等級(jí)保護(hù)如何確定定級(jí)對(duì)象和保護(hù)等級(jí)
信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障的基本制度,而定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié),定級(jí)不準(zhǔn),系統(tǒng)備案、建設(shè)、整改、等級(jí)測(cè)評(píng)等后續(xù)工作都會(huì)失去意義,信息系統(tǒng)安全就沒有保證。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。安徽靈狐網(wǎng)絡(luò)科技有限公司聯(lián)合各地測(cè)評(píng)機(jī)構(gòu)和安全廠商,提供一站式等保合規(guī)測(cè)評(píng)和網(wǎng)絡(luò)安全整改服務(wù),為用戶構(gòu)建合法合規(guī)、重點(diǎn)突出、節(jié)約成本、符合實(shí)際的安全保障體系,幫助企業(yè)快速通過公安部要求的《信息系統(tǒng)安全等級(jí)保護(hù)》測(cè)評(píng)。
定級(jí)時(shí)應(yīng)主要考慮信息系統(tǒng)破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定的影響。需要運(yùn)營(yíng)使用單位、主管部門真正承擔(dān)起安全責(zé)任,同時(shí),信息安全監(jiān)管部門代表國(guó)家對(duì)重要信息系統(tǒng)的安全進(jìn)行監(jiān)督、檢查、指導(dǎo)。在重要信息系統(tǒng)安全方面,運(yùn)營(yíng)使用單位和主管部門是第一責(zé)任部門,負(fù)主要責(zé)任,信息安全監(jiān)管部門是第二責(zé)任部門,負(fù)監(jiān)管責(zé)任。
一、安全保護(hù)等級(jí)
《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》第十五條規(guī)定,根據(jù)網(wǎng)絡(luò)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后,對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素,網(wǎng)絡(luò)分為五個(gè)安全保護(hù)等級(jí)。
安全保護(hù)能力應(yīng)隨著安全保護(hù)等級(jí)的增高,逐漸增強(qiáng)。
二、準(zhǔn)確確定定級(jí)對(duì)象。
在定級(jí)工作中,如何科學(xué)、合理地確定定級(jí)對(duì)象是最關(guān)鍵的問題。這里首先要明確一個(gè)概念,信息系統(tǒng)包括起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)和各類應(yīng)用系統(tǒng)。具體工作中,應(yīng)按如下原則確定定級(jí)對(duì)象:
一是起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)要作為定級(jí)對(duì)象。但不是將整個(gè)網(wǎng)絡(luò)作為一個(gè)定級(jí)對(duì)象,而是要從安全管理和安全責(zé)任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干個(gè)最小安全域或最小單元去定級(jí)。
二是專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)等網(wǎng)絡(luò)系統(tǒng)(包括網(wǎng)管系統(tǒng))要作為定級(jí)對(duì)象。同基礎(chǔ)信息網(wǎng)絡(luò)一樣,也不能將整個(gè)網(wǎng)絡(luò)系統(tǒng)作為一個(gè)定級(jí)對(duì)象,而是要從安全管理和安全責(zé)任的角度將網(wǎng)絡(luò)系統(tǒng)劃分成若干個(gè)最小安全域或最小單元去定級(jí)。
三是各單位網(wǎng)站要作為獨(dú)立的定級(jí)對(duì)象。如果網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)管理系統(tǒng)安全級(jí)別高,也要作為獨(dú)立的定級(jí)對(duì)象。網(wǎng)站上運(yùn)行的信息系統(tǒng)(例如對(duì)社會(huì)服務(wù)的報(bào)名考試系統(tǒng))也要作為獨(dú)立的定級(jí)對(duì)象。
四是用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類應(yīng)用系統(tǒng),要按照不同業(yè)務(wù)類別單獨(dú)確定為定級(jí)對(duì)象,不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象條件。不能將某一類信息系統(tǒng)作為一個(gè)定級(jí)對(duì)象去定級(jí)。
五是確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)系統(tǒng)負(fù)有業(yè)務(wù)主管責(zé)任。也就是說,業(yè)務(wù)部門應(yīng)主導(dǎo)對(duì)業(yè)務(wù)信息系統(tǒng)定級(jí),運(yùn)維部門(例如信息中心、托管方)可以協(xié)助定級(jí)并按照業(yè)務(wù)部門的要求開展后續(xù)安全保護(hù)工作。
六是具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件(如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等)作為定級(jí)對(duì)象。
三、科學(xué)、合理、準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級(jí)。
信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)本身的客觀自然屬性,不應(yīng)以已采取或?qū)⒉扇∈裁窗踩Wo(hù)措施為依據(jù),而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù),確定信息系統(tǒng)的安全等級(jí)。
針對(duì)不同的信息系統(tǒng),建議參考以下原則定級(jí)。
第一級(jí)信息系統(tǒng):一般適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)某些單位中一般的信息系統(tǒng)、小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)的信息系統(tǒng)。
第二級(jí)信息系統(tǒng):一般適用于縣級(jí)某些單位中的重要信息系統(tǒng),地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。
第三級(jí)信息系統(tǒng):一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、重要企事業(yè)單位內(nèi)部重要的信息系統(tǒng)。例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng),重要領(lǐng)域、重要部門跨省、跨市或全國(guó)(省)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮等方面的重要信息系統(tǒng),跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)在省、地市的分支系統(tǒng),中央各部委、?。▍^(qū)、市)門戶網(wǎng)站和重要網(wǎng)站,跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。
第四級(jí)信息系統(tǒng):一般適用于國(guó)家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如全國(guó)鐵路、民航、電力等部門的調(diào)度系統(tǒng),銀行、證券、保險(xiǎn)、稅務(wù)、海關(guān)等幾十個(gè)重要行業(yè)、部門中的涉及國(guó)計(jì)民生的核心系統(tǒng)。
第五級(jí)信息系統(tǒng):一般適用于國(guó)家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。