各个行业信息系统如何开展定级工作

Posted tanovo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了各个行业信息系统如何开展定级工作相关的知识,希望对你有一定的参考价值。

对于很多初次开展等保的单位,首当其冲的就是系统定级问题:究竟是定二级还是三级?定低一点会不会更好?定级的依据标准是什么?

我们通过这篇文章,来把系统定级问题讲清楚,涉及的几个问题是:

1、信息系统定级标准?

2、信息系统定级流程?

3、典型代表的单位、行业的定级标准?

4、定级报告是什么?

在了解这些问题之前,我们来了解下什么是定级?为什么要进行定级工作?

定级工作是等级保护工作的第一步,也就是确定等级保护对象的等级即信息系统的等级。根据《网络安全法》第21条:国家实行网络安全等级保护制度,即“划分等级,整点保护“。因此开展等保工作的第一步就是确定保护对象的等级。

一、信息系统定级标准?

目前最新的网络安全等级保护定级工作的参考国标文件是GT/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》。该标准文件适用于非涉及国际秘密的等级保护对象的等保定级。

GT/T 22240-2020 标准将我国的等级保护对象分为5个等级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

这5个等级,就是我们确定信息系统等级的最根本依据。上述标准还有个简明的图表:

那么在这里又有一个新的问题:标准中的各个受侵害客体的具体范围以及侵害程度如何理解?

公民、法人和其他组织的合法权益:对于网络安全领域主要包括姓名权、肖像权、名誉权、荣誉权、隐私权、财产安全、个人信息安全等

社会秩序和公共利益:这是个比较抽象的概念,简单理解为社会的正常运行和广大公民所能享受的利益

国家安全:包括政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核、海外利益、生物、太空、极地、深海安全

二、信息系统定级流程?

专家评审:

公安机关:各地网安

以上是关于各个行业信息系统如何开展定级工作的主要内容,如果未能解决你的问题,请参考以下文章

各个行业信息系统如何开展定级工作

各个行业信息系统如何开展定级工作

信息系统定级与备案工作介绍

网络安全等级保护的主要工作环节

《信息系统安全等级保护定级报告》

《信息系统安全等级保护定级报告》