网络安全等级保护定级是什么意思?
网络安全等级保护定级是等级保护过程中的必要环节,通过定级可以知道我们的系统选择的等级标准,从而帮助我们做好后续的等级保护工作,例如:根据确定好的等级,采购相应的软件、硬件等。接下来,为您详细介绍网络安全等级保护定级相关知识。
一、网络安全等级保护定级是什么意思?
网络安全等级保护定级是指对网络系统的安全等级进行评估和划分的一种方法。它旨在根据系统的重要性、安全性需求和风险评估等因素,将网络系统等级划分为不同的级别。这种定级方法能够帮助企业和政府机构有针对性地制定网络安全管理政策和技术措施,以最大程度地保护网络系统免受恶意攻击和非法侵入。
网络安全等级保护定级所考虑的因素非常广泛。首先是系统的重要性。一般来说,政府机构和金融机构等关键部门的网络系统被视为重要系统,因为它们涉及到国家安全和经济稳定。而一些企业内部的网络系统则相对较为次要。其次是安全性需求。不同的网络系统对安全性的要求不同,例如对数据加密和认证机制的要求。最后是风险评估。网络系统会遭受各种威胁和攻击,如木马病毒、黑客攻击等。通过对系统的风险进行评估,可以更好地确定系统的安全等级。
二、网络安全等级保护定级的几个级别
根据《GB/T22240—2020信息安全技术 网络安全等级保护定级指南》,安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
等级一,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;
等级二,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或者特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
等级三,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成危害;
等级四,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
等级五,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
三、网络安全等级保护如何定级?
1、确定定级对象
等级保护定级对象主要包括:信息系统、通信网络设施和数据资源等。
信息系统就是我们在等保1.0时候的定级对象,指的是各类信息系统,2.0时代根据新技术新应用的情况还包括云计算/平台、物联网、工业控制系统、采用移动互联技术的系统;
通信网络设施指的是为信息流通、网络运行等起基础支撑作用的网络设备设施,主要包括电信网、广播电视传输网和行业或单位的专用通信网等;
数据资源指的是具有或预期具有价值的数据集合,数据资源主要是拥有大量各类有价值的数据,那么这些单位需要保护好这些数据资源,自然需要对该数据资源进行定级,我们可以想象的这类数据有:人社数据、医保数据、公积金数据、个人财产数据(银行、房产、保险等)等信息;值得注意的是:当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级;涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级。
运营单位根据以上等级保护对象的特点,首先梳理建设、使用、运行、维护的各类信息系统、通信网络设施和数据资源等,确定出定级对象。
作为定级对象的信息系统应具有如下基本特征:
a)具有确定的主要安全责任主体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
(主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。)
2、初步确定等级
首先要了解定级原理,安全保护等级的确定主要从受侵害的客体和对客体侵害的程度两个维度来判断。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。
具体流程如下:
a) 确定受到破坏时所侵害的客体
1) 确定业务信息受到破坏时所侵害的客体;
2) 确定系统服务受到侵害时所侵害的客体。
b) 确定对客体的侵害程度
1) 根据不同的受侵害客体分别评定业务信息安全被破坏对客体的侵害程度;
2) 根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
c) 确定安全保护等级
1) 确定业务信息安全保护等级;
2) 确定系统服务安全保护等级。
3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
以上是专家评审前的理论性流程,那么实际工作开展当中,我们一般按以下流程进行:
第一步、准备专家评审材料
1、系统基本情况介绍
2、填写《信息系统安全等级保护备案表》;
3、编写《信息系统安全等级保护定级报告》;
4、三级以上系统还需提供系统拓扑结构及说明、系统安全建设实施方案、系统安全组织机构和管理制度、系统使用的信息安全产品清单及其认证、销售许可证;
5、专家评审意见初稿。
第二步、选取评审专家
在我省,评审专家从公安机关的网络安全等级保护专家组中选取3名(单数个)以上专家进行评审。
第三步、专家现场评审
运营单位介绍待评审的系统基本情况,专家查看系统演示、定级资料,针对有关等保定级问题进行交流质询;最终形成专家评审意见并进行签字。
上述内容为“网络安全等级保护定级是什么意思?”的介绍,如果您有其他疑惑,可咨询企常青等保顾问,我们会为您解答疑惑,并为您提供网络安全等级保护解决方案。