等级保护定级标准说明

等级保护定级标准说明

影响的危害程度

等保测评第一步系统定级,对于大多数的基层单位,如何定级,怎样定级是首要问题,今天就和大家探讨一下这个问题。

定级指南里对信息系统等级的划分一共五级,系统等级越高,系统越重要。定级必须看两个主要的指标要素,说得直白一些就是所负责的系统受到攻击后影响到谁,影响的程度如何。

具体影响到谁呢?官方回答共分为三个层次:

1、公民、法人和其他组织的合法权益;

2、社会秩序、公共利益;

3、国家安全。

影响的危害程度多深呢?官方定义是这样的:对客体的侵害程度:分为造成一般损害;造成严重损害;造成特别严重损害。

各类系统定级参考


县级、地市级信息系统中不涉及敏感信息、重要信息的,这些系统都可以定为二级系统;地市级及以上门户网站及重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级;跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。

当然这些是普遍适用,但也不能生搬硬套,具体问题具体分析。不能为了躲避检查或者为图一时之快,系统等级定级过低,这样定级不合理,一旦出现安全事件,责任就不是一时之事。当然,有些行业有特殊标准的,一定要按照行业标准来定级。

综上,日常生活中定级基本就是二级系统和三级系统,只要涉及敏感信息的均建议定三级。其他访问量小、数据量少的系统定级二级。

相关附件

1.等级保护二三级整改--产品篇.xlsx
2.XXX单位现状调研表.docx
3.信息安全技术网络安全等级保护基本要求.pdf

以上文章引用Eternally-Wiki文库:地址:https://wiki.97hjh.cn