3. 网络安全定级与备案
3.1 定级原理以及流程
3.1.1 安全保护等级
一级 等级保护对象收到侵害之后,会对相关公民,法人和其他组织的合法权益造成一般损害,但不危害国家全,社会秩序和公共利益
二级 等级保护对象收到破坏后,会对相关公民,法人和其他组织的合法权益产生严重损害或特别严重损害,或对社会秩序和公共利益造成危害,但不危害国家安全
三级 等级保护对象收到伤害之后,对社会秩序和公共利益造成严重的损害,对国家安全造成危害
**四级**等级保护对象受到伤害之后,对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重危害
五级 等级保护对象受到破坏之后,会对国家造成特别严重的危害
3.1.2 定级要素
1. 定级保护对象概述
- 受侵害的客体
- 对客体的侵害程度
2. 受侵害的客体
- 公民,法人和其他组织的合法权益
- 社会秩序和公共利益
- 国家安全
3. 对客体的侵害程度
对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式,侵害后果和侵害程度加以描述
- 造成一般损害
- 造成严重损害
- 造成特别严重损害
3.1.3 定级流程
3.2 确定顶级对象
3.2.1 信息系统
定级对象的基本特征
- 具有确定的主要安全责任主体
- 承载相对独立的业务应用
- 包含相互关联的多个资源
注意: 云计算平台/系统,物联网,工业控制系统在满足以上基本特征上,还需遵循一下2~4条还规定
云计算平台/系统
- 云服务客户侧和服务商侧的云计算平台/系统分别作为单独的定级对象处理
物联网
物联网包括感知,网络传输和处理应用等特征要素,将以上所有要素对整体对象定级
工业控制系统
包括线程采集/执行,现场控制,过程控制和生产管理等特征要素需要作为一个整体对象定级
对于大型工业控制系用,可根据系统功能,责任主体,控制对象和从生产厂商等因素划分为多个等级对象
3.2.2 通信网络设施
- 对于电信,电视传输等网络通信设施,已根据安全责任主体,服务类型或者服务地域等因素将其划分为不同的定级对象
3.2.3 数据资源
- 当安全责任主体相同时,大数据,大数据平台/系统宜作为一个整体对象定级
3.3 初步确定安全保护等级
3.3.1 定级方法概述
业务信息安全等级: 从业务信息安全角度反映的定级对象安全保护等级
系统服务安全等级: 从系统服务安全角度反映的定级对象安全保护等级
定级方法流程图
3.3.2 确定受害者客体
侵害国家安全的事项
- 影响国家政权稳固和领土主权,海洋权益完整
- 影国家统一,民族团结和社会稳定
- 影响国家社会主义市场经济秩序和文化实力
- 其他影响国家安全的事项
影响社会秩序事项
- 影响国家机关,企事业单位社会团体的生活秩序,经营秩序,教学科研秩序,医疗卫生秩序
- 影响公共场所的活动秩序,公共交通秩序
- 影响人民群总的生活秩序
- 其他事项
侵害公共利益事项
- 影响社会成员使用公共设施
- 影响社会成员获取公开数据资源
- 影响社会成员接受公共服务等方面
- 其他影响公共利益的方面
3.3.3 确定客体的侵害程度
侵害的客观方面
业务信息安全: 确保信息系统中的信息保密性,完整性和可用性
系统服务安全: 确保定级对象可以及时有效地提供服务,已完成预定的业务目标
- 影响行使工作职能
- 导致业务能力下降
- 引起法律纠纷
- 造成社会不良影响
- 对其他组织和个人造成损失
- 其他影响
综合评定侵害程度
针对不同的侵害个体进行侵害程度判定时,参照不同的判别标准
- 一般损害: 工作职能收到局部影响,业务能力有所降低但不影响主要功能执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害
- 严重损害:工作职能受到严重影响,业务能力显著下降或严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害
- 特别严重损害: 工作职能受到特别严重影响或丧失行动能力,业务能力严重下降或功能无法执行,对其他组织和个人造成非常高的损害
