青海三级等级保护备案
系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。网络和信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。
1、等级保护定级备案工作流程
确定定级对象;
初步确定等级;
专家评审(安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据定级指南组织进行专家评审、主管部门核准和备案审核,*终确定其安全保护等级);
主管部门审核(使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核);
公安机关备案审查(使用单位应将初步定级结果 10 日内提交公安机关进行备案审查,审查不通过,其使用单位应组织重新定级;审查通过后*终确定定级对象的安全保护等级)。
当网络和信息系统安全等级发生变更(业务状态和系统服务范围发生变化),应根据标准要求重新确定定级对象和安全保护等级。
2、等级保护定级对象有哪些特征?网络安全等级保护中,被确定为定级对象的网络和信息系统应具有如下特征:
具有确定的主要安全责任主体;
承载相对独立的业务应用;
包含相互关联的多个资源。
如:对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
3、如何确定等级保护对象的安全等级?等级保护对象安全保护等级由业务信息安全和系统服务安全两方面确定:从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。等级保护对象的定级要素包括:
受侵害的客体
对客体的侵害程度
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
公民、法人和其他组织的合法权益
社会秩序、公共利益
国家安全
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
造成一般损害
造成严重损害
造成特别严重损害
等级对象*终等级的确认是根据业务信息安全等级和系统服务安全等级,两者取其高者为*终等级。
4、多个业务系统是否可以整合成一个定级系统?在做多个业务系统整合定级时,要遵循法人主体的性,不同法人主体负责的业务系统是不能算作一个系统进行定级备案;同一个法人主体的业务系统,在进行过业务系统改造后,进行系统级的整合,统一了登陆入口、统一进行业务管理、统一进行系统维护,且定级要素符合 GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》要求,可以单独作为一个定级对象进行保护。
5、是否系统定级越低越好?应根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。等级保护对象安全级别确定要依据 GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》进行定级,等级保护对象在初步定级之后,第二级及以上要召开定级专家评审会进行评审,并将定级报告上报行业主管单位进行核准,将定级报告等相关资料到县级以上公安机关进行备案审核。
等级保护对象安全等级的确定设置了多重审核,对于定级不准确的网络运营者需重新定级。因此,等级保护对象的安全保护等级要根据业务系统实际情况定级,遵循“适度保护”的原则。定级过高会造成保护成本过高,造成人力、物力、财力的浪费;级别过低将造成信息系统保护不力,需要承担落地等级保护制度不力的法律责任。
6、定级标准文件《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020