信息系统安全等级保护定级流程、方法及注意事项
一、等保评级的概念和意义
信息系统安全等级保护(简称'等保')是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等保评级,全称为信息系统安全等级保护定级,是指根据国家相关法律法规和标准(如《网络安全法》、GB/T 22239-2019),对信息系统承载的信息和业务应用进行风险分析,确定信息系统的安全保护等级,实施相应的安全措施,确保信息系统的安全运行和数据安全的一项工作。
1.1 等保的意义
- 法律合规要求:体现了国家对网络安全的重视和规范,是《网络安全法》中提出的网络安全等级保护制度的具体实施方式。未落实等保可能导致法律责任。
- 提升防护能力:有利于提高信息系统的安全防护能力,防止网络攻击、数据泄露、病毒感染等安全事件的发生,维护国家安全、社会稳定和公民权益。
- 规范建设管理:有利于促进信息系统的规范建设和管理,提高信息系统的可靠性、可用性和可维护性。
- 推动产业发展:有利于推动网络安全产业的发展,培育网络安全人才,提升网络安全技术水平。
二、等保评级的流程
根据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020),等保评级的流程一般包括以下五个步骤:
2.1 确定定级对象
根据定级对象的基本特征和特殊要求,确定需要进行等保评级的信息系统或其他实体。定级对象可以是信息系统、通信网络设施、云平台、物联网系统等。需明确系统的边界、功能、服务范围及涉及的数据类型。
2.2 初步确定等级
根据定级对象受侵害的客体和对客体侵害程度两个要素,参考定级指南中给出的定级标准和案例,初步确定定级对象的安全保护等级。
- 第一级:受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
- 第二级:受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 第三级:受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级:受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级:受到破坏后,会对国家安全造成特别严重损害。
2.3 专家评审
组织相关领域和行业的专家对初步确定的等级进行评审,形成专家评审报告,并根据专家意见调整等级。对于第三级及以上的系统,通常必须经过专家评审。
2.4 主管部门审核
将专家评审报告提交给定级对象所属或所属行业主管部门进行审核,并根据审核结果确定最终等级。部分行业(如金融、电力、医疗)有特定的行业监管要求。
2.5 公安机关备案
将最终确定的等级报告提交给公安机关网安部门进行备案,并接受公安机关对备案材料和定级结果进行审查。备案通过后,系统将进入测评阶段。
三、等保评级的方法
等保评级的方法主要有两种:自上而下法和自下而上法。
3.1 自上而下法
从整个信息系统或其他实体出发,根据其整体功能、业务范围、影响范围、风险程度等因素确定其最高等级,然后再根据各个子系统或组成部分与整体之间的关系,逐层向下分配各个子系统或组成部分的等级。这种方法适用于较为复杂、涉及多个领域或行业、具有较高风险的信息系统或其他实体。
3.2 自下而上法
从信息系统或其他实体的各个子系统或组成部分出发,根据其各自的功能、业务范围、影响范围、风险程度等因素确定其各自的等级,然后再根据各个子系统或组成部分之间的关系,逐层向上综合确定整个信息系统或其他实体的等级。这种方法适用于较为简单、涉及单一领域或行业、具有较低风险的信息系统或其他实体。
3.3 定级原则
无论采用哪种方法,都需要遵循以下原则:
- 客观性原则:定级结果应当客观反映定级对象的安全状况,不受主观意愿和外部干扰的影响。
