國家重要安全保衛工作信息的信息系統和重大刑事案件的偵察系統;尖端科技領(lǐng)域得研發(fā)、生產(chǎn)系統等影響國家經(jīng)濟競爭力和科技實(shí)力得信息系統,以及電力、通信、能源、交通運輸、金融等國家重要基礎設施的生產(chǎn)、控制、管理系統等。

第三級

第四級

第五級

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线