等保 · 定级
网络安全等级保护信息系统定级主要依据国家标准要求及行业标准要求,根据信息系统业务信息遭受到侵害后对客体的损害程度、服务中断后对客体的损害程度进行界定;在定级工作中涉及信息系统业务主体信息、建设运维信息、业务情况、网络情况、安全防护情况、数据资源类型、数据量、客体识别、损害程度判定等。
下文列举了网络安全等级保护定级相关标准,章节包括:一、国家标准;二、行业标准-教育行业;三、行业标准-广电行业;四、行业标准-电力行业;五、行业标准-卫生行业;六、行业标准-金融行业;七、行业标准-交通运输行业;八、行业标准-民航;九、行业标准-铁路行业;十、行业标准-报业;十一、行业标准-邮政行业;十二、行业标准-烟草行业。
内容较多,诸位各取所需,后续有新发现的持续补充。
国家标准:
GB/T 22240-2020《 信息安全技术 网络安全等级保护定级指南》,以下简称“定级指南”。
1.1定级要素
①受侵害的客体;客体包括:公民、法人和其他组织的合法权益;社会秩序、公众利益;国家安全。
②对客体的侵害程度;侵害程度包括:一般损害;严重损害;特别严重损害。
1.2定级要素与安全保护等级的关系
1.3定级流程
第一步:确定定级对象;也就是本次需要定级的系统名称,例如门户网站系统、xxx管理平台、电力监控系统、主机DCS系统、财务系统、OA系统、专网系统等。定级对象的基本特征包括:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。
第二步:初步确定等级;责任主体单位及责任主体部门或第三方技术人员,依照定级指南拟定等级。
第三步:专家评审;邀请具备资质的专家对初步拟定的定级对象等级进行评审,一般专家包括政府专家库中网络安全专家、网络安全等级保护测评机构高级测评师、网安专家库中登记备案的专家、责任主体单位具备高级职称的技术专家等,具体的按照当地的要求开展专家评审即可。
第四步:主管部门核准;若具备上级主管部门,则需拟上级主管部门审批意见经主管部门盖章确认。一般审批意见由上级主管部门出具,内容大致为你单位xxx系统定级资料已收悉,同意将xxx系统定为x级,在定级基础上做好网络安全等级保护工作。
第五步:备案审核;按照当地网安要求,准备备案资料提交网安审核。
1.4定级方法
①从业务信息安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据“定级要素与安全保护等级的关系表”,对业务信息安全保护等级进行确定;
②从系统服务安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据”定级要素与安全保护等级的关系表“,对系统服务安全保护等级进行确定;
③最终确定定级对象的安全保护等级(由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
教育行业定级标准:
教育部办公厅关于印发《教育行业信息系统 安全等级保护定级工作指南(试行)》的通知
教技厅函〔2014〕74号
2.1信息系统安全等级保护等级建议表-教育部门
2.1.1政务管理类
2.1.2学校管理类
2.1.3学生管理类
2.1.4教师管理类
2.1.5综合服务类
2.2信息系统安全等级保护等级建议表-学校
2.2.1教务管理类
2.2.2教学科研类
2.2.3招生就业类
2.2.4综合服务类
广电行业定级标准:
GY/T 337-2020广播电视网络安全等级保护定级指南
3.1信息系统安全等级保护对象分类建议表
3.1.1广播/电视中心
3.1.2融媒体中心
3.1.3集成平台(含IPTV、移动多媒体广播、手机电视、互联网电视、直播卫星等的集成播控平台和节目集成平台)
3.1.4有线电视平台
3.1.5基础网络
3.1.6网络广播电视台
3.1.7互联网视听节目服务机构(不含网络广播电视台)
3.1.8无线台站
3.1.9卫星地球站
3.1.10应急广播中心
3.1.11监测监管
3.1.12数据资源
3.1.13通用系统
注:包含但不限于行业内政府网站、重要单位的机构网站等。
3.2信息系统安全等级保护对象定级建议表
3.2.1广播/电视中心网络安全保护等级建议
3.2.2融媒体中心安全保护等级建议
3.2.3集成平台网络安全保护等级建议
3.2.4有线电视平台网络安全保护等级建议
3.2.5基础网络安全保护等级建议
3.2.6网络广播电视台网络安全保护等级建议
3.2.7互联网视听节目服务机构(不含网络广播电视台)网络安全保护等级建议
3.2.8无线台站网络安全保护等级建议
3.2.9卫星地球站网络安全保护等级建议
3.2.10应急广播网络安全保护等级建议
3.2.11监测监管网络安全保护等级建议
3.2.12数据资源网络安全保护等级建议
3.2.13通用系统网络安全保护等级建议
电力行业定级标准:
关于印发《电力行业信息系统等级保护定级工作 指导意见》的通知 电监信息〔2007〕 44 号
4.1电力行业重要信息系统安全等级保护定级建议
4.1.1生产控制系统
4.1.2生产管理系统
4.1.3网站系统
4.1.4管理信息系统
4.1.5信息网络
卫生行业定级标准:
《卫生行业信息安全等级保护工作的指导意见》卫办发〔2011〕85号
卫生行业仅提出:
金融行业定级标准:
中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见银发【2012】163号
6.1信息系统安全等级保护主要定级对象分类
6.1.1应用系统
①核心业务信息系统或综合业务信息系统(分类代码为Y-Ⅰ类,下同)
②网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统(Y-Ⅱ类)
③部署有应用服务器或者数据服务器的前置系统(Y-Ⅲ类)
6.1.2生产网络系统
区别于通常意义的计算机网络,作为定级对象的生产网络系统包括网络设备(如交换机、路由器、负载均衡等)、前置中间件设备(如消息队列服务器等)和接入网络的计算机终端,各机构可从以下两种方案中选用一种对生产网络系统进行定级:
①方案一:
广域网骨干网络(W1-Ⅰ类)
机构总部局域网骨干网络(W1-Ⅱ类)
分支机构局域网骨干网络(W1-Ⅲ类)
②方案二:
机构总部骨干网络(W2-Ⅰ类):含机构总部局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
分支机构骨干网络(W2-Ⅱ类):含本分支机构局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
6.2信息系统安全等级保护定级建议
6.2.1机构总部
6.2.2分支机构
注:1.国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖,其Y-Ⅲ类信息系统可在分支机构信息系统安全等级保护建议表的基础上降低一级
2.仅在辖区内部署接入终端的分支机构,可不为其Y-Ⅲ类、W1-Ⅲ类或W2-Ⅱ类系统定级
交通运输行业定级标准:
JT/T 904-2014《交通运输行业信息系统安全等级保护定级指南》
7.1信息系统安全等级保护定级建议
7.1.1业务管理类
7.1.2行政办公类
7.1.3综合平台类
7.1.4基础支撑类
