如何理解安全保护等级
1.定级工作原则
信息系统定级工作按照“自主定级、专家评审、主管部门审批、公安机关备案”的工作原则进行。
① 自主定级。各行业主管部门、运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,自主确定确定定级对象和定级级别。
② 专家评审。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。
③ 主管单位审批。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
④ 公安机关备案。公安机关对安全保护等级审核把关,合理确定信息系统安全保护等级。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。
2.定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
(1)受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三方面:① 公民、法人和其他组织的合法权益;② 社会秩序、公共利益;③ 国家安全。《信息系统安全等级保护定级指南》明确指出,在确定作为定级对象的信息系统受到破坏后所侵害的客体时,要按照如下顺序执行。首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
同时,各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
(2)对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象的危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能,导致业务能力下降,引起法律纠纷,导致财产损失,造成社会不良影响,对其他组织和个人造成损失,其他影响等。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:造成一般损害、造成严重损害、造成特别严重损害。3.定级要素和保护等级《信息安全等级保护管理办法》第六条规定:“国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。”
保护等级和客体受侵害的程度对应关系
注意,在即将实施的《网络安全等级保护定级指南》中,公民、法人和其他组织的合法权益收到特别严重侵害后,级别由第二级调整到三级。
不同危害后果的三种危害程度描述如下。
① 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
② 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
③ 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
4.各类系统定级的处理方法
信息系统的安全保护等级是信息系统本身的客观自然属性,不应以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
针对不同的信息系统,建议参考以下原则定级。第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统,如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)
联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省连接的网络系统等。第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统,如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等重要行业、部门中的涉及国计民生的核心系统。第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
5.新建系统的定级工作
新建系统要坚持三同步原则,做到“同步规划、同步设计、同步实施”。建设、运营单位要先定级,按照所定级别的基本保护要求同步建设。要站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身安全角度考虑。要应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象,避免将所有的业务系统网络作为一个定级对象。要避免同类信息系统的安全保护等级,不能随着部、省、市行政级别的降低而降低。在定级不明确的情况,可通过咨询等级保护建设领导小组、行业主管部门等相关意见后再确定。