过等保必看:企业如何合理定级
一、如何定级
定级首先要确定定级对象:各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,确定定级对象。
其次,各信息系统主管部门和运营使用单位要按照《信息安全技术网络安全等级保护定级指南》,初步确定定级对象的安全保护等级。等保2.0时代,定级对象级别的确定还要经过专家评审和主管部门的审核。简而言之,单位初步确定等级后,可以聘请专家来进行评审,看看级别确定是否合理。然后,再把定级结果上报给上级主管单位审批,最后,提交到公安机关进行备案。
1、定级对象有哪些?
等保2.0时代,等级保护对象范围扩大,除基础信息网络外,还新增了工业控制系统、云计算平台等保护对象,具体如下:
①基础信息网络:对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。
②工业控制系统:工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成。现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
③云计算平台:在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
④大数据:应将具有统一安全责任单位的大数据作为一个整体对象定级,或将其与责任主体相同的相关支撑平台统一定级
⑤物联网:物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。
⑥采用移动互联技术的信息系统:采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。
2、定级对象分几级?
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。
第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
同时,等级保护对象的级别由两个定级要素决定:
①受侵害的客体,分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
②对客体的侵害程度,分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
3、定级流程
等保2.0时代,定级不再是企业自主定级,定级对象级别必须经过专家评审和主管部门审核。定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
其中,专家评审指定级对象的运营、使用单位组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。主管部门审核指定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。
公安机关备案审查指定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。如果审查不通过,其运营使用单位应组织重新定级。审查通过才能最终确定定级对象的所属等级。
此外,当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据等保2.0标准要求重新确定定级对象和安全保护等级。
二、定级不准怎么办?
公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
此外,对拒不备案的,公安机关应当依据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。逾期仍不备案的,予以警告,并向其上级主管部门通报。依照规定向中央和国家机关通报的,应当报经公安部同意。