6.1 定级
您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节!
第6章
等级保护
根据《信息安全等级保护管理办法》的规定,等级保护主要由五个环节组成:定级、备案、建设整改、等级测评、安全监管。本章主要从定级、备案、建设整改和等级测评四个角度展开,关于安全监管具体见第11章。
6.1 定级
定级是等级保护工作的首要环节和关键环节。本章详细系统的介绍国家定级标准和要求、定级对象、定级级别的确定、定级工作流程、等级的审批和变更等内容。
6.1.1 基本工作概述
2007年7月26日,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合发布《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)。该通知为全国重要信息系统等级保护开展定级工作给出要求顶层设计。随后,2008年6月19日国家标准发布《信息系统安全保护等级定级指南》(GB/T22240—2008),为全国定级工作给出方法指导。
1.定级范围
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861 号)中明确指出了我国的重要信息系统定级范围。重要信息系统范围如下:
① 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
② 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
③ 市(地)级以上党政机关的重要网站和办公信息系统。
④ 涉及国家秘密的信息系统。
2.定级工作主要内容
(1)开展信息系统基本情况的摸底调查
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
(2)初步确定安全保护等级
各信息系统主管部门和运营使用单位要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(3)评审与审批
初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
(4)备案
根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
(5)备案管理
公安机关和国家保密工作部门负责受理备案并进行备案管理。信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《信息安全等级保护管理办法》及有关标准的,应当通知备案单位予以纠正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。
3.定级工作要求
(1)加强领导,落实保障
各地区、各部门要加强对本地区、本行业信息安全等级保护工作的组织领导,及时掌握工作进展情况,并可组织成立专家组,明确技术支持力量。信息系统运营使用单位要成立等级保护工作组,落实责任部门、责任人员和经费,保障定级工作顺利进行。
(2)明确责任,密切配合
定级工作由各级公安机关牵头,会同国家保密工作部门、国家密码管理部门和信息化领导小组办事机构共同组织实施。公安机关负责定级工作的监督、检查、指导;国家保密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。各信息系统运营使用单位依据《信息安全等级保护管理办法》和本通知要求,具体实施定级工作。
(3)动员部署,开展培训
各地区、各部门要按照统一部署广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室对国家有关部委、各省级公安、保密、密码和信息化领导小组办事机构就《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》等内容进行培训。信息系统主管部门对所管辖的信息系统运营使用单位进行培训。各地参照上述培训模式开展培训工作。
(4)及时总结,提出建议
各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各地区、各部门负责等级保护的领导机构要及时总结定级工作经验,形成定级工作总结报告,并及时报送公安部
在通知中明确指出,在“此次定级工作完成后,请各主管部门、运营使用单位按照《信息安全等级保护管理办法》和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作”,同时要求“各级公安、保密、密码部门要开展等级保护工作的监督、检查和指导”。
6.1.2 如何理解定级对象
1.基本概念
定级工作开展之前,需要弄清楚下面几个基本概念:什么是定级对象?什么是重要信息系统破坏后影响的客体?客体造成侵害的客观方面是什么?
信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
等级保护对象,是指信息安全等级保护工作直接作用的具体的信息和信息系统。
客体,是指受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
客观方面,是指对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
系统服务,是指信息系统为支撑其所承载业务而提供的程序化过程。
2.定级对象的基本特征
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:
① 具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
② 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
③ 承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
3.定性对象的确定原则和方法
信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。具体工作中,通常按如下原则确定定级对象:
一是起支撑、传输作用的基础信息网络要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是专网、内网、外网等网络系统(包括网管系统)要作为定级对象。同基础信息网络一样,也不能将整个网络系统作为一个定级对象,而是要从安全管理和安全责任的角度将网络系统划分成若干个最小安全域或最小单元去定级。
三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(如对社会服务的报名考试系统)也要作为独立的定级对象。
四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。
五是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
六是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
6.1.3 如何理解安全保护等级
1.定级工作原则
信息系统定级工作按照“自主定级、专家评审、主管部门审批、公安机关备案”的工作原则进行。
① 自主定级。各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,自主确定确定定级对象和定级级别。
② 专家评审。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。
③ 主管单位审批。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
④ 公安机关备案。公安机关对安全保护等级审核把关,合理确定信息系统安全保护等级。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。
2.定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
(1)受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三方面:① 公民、法人和其他组织的合法权益;② 社会秩序、公共利益;③ 国家安全。
《信息系统安全等级保护定级指南》明确指出,在确定作为定级对象的信息系统受到破坏后所侵害的客体时,要按照如下顺序执行。首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
同时,各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
(2)对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象的危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能,导致业务能力下降,引起法律纠纷,导致财产损失,造成社会不良影响,对其他组织和个人造成损失,其他影响等。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:造成一般损害、造成严重损害、造成特别严重损害。
3.定级要素和保护等级
《信息安全等级保护管理办法》第六条规定:“国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。”
保护等级和客体受侵害的程度对应关系如表6-1所示。
表6-1 定级要素与安全保护等级的关系
注意,在即将实施的《网络安全等级保护定级指南》中,公民、法人和其他组织的合法权益收到特别严重侵害后,级别由第二级调整到三级。
不同危害后果的三种危害程度描述如下。
① 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
② 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
③ 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
4.各类系统定级的处理方法
信息系统的安全保护等级是信息系统本身的客观自然属性,不应以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
针对不同的信息系统,建议参考以下原则定级。
第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。
