关联平台
网络安全实验室
等保测评定级要素有哪些,三级等保测评定级定级原则有哪些-等保解读-等级保护测评机构定级备案测评一站式平台-国源天顺官网

新闻资讯

首页>>新闻资讯>>等保解读
2024-04-12 13:54:06

等保测评定级要素有哪些,三级等保测评定级定级原则有哪些

分享到:

  等保定级原则:

  根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素。

  等级保护对象的定级要素包括:受侵害的客体和对客体的侵害程度,通过两个要素综合比较,综合确定等保的级别。

  一、受侵害的客体

  等级保护对象受到破坏时所侵害的客体包括以下三个方面:

  一是公民、法人和其他组织的合法权益;

  二是社会秩序、公共利益;

  三是国家安全。

  二、对客体的侵害程度

  对客体的侵害程度由客观方面的不同外在表现综合决定。

  由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。

  等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

  一是造成一般损害;

  二是造成严重损害;

  三是造成特别严重损害。

1.jpg

  定级参考基准

  一、定级对象,且必须具备以下特征:1)具有确定的主要安全责任主体;2)承载相对独立的业务应用;3)包含相互关联的多个资源。

  注意:将单一系统组件不能做为定级对象。如:服务器、终端、网络设备。

  在确定定级对象时,有一些重要的关键点:

  1)信息网和工控网是两个系统,必须单独划分定级对象;

  2)当系统应用有云计算平台/系统时,我们作为云服务使用者,同样需要进行定级对象确定,而不是云服务商通过等保测评就可以。注意:云服务使用者的定级等级原则上不能高于云服务商的等级;也就是说,如果我们使用云计算平台的时候,无论云服务商是否通过等保测评、通过哪级测评,都必须针对使用的系统再做等保测评。

  3)物联网系统,各感知、网络传输和处理应用之间紧密耦合,数据交互频繁,应作为一个整体定级对象;

  4)对于大数据、大数据平台/系统等此类的数据资源,应根据安全责任主体进行定级对象划分,当数据资源涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级

  5)采用移动互联技术的系统,各移动终端、移动应用和无线网络以及相关联业务系统紧密耦合,数据交互频繁,应作为一个整体定级对象;

  初步确定等级关键点梳理

  根据等保定级责任主体和等保定级要素初步确认定级对象的安全保护等级,并起草定级报告。

  定级对象的安全主要包括业务信息安全和系统服务安全,均参考表1定级要素与安全保护等级的关系进行定级,最终安全等级较高者确认为定级对象的安全保护等级。

640 (1).jpg

  定级方法流程示意图

  若行业、集团或企业已发布有相关的定级指南,则需按照相关文件进行等级确认,如:国家能源局《附件7:电力监控系统安全防护评估规范》、国家广电电视总局《广播电视网络安全等级保护定级指南》、中国民用航空局《民用航空网络安全等级保护定级指南》等。

640(1).jpg

  等保定级推荐表

  等保专家评审关键点梳理

  系统运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。注意:对于认定为一级的系统也应该在专家评审意见中写明原因,不能只写二级及以上的评审意见。

  系统运营使用单位或主管部门参照评审意见最后确定定级等级,形成定级报告。当专家评审意见与系统运营者或其主管部门意见不一致时,由系统运营者或主管部门自主决定信息系统安全保护等级。

  主管部门核准关键点梳理

  有行业主管(监管)部门的系统运营者,需将定级结果报请行业主管(监管)部门核准,并出具核准意见。

  备案审核关键点梳理

  定级对象的运营、使用单位应将初步定级结果提交公安机关进行备案审查(当前部分城市已开通线上资料审查),审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。定级备案涉及材料如下表所示。

  备案材料表

  注意:当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需重新确定定级对象和安全保护等级。如:智能工厂扩增产线,新能源电厂总装机容量扩建、控制系统国产化改造等。

  常见的等保测评系统如下系统

  (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

  (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

  (三)市(地)级以上党政机关的重要网站和办公信息系统。

  (四)涉及国家秘密的信息系统(以下简称涉密信息系统)。

  在这里,如果没有仔细去思考等级保护制度的人,往往会疑惑在“涉密信息系统”这个点上,不过我们在探讨常规定级过程中,是不需要纠结在这里的。

  我们在以GB/T 22240-2020中所说的“定级”,全部是面向非涉密信息系统的,而涉密信息系统的具体定级工作则由涉密的另一套网络安全体系负责。


等保测评七大误区,等保测评不能想当然
等保小课堂——《三级等保测评指标解读及整改建议:安全通信网络》