网络安全等级保护—定级
网络安全等级保护五个保护等级
五个保护等级
| 受侵害的客体 | 对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
第一级(自主保护级):
无需备案、对测评周期无要求,
此类信息系统遭到破坏后,会对公民、法人和其他组织的合法权益造成(一般伤害),不损害国家安全、社会秩序和公共利益。
第二级(指导保护级):
公安部备案,两年测评一次,
此类信息系统遭到破坏后,会对公民、法人和其他组织的合法权益造成(严重损害),会对社会秩序、公共利益造成一般损害,
不损害国家安全。
第三级(监督保护级):
公安部备案,每年测评一次,
此类信息系统受到破坏后,会对国家安全、社会秩序造成损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害。
第四级(强制保护级):
公安部备案,半年测评一次,
此类信息系统受到破坏后,会对国家安全造成严重损害,对社会秩序、公共利益造成特别严重损害。
第五级(专控保护级):
公安部备案,依据特殊安全需求进行,
此类信息系统受到破坏后会对国家安全造成特别严重损害。
定级流程
- 确定定级对象
- 初步确定保护等级
- 专家评审
- 主管部门审核
- 公安机关备案
- 公安机关审核。
定级要素
1、受到破坏所侵害的客体
2、对客体所伤害的程度。
确定定级对象
信息系统
信息系统基本特征:
1、具有确定的主要安全责任主体
2、承载相对独立的业务应用
3、包含相应关联的多个资源。
1、云计算平台/系统
云服务客户等级保护对象与云服务商的云计算平台或系统需要单独的定级对象定级。
2、物联网
物联网主要包括感知、网络传输和处理应用等特征要素,将以上要素作为一个整体对象进行定级,各因素不需要单独定级。
3、工业控制
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。现场/执行、现场控制等要素需要作为一个整体对象定级,各要素不需要单独定级,生产管理要素需要单独定级。
4、移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等要素,将以上要素或相关的业务系统作为一个整体对象进行定级,各要素不需要单独定级。
5、网络通讯设施
对于电信网、广播电视传输网等通信网络设施,根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分若干个定级对象。
6、数据资源
数据资源可以独立定级,当安全责任主体相同时,大数据、大数据平台/系统作为一个独立的一个整体对象进行定级,当安全责任主体不同时,大数据应独立定级。
确定安全保护等级
以下为定级流程图:
定级流程:
确定受到破坏时所侵害的客体
1、确定业务信息受到破坏时所侵害的客体;
2、确定系统服务受到侵害时所侵害的客体。
确定对客体的侵害程度
1、根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;
2、根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
确定安全保护等级
1、确定业务信息安全保护等级;
2、确定系统服务安全保护等级;
3、将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
确定首侵害的客体
国家安全层面
社会秩序层面
公共利益层面
公民、法人和其他组织的合法权益层面
确定对客体的侵害程度
不同侵害后果的三种侵害程度:
一般损害
严重损害
特别严重损害
END!!!
学习自《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》
