等保2 0下資訊系統的定級和備案

由於最新的定級指南還未正式發布，目前還是參照國家等級保護標準體系的核心標準《資訊保安技術資訊系統安全等級保護定級指南》（gb/t 22240-2008）。《資訊保安技術資訊系統安全等級保護定級指南》（gb/t 22240-2008）規定了非涉及國家秘密的等級保護物件的定級方法和流程，通過指導網路運營者合理地劃分定級物件和準確的確定安全保護等級，為後續的安全建設整改、等級測評等工作奠定了良好的基礎，有力推動了等級保護工作的開展。

但隨著資訊科技的高速發展和等級保護物件的不斷的擴大，原先《資訊保安技術資訊系統安全等級保護定級指南》（gb/t 22240-2008）規定資訊系統的安全保護等級由兩個定級要素決定：等級保護物件受到破壞時所侵害的客體和對客體造成侵害的程度。已不能滿足新形勢下的資訊系統定級要求，主要體現在第一安全的含義不斷演進，又早期面向資料的資訊保安，過渡到面向資訊系統的資訊保障，並進一步演進為面向網路空間的網路安全。第二，it系統重要型的提公升，隨著網際網路的發展，資訊系統的產品和技術重要性不斷提供，成為不可或缺的資訊基礎設施。地市新技術新應用的不斷湧現，雲計算、物聯網、大資料和移動網際網路等新技術應用給社會和公眾帶來便利的同時也對等級保護工作帶來挑戰。由此在缺乏相關指導標準的情況下，如何正確定級就越發重要。

那麼如何定級呢？第一步，還是先確定定級物件。參照《資訊保安技術資訊系統安全等級保護定級指南》（gb/t 22240-2008），等級保護物件被定義為：「資訊保安等級保護工作直接作用的具體資訊和資訊系統」。但隨著雲計算、物聯網、大資料和移動網際網路等新技術應用，就不滿足原先的定義了，所以參考相關資料，當前等級保護物件被定義為：「網路安全等級保護工作直接作用的物件，包括資訊系統、通訊網路設施和資料資源」。其中，通訊網路設施是指為資訊流通、網路執行等起基礎支撐作用的網路裝置設施，如電信網路，傳輸網路，以及行業或單位的跨省專用網（骨幹部分）等；資訊系統還是原先指由計算機或其他資訊終端及相關裝置組成的系統，如郵件系統、工業控制系統、雲平台等；資料資源的典型案例就是大資料。

第二步，確定了定級物件後，還需考慮定級的兩個要素——資訊系統安全包括業務資訊保安和系統服務安全。什麼意思呢？就是說從業務資訊保安角度反映的資訊系統安全保護等級稱業務資訊保安保護等級，從系統服務安全角度反映的資訊系統安全保護等級稱系統服務安全保護等級。當資訊系統遭到破壞時，從業務資訊保安和系統服務安全兩個角度去確定定級物件「受侵害的客體」和「對客體的侵害程度」。其中受侵害的客體可能是以下三者之一或者組合：1）公民、法人和其他組織的合法權益；2）社會秩序、公共利益；3）****。對於對客體的侵害程度一般分為以下三種：1）造成一般損害；2）造成嚴重損害；3）造成特別損害。根據實際情況結合等級保護相關管理檔案確定系統等級，以及參考新的業務資訊保安保護等級矩陣表和系統服務安全保護等級矩陣表，進行初步定級，由業務資訊保安等級和系統服務安全等級較高者為定級物件的保護等級。

一般資訊系統的安全保護等級分為以下五級：

第一級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害****、社會秩序和公共利益。

第二級，資訊系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害****。

第**，資訊系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對****造成損害。

第四級，資訊系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對****造成嚴重損害。

第五級，資訊系統受到破壞後，會對****造成特別嚴重損害。

第三步，資訊系統運營者組織網路安全等級保護專家對初步定級結果進行評審，並由專家組出具評審意見。

第四步，主管部門核准。當由行業主管（監管）部門的，定級物件的運營著應將初步定級結果報請行業主管（監管）部門核准。

第五步，資訊系統運營者將初步定級結果提交到所在地縣級以上公安機關進行備案審核，審核通過後的結果確定為定級物件的安全保護等級。

在上述過程中，專家評審、主管部門核准或備案審核不通過的，定級物件的運營著應參照上面步驟重新開始定級工作。

以上就是本次等保2.0下資訊系統的定級和備案。

等保2 0下資訊系統的定級和備案

國家國際標準和資訊系統的週期

資訊系統的軟體開發方法和軟體開發模型

優秀資訊系統專案經理應該具備的技能和素質

等保2 0下資訊系統的定級和備案

國家國際標準和資訊系統的週期

資訊系統的軟體開發方法和軟體開發模型

優秀資訊系統專案經理應該具備的技能和素質

相關推薦