工程驗收工作筆記001---系統等保級別_系統等級保護
一說等保二級,啥是等保二級,剛知道,恕我愚昧..
具體的某個等級,都有具體的要求,比如建築要求等等....
等級保護測評第一步就是系統定級,可是究竟如何定級呢?怎樣定級最合理合規合適呢?不得不等今天就詳細的和大家交流下心得。
首先我們來看下定級指南里對資訊系統等級的劃分:
根據等級保護相關管理檔案,資訊系統的安全保護等級分為以下五級:
第一級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益造成特別嚴重損害,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,資訊系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,資訊系統受到破壞後,會對國家安全造成特別嚴重損害。
可以看出系統等級越高,系統越重要,造成的損害越嚴重。
我們再來看看定級的兩個要素:
資訊系統的安全保護等級由兩個定級要素決定:等級保護物件受到破壞時所侵害的客體和對客體造成侵害的程度。
受侵害的客體等級保護物件受到破壞時所侵害的客體包括以下三個方面:
a) 公民、法人和其他組織的合法權益;
b) 社會秩序、公共利益;
c) 國家安全。
對客體的侵害程度對客體的侵害程度由客觀方面的不同外在表現綜合決定。由於對客體的侵害是通過對等級保護物件的破壞實現的,因此,對客體的侵害外在表現為對等級保護物件的破壞,通過危害方式、危害後果和危害程度加以描述。
等級保護物件受到破壞後對客體造成侵害的程度歸結為以下三種:
a) 造成一般損害;
b) 造成嚴重損害;
c) 造成特別嚴重損害。
定級要素與等級的關係
定級要素與資訊系統安全保護等級的關係如下表所示。
受侵害的客體
對客體的侵害程度
一般損害
嚴重損害
特別嚴重損害
公民、法人和其他組織的合法權益
第一級
第二級
第三級
社會秩序、公共利益
第二級
第三級
第四級
國家安全
第三級
第四級
第五級
看了定級要素和對應的要素關係,我們可以總結為對受侵害的客體造成的損害越大那麼等級就越高,可是看完這個我們還是有點模糊特別是對第一次想開展這塊工作的夥伴們來說更是霧裡看花。那我們再看一個表格:
看了這個表格後,我們會清楚很多,到底我們的系統是幾級,不得不等在此總結一下:縣級重要的資訊系統,地市級和省級的一般資訊系統,這裡的一般資訊系統指的是不涉及敏感資訊、重要資訊的資訊系統,這些系統都可以定為二級系統;省級入口網站和地市級及以上重要的業務網站需要定為三級,地市級及以上內部涉及到工作祕密、敏感資訊、重要資訊的辦公系統,管理系統需要定到三級,跨省的用於生產、排程、管理、指揮等在省、市的分支系統需要定為三級,跨省聯結的網路系統要定為三級(這個一般都是全國運營的專網系統)。當然在這裡我也提出一點:現在一些地區區縣雖然行政是區縣,但是實際經濟總量和人口已經遠遠大於中西部一些地級市,所以我們在系統定級的時候還是要結合系統的重要性去實際定級,切勿死搬硬套,例如我們在某區一個系統裡面儲存了全區上百萬的人口資訊,住房資訊等等敏感資訊,這樣的系統就得定到三級。定級不合理,將來不小心出了事情都是自己的事情,沒必要把這樣的風險全抗在自己肩膀上。另外補充一點如果行業有要求就按照行業要求來,這樣辦事省心省力。總結成一句話就是:資訊系統涉及到工作祕密、敏感資訊的,資訊洩露出去或者被非法篡改、破壞後造成比較大的影響的系統,建議定到三級,其他系統定到二級。當然涉及到國家安全的特別是全國性的系統要定四級。
到底哪些是國家安全?哪些是社會秩序、公共利益?可以參照近期的定級指南意見稿。
侵害國家安全的事項包括以下方面:
——影響國家政權穩固和主權完整;
——影響國家統一、民族團結和社會穩定;
——影響國家經濟秩序和文化實力;
——影響宗教活動秩序和反恐能力建設;
——其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面:
——影響國家機關社會管理和公共服務的工作秩序;
——影響各種型別的經濟活動秩序;
——影響各行業的科研、生產秩序;
——影響公眾在法律約束和道德規範下的正常生活秩序等;
——其他影響社會秩序的事項。
侵害公共利益的事項包括以下方面
——影響社會成員使用公共設施;
——影響社會成員獲取公開資訊資源;
——影響社會成員接受公共服務等方面;
——其他影響公共利益的事項。
什麼樣是一般損害?什麼樣是嚴重損害和特別嚴重損害?也可以參考近期的定級指南意見稿。
三種侵害程度的描述如下:
一般損害:工作職能受到區域性影響,業務能力有所降低但不影響主要功能的執行,出現較輕的法律問題,較低的財產損失,有限的社會不良影響,對其他組織和個人造成較低損害;
嚴重損害:工作職能受到嚴重影響,業務能力顯著下降且嚴重影響主要功能執行,出現較嚴重的法律問題,較高的財產損失,較大範圍的社會不良影響,對其他組織和個人造成較嚴重損害;
特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業務能力嚴重下降且或功能無法執行,出現極其嚴重的法律問題,極高的財產損失,大範圍的社會不良影響,對其他組織和個人造成非常嚴重損害。
最後再舉個近期的例子,近期一些地方P2P系統定級備案開始開放了,有些地區明確要求三級,有些地區要求不低於二級,那這些P2P企業到底該定幾級?我們對照定級指南來分析下,首先P2P的借貸系統主要是面向各地的民眾、法人等進行借貸使用的資訊系統,該系統對應的客體主要是:公民、法人和其他組織的合法權益。再看這個系統使用者範圍,不得不等認為至少是面向一個地級市乃至一個省的,其中很多是面向全國的,系統使用者數量眾多。其二,這些系統涉及到的資訊,一塊是公民、法人等的身份敏感資訊;另一塊是這些公民、法人等的財產敏感資訊。這樣的系統一旦遭受攻擊破壞後,可能會導致系統無法使用,公民、法人等身份資訊大範圍洩露,公民、法人等財產遭受損失。那麼這樣的損害程度完全可以定為特別嚴重損害。那就是說這些P2P系統受侵害的客體是公民、法人和其他組織的合法權益,對客體的侵害程度為:特別嚴重損害,那麼對照定級指南,該P2P系統應定為三級資訊系統。最後補充一句P2P監管肯定是從嚴監管,此次允許大家等保備案了,後期如果都通過金融辦的備案後,廣大投資者如何選擇一家更合適的P2P平臺呢?網路安全水平也會是投資者考慮的一個因素,滿足三級等保的資訊系統和滿足二級等保的資訊系統,其網路安全防護水平肯定不一樣的。有些機會要把握住,不是天天有的,該定幾級,一定要想好。