网络安全等级保护(以下简称“等保”)制度作为国家网络安全保障的基本制度,是企业落实网络安全责任、构建安全防护体系的核心依据。定级作为等保建设的首个环节,其准确性直接决定后续备案、建设整改、等级测评等工作的有效性。本文基于《网络安全等级保护定级指南》及行业实践,系统梳理等保定级的核心要素、等级划分标准及全流程操作要点,为企业提供专业指引。
一
等保定级的标准及影响其关键要素
等保定级工作的核心逻辑围绕"受侵害客体"与"对客体的侵害程度"两大要素展开,二者共同决定保护对象的安全等级。网络安全等级保护依据这两大要素,将保护等级划分为五个逐级增强的安全级别,各级别对应明确的危害范围与程度界定。
二
等保定级的一般流程
等保定级工作流程一般为:
三
等保定级的关键点
合理划分定级对象
信息系统
作为定级对象的信息系统应具有确定的主要安全责任主体、承载相对独立的业务应用及包含相互关联的多个资源3大基本特征。其中主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还需分别遵循以下相关要求。
云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
数据资源
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
初步确定等级的规则
根据等保定级责任主体和等保定级要素初步确认定级对象的安全保护等级,并起草定级报告。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据下表可得到业务信息安全保护等级和系统服务安全保护等级。定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
受侵害的客体 | 对相应客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全或地区安全、国计民生 | 第四级 | 第五级 | 第五级 |
对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
若行业、集团或企业已发布有相关的定级指南,则需按照相关文件进行等级确认。
专家评审与主管部门核准
专家评审:安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。
主管部门核准:有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。
注意:当业务信息范围、系统服务范围发生变化,可能导致受侵害客体和对客体的侵害程度发生变化时,需重新确定定级对象和安全保护等级。
备案审核
定级对象的运营、使用单位应将初步定级结果提交公安机关进行备案审查,审查通过后最终确定定级对象的安全保护等级。定级备案涉及材料如下所示。
《信息系统安全等级保护备案表》 |
介绍单位基本情况、信息系统情况、信息系统定级情况以及提交材料的详细情况。这份表格为备案的基础文档。 |
《信息系统安全等级保护定级报告》 |
详细介绍系统情况、系统功能、网络拓扑图、系统的定级理由以及最终的定级情况。这份报告为备案提供了系统级别的详细信息。 |
《专家评审意见》 |
当安全保护等级初步确定为第二级及以上时,网络运营者需组织信息安全专家和业务专家对定级结果进行评审,并提供专家评审意见。这有助于确保定级的合理性。 |
《系统的拓扑结构及说明》 |
提供系统的拓扑结构图以及对系统拓扑结构的详细说明,使审核人员能够理解系统的整体架构。 |
《系统安全组织机构说明》 |
描述系统的安全组织机构,包括负责安全的团队、职责分工等信息。 |
《系统安全保护设施设计实施方案》或《整改实施方案》 |
详细说明系统安全保护设施的设计与实施计划,或者是系统整改的实施方案。 |
《系统网络安全保护应急联系登记表》 |
提供系统网络安全保护的应急联系信息,以便在紧急情况下能够及时响应。 |
其他相关材料 |
根据地方或地区公安机关网安部门的具体要求,可能还需要提交其他相关材料,例如运维手册、技术文档等。一旦材料提交,地方公安机关网安部门将对其进行审核,符合等级保护要求的单位将在10个工作日内收到信息系统安全等级保护备案证明。 |
等保定级是企业网络安全建设的"起点",其科学性直接影响安全防护体系的适配性。企业需严格依据等级划分标准、核心要素及流程规范开展工作,必要时可依托专业机构支撑,确保定级精准合规,为后续等保建设奠定坚实基础。
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)等一系列互联网应用服务。
公安局备案号:
专属顾问
