CN
EN

新闻动态

ag亚游集团—系统等保定级到底定几级合适?

2018-02-26

等级保护测评第一步就是系统定级,可是究竟如何定级呢?怎样定级最合理合规合适呢?不得不等今天就详细的和大家交流下心得。

 首先我们来看下定级指南里对信息系统等级的划分:
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成特别严重损害,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
        第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
可以看出系统等级越高,系统越重要,造成的损害越严重。
        我们再来看看定级的两个要素:
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
  • 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
  • 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过:Ψ绞、:?蠊?臀:Τ潭燃右悦枋。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如下表所示。


受侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第三级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
看了定级要素和对应的要素关系,我们可以总结为对受侵害的客体造成的损害越大那么等级就越高,可是看完这个我们还是有点:?乇鹗嵌缘谝淮蜗肟?拐饪楣ぷ鞯幕锇槊抢此蹈?俏砝锟椿。那我们再看一个表格:

看了这个表格后,我们会清楚很多,到底我们的系统是几级,不得不等在此总结一下:县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。当然在这里我也提出一点:现在一些地区区县虽然行政是区县,但是实际经济总量和人口已经远远大于中西部一些地级市,所以我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死搬硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统就得定到三级。定级不合理,将来不小心出了事情都是自己的事情,没必要把这样的风险全抗在自己肩膀上。另外补充一点如果行业有要求就按照行业要求来,这样办事省心省力。总结成一句话就是:信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。当然涉及到国家安全的特别是全国性的系统要定四级。
     
到底哪些是国家安全?哪些是社会秩序、公共利益?可以参照近期的定级指南意见稿。
侵害国家安全的事项包括以下方面:
——影响国家政权稳固和主权完整;
——影响国家统一、民族团结和社会稳定;
——影响国家经济秩序和文化实力;
——影响宗教活动秩序和反恐能力建设;
——其他影响国家安全的事项。

侵害社会秩序的事项包括以下方面:
——影响国家机关社会管理和公共服务的工作秩序;
——影响各种类型的经济活动秩序;
——影响各行业的科研、生产秩序;
——影响公众在法律约束和道德规范下的正常生活秩序等;
——其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面
——影响社会成员使用公共设施;
——影响社会成员获取公开信息资源;
——影响社会成员接受公共服务等方面;
——其他影响公共利益的事项。


什么样是一般损害?什么样是严重损害和特别严重损害?也可以参考近期的定级指南意见稿。


三种侵害程度的描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。


最后再举个近期的例子,近期一些地方P2P系统定级备案开始开放了,有些地区明确要求三级,有些地区要求不低于二级,那这些P2P企业到底该定几级?我们对照定级指南来分析下,首先P2P的借贷系统主要是面向各地的民众、法人等进行借贷使用的信息系统,该系统对应的客体主要是:公民、法人和其他组织的合法权益。再看这个系统用户范围,不得不等认为至少是面向一个地级市乃至一个省的,其中很多是面向全国的,系统用户数量众多。其二,这些系统涉及到的信息,一块是公民、法人等的身份敏感信息;另一块是这些公民、法人等的财产敏感信息。这样的系统一旦遭受攻击破坏后,可能会导致系统无法使用,公民、法人等身份信息大范围泄露,公民、法人等财产遭受损失。那么这样的损害程度完全可以定为特别严重损害。那就是说这些P2P系统受侵害的客体是公民、法人和其他组织的合法权益,对客体的侵害程度为:特别严重损害,那么对照定级指南,该P2P系统应定为三级信息系统。最后补充一句P2P监管肯定是从严监管,此次允许大家等保备案了,后期如果都通过金融办的备案后,广大投资者如何选择一家更合适的P2P平台呢?网络安全水平也会是投资者考虑的一个因素,满足三级等保的信息系统和满足二级等保的信息系统,其网络安全防护水平肯定不一样的。有些机会要把握。?皇翘焯煊械,该定几级,一定要想好。