定级流程
等级保护对象定级工作的一般流程如图1所示。
流程
定级方法概述
定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
定级方法流程示意图如图2所示。
安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的.还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。Zui后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后Zui终确定定级对象的安全保护等级。
对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级﹐原则上不低于其承载的等级保护对象的安全保护等级。
对于数据资源,综合考虑其规模,价值等因素,及其遭到破坏后对国家安全,社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统﹐原则上其安全保护等级不低于第三级。
五个等级保护级别中,常见二级、三级。
二级为审计安全保护级,在安全保护能力上,要求达到“能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能的安全保护能力”。
此外,《信息安全技术网络安全等级保护基本要求GB/T22239-2019》中明确规定了等级保护二级等级的安全通用要求和安全扩展要求。