等级保护2.0之系统定级
等级保护2.0相必大家都已经听过很多次,这里为大家专门挑选出等级保护定级这一块为大家讲解。
系统定级【定级】是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。网络和信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。(国源天顺安全服务有限公司)
等级保护定级
一、等级保护定级备案工作流程
确定定级对象;
初步确定等级;
专家评审(安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据定级指南组织进行专家评审、主管部门核准和备案审核,Zui终确定其安全保护等级);
主管部门审核(使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核);
公安机关备案审查(使用单位应将初步定级结果 10日内提交公安机关进行备案审查,审查不通过,其使用单位应组织重新定级;审查通过后Zui终确定定级对象的安全保护等级)。
当网络和信息系统安全等级发生变更(业务状态和系统服务范围发生变化),应根据标准要求重新确定定级对象和安全保护等级。
2、等级保护定级对象有哪些特征?
网络安全等级保护中,被确定为定级对象的网络和信息系统应具有如下特征:
具有确定的主要安全责任主体;
承载相对独立的业务应用;
包含相互关联的多个资源。
如:对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
等级保护测评
3、是否系统定级越低越好?
应根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。
等级保护对象安全级别确定要依据 GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》进行定级,等级保护对象在初步定级之后,第二级及以上要召开定级专家评审会进行评审,并将定级报告上报行业主管单位进行核准,Zui后将定级报告等相关资料到县级以上公安机关进行备案审核。
等级保护对象安全等级的确定设置了多重审核,对于定级不准确的网络运营者需重新定级。因此,等级保护对象的安全保护等级要根据业务系统实际情况精准定级,遵循“适度保护”的原则。定级过高会造成保护成本过高,造成人力、物力、财力的浪费;级别过低将造成信息系统保护不力,需要承担落地等级保护制度不力的法律责任。
4、多个业务系统是否可以整合成一个定级系统?
在做多个业务系统整合定级时,要遵循法人主体的唯一性,不同法人主体负责的业务系统是不能算作一个系统进行定级备案;同一个法人主体的业务系统,在进行过业务系统改造后,进行系统级的整合,统一了登陆入口、统一进行业务管理、统一进行系统维护,且定级要素符合GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》要求,可以单独作为一个定级对象进行保护。
如何确定等级保护对象的安全等级?
等级保护对象安全保护等级由业务信息安全和系统服务安全两方面确定:从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
等级保护对象的定级要素包括:
受侵害的客体
对客体的侵害程度
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
公民、法人和其他组织的合法权
益社会秩序、公共利益
国家安全
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
造成一般损害造
成严重损害
造成特别严重损害
定级要素与安全保护等级的关系如下表:
定级要素与安全保护等级
等级对象Zui终等级的确认是根据业务信息安全等级和系统服务安全等级,两者取其高者为Zui终等级。
等级保护定级对象
国源天顺优势
1.在定级备案步骤,拥有丰富经验熟悉多个区域备案流程,可以让客户Zui简便、Zui省心的完成定级备案工作。
2.国源天顺直接测评机构,节省企业对比寻找时间——测评机构,初测完之后在购买产品,安全高效有针对性,避免被购买重复和无用产品,为客户省钱。3.同时在等级保护工作落地合规的企业。如大的企业如阿里云等网络公司,有高达1000人以上的安全部门,中小企业一个安全团队的建立也需要多个专业人员,对安全设备定期维护,对网络安全实时监测,这方面测评机构可以合理合规的为企业制定方案。
总的来说,在专业性和服务能力和时间的把控上“等级保护测评机构”是Zui优选:(国源天顺服安全务有限公司)