定级与备案了解多少，才能放心迈出等级保护工作的第一步

引言

没有网络安全，就没有国家安全！党中央和总书记从来没有像今天这么重视网络安全。一场能够以法律形式将网络安全提高至我国安全战略高度的“安全行动”迫在眉睫。2017年6月1日，作为我国网络安全领域的首部基础性和综合性保障法——《中国网络安全法》正式实施；作为《中国网络安全法》中唯一提到的合规基线——《网络安全等级保护制度》，再次成为社会关注的焦点，成为各单位与网络安全威胁进行正面对战的关键一环。

在全国积极开展等保工作之际，e安在线积极推进等保人才培养，为各信息企业提供充足而有力的“弹药”，另外在公众号中将进行等保系列知识普及。

深深的记得，我刚接触等保的时候，孤零零地站在这个“世界”前，年少轻狂地以为很简单，但学起来才发现，等级保护这简单的4个字，承载太多，让我这个文科生对网络安全领域充满了热血和责任感，今天就从开展等级保护工作的第一步来总结信息系统定级与备案的方方面面。

等级保护测评第一步——信息系统定级与备案

信息系统定级工作应该按照“用户初步定级、专家评审、主管部门审批、公安机关审核”的原则进行。那么究竟如何定级呢？怎样定级最合理合规合适呢？

一、《定级指南》里对信息系统等级的划分

根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成特别严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

可以看出系统等级越高，系统越重要，系统遭受破坏时造成的损害越严重。

二、定级的两个要素

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

a) 公民、法人和其他组织的合法权益；

b) 社会秩序、公共利益；

c) 国家安全。

对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

a) 造成一般损害；

b) 造成严重损害；

c) 造成特别严重损害。

三、定级要素与等级的关系

定级要素与信息系统安全保护等级的关系如下表所示，总结为对受侵害的客体造成的损害越大那么等级就越高。

      

四、定级的一般流程

 

五、进行信息系统定级备案的地点

区县——先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案

地级——各地级市的单位将定级资料交给各自地级市的网安支队

省级——省级单位将资料交给省公安网安总队

PS：特殊行业按特定要求执行。

六、定级对象仍需遵守的相关要求

⑴ 对于电信网、广播电视传输网、互联网等基础信息网络。应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象，而跨省业务专网既可以作为一个整体定级，也可根据区域划分为若干对象定级。

⑵ 对于工业控制系统。应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。

⑶ 对于云计算平台。则应区分为服务提供方与租户方，各自分别作为定级对象。

⑷ 对于物联网。虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。

⑸ 采用移动互联技术的网络与物联网类似。应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。

⑹ 对于大数据。除安全责任主体相同的平台和应用可以整体定级外，应单独定级。

《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定，相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。大数据安全保护等级不低于第三级。此外，若上述平台被确定为关键信息基础设施的，原则上其安全保护等级应不低于第三级。

（文章来源：e安在线）

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。