3. 网络安全定级与备案
3.1 定级原理以及流程
3.1.1 安全保护等级
一级
等级保护对象收到侵害之后,会对相关公民,法人和其他组织的合法权益造成一般损害
,但不危害国家全,社会秩序和公共利益
二级
等级保护对象收到破坏后,会对相关公民,法人和其他组织的合法权益产生严重损害或特别严重损害
,或对社会秩序和公共利益造成危害
,但不危害国家安全
三级
等级保护对象收到伤害之后,对社会秩序和公共利益造成严重的损害
,对国家安全造成危害
**四级
**等级保护对象受到伤害之后,对社会秩序和公共利益造成特别严重损害
或者对国家安全造成严重危害
五级
等级保护对象受到破坏之后,会对国家造成特别严重的危害
3.1.2 定级要素
1. 定级保护对象概述
- 受侵害的客体
- 对客体的侵害程度
2. 受侵害的客体
- 公民,法人和其他组织的合法权益
- 社会秩序和公共利益
- 国家安全
3. 对客体的侵害程度
对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式,侵害后果和侵害程度加以描述
- 造成一般损害
- 造成严重损害
- 造成特别严重损害
3.1.3 定级流程
3.2 确定顶级对象
3.2.1 信息系统
定级对象的基本特征
- 具有确定的主要安全责任主体
- 承载相对独立的业务应用
- 包含相互关联的多个资源
注意: 云计算平台/系统,物联网,工业控制系统在满足以上基本特征上,还需遵循一下2~4条还规定
云计算平台/系统
- 云服务客户侧和服务商侧的云计算平台/系统分别作为单独的定级对象处理
物联网
物联网包括感知,网络传输和处理应用等特征要素,将以上所有要素对整体对象定级
工业控制系统
包括线程采集/执行,现场控制,过程控制和生产管理等特征要素需要作为一个整体对象定级
对于大型工业控制系用,可根据系统功能,责任主体,控制对象和从生产厂商等因素划分为多个等级对象
3.2.2 通信网络设施
- 对于电信,电视传输等网络通信设施,已根据安全责任主体,服务类型或者服务地域等因素将其划分为不同的定级对象
3.2.3 数据资源
- 当安全责任主体相同时,大数据,大数据平台/系统宜作为一个整体对象定级
3.3 初步确定安全保护等级
3.3.1 定级方法概述
业务信息安全等级:
从业务信息安全角度反映的定级对象安全保护等级
系统服务安全等级:
从系统服务安全角度反映的定级对象安全保护等级
定级方法流程图
3.3.2 确定受害者客体
侵害国家安全的事项
- 影响国家政权稳固和领土主权,海洋权益完整
- 影国家统一,民族团结和社会稳定
- 影响国家社会主义市场经济秩序和文化实力
- 其他影响国家安全的事项
影响社会秩序事项
- 影响国家机关,企事业单位社会团体的生活秩序,经营秩序,教学科研秩序,医疗卫生秩序
- 影响公共场所的活动秩序,公共交通秩序
- 影响人民群总的生活秩序
- 其他事项
侵害公共利益事项
- 影响社会成员使用公共设施
- 影响社会成员获取公开数据资源
- 影响社会成员接受公共服务等方面
- 其他影响公共利益的方面
3.3.3 确定客体的侵害程度
侵害的客观方面
业务信息安全: 确保信息系统中的信息保密性,完整性和可用性
系统服务安全: 确保定级对象可以及时有效地提供服务,已完成预定的业务目标
- 影响行使工作职能
- 导致业务能力下降
- 引起法律纠纷
- 造成社会不良影响
- 对其他组织和个人造成损失
- 其他影响
综合评定侵害程度
针对不同的侵害个体进行侵害程度判定时,参照不同的判别标准
- 一般损害: 工作职能收到局部影响,业务能力有所降低但不影响主要功能执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害
- 严重损害:工作职能受到严重影响,业务能力显著下降或严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害
- 特别严重损害: 工作职能受到特别严重影响或丧失行动能力,业务能力严重下降或功能无法执行,对其他组织和个人造成非常高的损害