等保二级和三级定级标准如何执行?定级过程和结果分析

　　网络安全等级保护(简称等保)是国家为了保障网络安全，制定的一套基本制度和技术规范。根据《网络安全等级保护条例》，等保对象包括信息系统、通信网络设施和数据资源，等保等级分为五级，从低到高分别为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。不同的等保等级，对应不同的安全要求和措施，以及不同的管理流程和责任主体。

　　本文将重点介绍等保二级和三级的定级标准、定级过程和定级结果分析，希望能够对有关单位和个人有所帮助。

　　等保二级和三级的定级标准

　　根据《信息安全技术网络安全等级保护定级指南》，等保对象的安全保护等级主要由两个定级要素决定：受侵害的客体和对客体的侵害程度。受侵害的客体包括业务信息、系统服务、通信网络设施和数据资源，对客体的侵害程度包括侵害的客观方面(如破坏性、影响范围、影响时间)和侵害的主观方面(如故意性、恶意性、组织性)。

　　根据受侵害的客体和对客体的侵害程度，可以确定业务信息安全等级(S)和系统服务安全等级(A)，由两者中较高者确定定级对象的安全保护等级。具体的判断标准如下表所示：

　　其中，轻微、一般、严重、特别严重和极其严重的具体判断标准可以参考《网络安全等级保护定级指南》第6.3节。

　　根据上表，可以得出以下结论：

　　等保二级对应的是S2或A2.即业务信息受到一般侵害或系统服务受到一般破坏;

　　等保三级对应的是S3或A3.即业务信息受到严重侵害或系统服务受到严重破坏;

　　等保二级和三级之间的区别在于对客体的侵害程度由一般升为严重，这意味着受到破坏后会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

　　等保二级和三级的定级过程

　　根据《网络安全等级保护条例》第十一条，等保对象的安全保护等级由运营使用单位自行确定，或者委托具有相应资质的第三方机构协助确定。定级过程主要包括以下四个步骤：

　　初步定级：运营使用单位根据《网络安全等级保护定级指南》，确定受侵害的客体和对客体的侵害程度，综合判定业务信息安全等级和系统服务安全等级，初步确定安全保护等级;

　　专家评审：运营使用单位组织或者委托具有相应资质的第三方机构组织专家对初步定级结果进行评审，形成评审意见;

　　主管部门审批：运营使用单位将初步定级结果、专家评审意见等材料报送主管部门，主管部门根据《网络安全等级保护管理办法》进行审批，出具审批意见;

　　公安机关备案审查：运营使用单位将主管部门审批意见等材料报送公安机关，公安机关根据《网络安全等级保护管理办法》进行备案审查，出具备案通知书。

　　以上四个步骤完成后，运营使用单位即可确定最终的安全保护等级，并按照相应的要求进行建设、测评、监督和检查。

　　等保二级和三级的定级结果分析

　　为了更好地理解等保二级和三级的定级标准和定级过程，我们可以参考一些实际的案例进行分析。以下是一些典型的等保二级和三级对象的示例：

　　等保二级对象：一般性的政府网站、企业网站、电子商务平台、社交媒体平台、教育培训平台、医疗健康平台、金融支付平台等。这些对象的业务信息或系统服务受到破坏后，会对用户或社会造成一般性的损失或影响，但不会威胁到国家安全或公共利益。例如，某政府网站被黑客篡改了网页内容，导致用户看到了错误或不良的信息;某电子商务平台被黑客窃取了用户数据，导致用户隐私泄露或财产损失;某社交媒体平台被黑客发动了拒绝服务攻击，导致用户无法正常访问或使用。

　　等保三级对象：涉及国家秘密、国防建设、国家政务、国家重要基础设施、重要行业领域、重要数据资源等的信息系统、通信网络设施和数据资源。这些对象的业务信息或系统服务受到破坏后，会对国家安全或公共利益造成严重损害或影响。例如，某国防部门的信息系统被黑客入侵了，导致国家秘密泄露或军事行动受到干扰;某电力公司的工控系统被黑客攻击了，导致电网故障或供电中断;某医院的数据资源被黑客加密了，导致患者

　　导致患者的诊断和治疗受到影响;某银行的信息系统被黑客篡改了，导致用户的账户和交易出现异常或错误。

　　从以上的案例可以看出，等保二级和三级的定级标准和定级过程是有一定的科学性和合理性的，既考虑了等保对象的实际情况，又遵循了国家的法律法规和技术规范。等保二级和三级的定级结果也反映了等保对象的安全重要性和风险敏感性，为等保对象提供了相应的安全保障和管理指导。