要做等级保护测评了,我的系统到底该定几级好?
2017-03-04 10:20:00 来源:本站 浏览:1620

现在越来越多的用户单位将自己的服务器或者应用进行托管,有的托管在电信机房,有的托管在电子政务中心,有的托管在阿里云。托管完之后很多人自认为终于把包袱扔出去了,省了很多事,不用再担心系统出问题了,出了问题也不是自己的事。其实不然,根据等保里面“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,只要这个应用不是托管方直接提供的,我们都需要对这个应用系统负责,对这个系统的安全负责。云越来越多,越来越方便,但是我们不得不理清里面的具体情况。

等级保护测评第一步就是系统定级,可是究竟如何定级呢?怎样定级最合理合规合适呢?不得不等今天就详细的和大家交流下心得。

首先我们来看下定级指南里对信息系统等级的划分:

根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

可以看出系统等级越高,系统越重要,造成的损害越严重。

我们再来看看定级的两个要素:

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

  • 受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面:

a) 公民、法人和其他组织的合法权益;

b) 社会秩序、公共利益;

c) 国家安全。

  • 对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

a) 造成一般损害;

b) 造成严重损害;

c) 造成特别严重损害。

定级要素与等级的关系

定级要素与信息系统安全保护等级的关系如下表所示。


受侵害的客体

对客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第三级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

看了定级要素和对应的要素关系,我们可以总结为对受侵害的客体造成的损害越大那么等级就越高,可是看完这个我们还是有点模糊特别是对第一次想开展这块工作的伙伴们来说更是雾里看花。

县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。当然在这里我也提出一点:现在江苏很多区县虽然是区县,但是实际经济总量和人口已经远远大于中西部一些地市,所以我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死搬硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统就得定到三级。定级不合理,将来不小心出了事情都是自己的事情,没必要把这样的风险全抗在自己肩膀上。另外补充一点如果行业有要求就按照行业要求来,这样办事省心省力。总结成一句话就是:信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。

经过这么一说,大家会不会更明白些自己的系统到底是几级呢?




甘公网安备 62010002000517号

陇ICP备15001871号-1

联系地址:甘肃省兰州市城关区南滨河东路58号

©版权所有 2011-2020 甘肃安信信息安全技术有限公司

Copyright © 2011-2020 Gansu Anxin information Safe Technology Ltd