第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统,如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省连接的网络系统等。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统,如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等重要行业、部门中的涉及国计民生的核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
5.新建系统的定级工作
新建系统要坚持三同步原则,做到“同步规划、同步设计、同步实施”。建设、运营单位要先定级,按照所定级别的基本保护要求同步建设。要站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身安全角度考虑。要应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象,避免将所有的业务系统网络作为一个定级对象。要避免同类信息系统的安全保护等级,不能随着部、省、市行政级别的降低而降低。在定级不明确的情况,可通过咨询等级保护建设领导小组、行业主管部门等相关意见后再确定。
6.1.4 定级工作如何开展
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
<1> 确定作为定级对象的信息系统。
<2> 确定业务信息安全受到破坏时所侵害的客体。
<3> 根据不同的受侵害客体,从多方面综合评定业务信息安全被破坏对客体的侵害程度。
<4> 依据表2,得到业务信息安全保护等级。
<5> 确定系统服务安全受到破坏时所侵害的客体。
<6> 根据不同的受侵害客体,从多方面综合评定系统服务安全被破坏对客体的侵害程度。
<7> 依据表3,得到系统服务安全保护等级。
<8> 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
定级工作流程如图6-1所示。
1.政策学习和摸底调查
(1)指导思想
在《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)中明确指出:各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
(2)政策学习
单位在开展系统定级之前,需要了解学习定级有关工作文件,通过这些文件的学习,可以初步掌握等级保护的作用、目的、方法和工作流程。定级有关工作文件主要包括:
《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)。
图6-1 确定保护等级工作流程
《计算机信息系统安全保护等级划分准则》(GB17859—1999)。
《信息安全技术 信息系统安全保护等级定级指南》(GB/T22240—2008)。
《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058—2010)。
《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)。
《信息安全等级保护管理办法》(公通字〔2007〕43号)。
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)。
本行业信息系统安全等级保护政策、法规、指导意见。
(3)摸底调查
信息系统摸底调查主要是全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,主要工作包括如下。
① 识别信息系统的基本信息。调查本单位信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
② 识别信息系统的管理框架。调查本信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
③ 识别信息系统的网络及设备部署。了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。
④ 识别信息系统的业务种类和特性。了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
⑤ 识别业务系统处理的信息资产。了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
⑥ 识别用户范围和用户类型。根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
⑦ 形成信息系统描述。对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应包含以下内容:系统概述、系统边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理的信息资产、用户的范围和用户类型、信息系统的管理框架。活动输出:信息系统总体描述文件。
2.确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
(1)划分方法的选择
信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。进行信息系统划分的方法可以考虑管理机构、业务类型、物理位置等因素。
(2)信息系统划分
依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征(具体特征参考6.1.2节)。在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。
(3)定级信息系统的详细描述
在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。所定级对象的信息系统描述主要内容包括:相对独立信息系统列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型和其他内容。
3.确定受侵害的客体
在《信息系统安全等级保护定级指南》明确指出,在确定作为定级对象的信息系统受到破坏后所侵害的客体时,要按照如下顺序执行。首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。同时,需要注意的是各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
① 判断受侵害的客体是否是国家安全,可从以下几方面分析:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
② 判断受侵害的客体是否是社会秩序、公共利益,可从以下几方面分析:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
③ 判断受侵害的客体是否是公共利益,可从以下几方面分析:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
④ 判断是侵害的客体是否是公民、法人和其他组织的合法权益,主要是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
4.确定对客体的侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果,确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下。
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
5.确定定级对象的安全保护等级
定级对象的安全保护等级由系统服务安全等级和业务信息安全保护等级中最高的决定。
① 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表6-2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表6-2 业务信息安全保护等级矩阵表
② 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表6-3系统服务安全保护等级矩阵表,即可得到业务信息安全保护等级。
信息系统运营、使用单位依据《信息安全等级保护管理方法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级后,应撰写《信息系统安全等级保护定级报告》,具体报告格式请参考附录。
表6-3 系统服务安全保护等级矩阵表
6.1.5 等级如何审批和变更
信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后,为了保证定级合理、准确,可聘请领域专家进行评审。等级确定后,信息系统运营使用单位需要提交备案资料,对信息系统的定级的准确性进行审核。
1.信息系统等级评审
初步确定信息系统安全保护等级后,可以聘请专家进行评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。
2.信息系统等级的审批
信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准。单位自建的信息系统(与上级单位无关),等级确定后是否上报上级主管部门审批,由单位自行决定。这里的主管部门一般是指行业的上级主管部门或监管部门。其跨省或者全国统一联网运行的信息系统,必须由其上级主管部门统一定级、统一审批,确保同类系统不因地区的差异而造成不一致的问题。
3.公安机关审核
《信息安全等级保护管理方法》第十五条规定:信息系统运营、使用单位或者其主管部门应当在信息系统安全保护等级确定后 30 日内,到公安机关办理备案手续。公安机关收到备案材料后,应对信息系统所定安全保护等级的准确性进行审核。经审核合格的,公安机关出具《信息系统安全等级保护备案证明》。
公安机关的审核是定级工作的最后一道防线,应严格审核、高度重视。对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
4.等级变更
在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应重新定级。 网络安全法和网络安全等级保护2