网络安全等级保护确定定级对象
声明
本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
网络安全等级保护确定定级对象
信息系统
定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
- 具有确定的主要安全责任主体;
- 承载相对独立的业务应用;
- 包含相互关联的多个资源。
- 主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;
- 应避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还应分别遵循5.1.2、5.1.3、5.1.4、5.1.5的相关要求。
云计算平台/系统
在云计算环境中,应将云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不应单独定级。
工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用、无线网络等特征要素,可作为一个整体独立定级或与有线网络一起定级,各要素不应单独定级。
通信网络设施
对于电信网、广播电视传输网等通信网络设施,应分别依据安全责任主体、服务类型和服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统可作为一个整体对象定级;当安全责任主体不同时,大数据可独立定级。
网络安全等级保护确定安全保护等级
定级方法概述
定级对象的定级方法应按照以下描述进行;对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,还应参照6.6。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。
定级方法如图2所示:
- 定级方法流程示意图
- 确定受到破坏时所侵害的客体
- 确定业务信息受到破坏时所侵害的客体;
- 确定系统服务受到侵害时所侵害的客体。
- 确定对客体的侵害程度
- 根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;
- 根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
- 确定安全保护等级
- 确定业务信息安全保护等级;
- 确定系统服务安全保护等级;
- 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。
确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
——影响国家政权稳固和领土主权、海洋权益完整;
——影响国家统一、民族团结和社会稳定;
——影响国家社会主义市场经济秩序和文化实力;
——其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
——影响公共场所的活动秩序、公共交通秩序;
——影响人民群众的生活秩序;
——其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:
——影响社会成员使用公共设施;
——影响社会成员获取公开数据资源;
——影响社会成员接受公共服务等方面;
——其他影响公共利益的事项。
侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。
确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
确定对客体的侵害程度
侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏,其中业务信息安全是指确保定级对象内信息的保密性、完整性和可用性等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种侵害方式。
业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果:
——影响行使工作职能;
——导致业务能力下降;
——引起法律纠纷;
——导致财产损失;
——造成社会不良影响;
——对其他组织和个人造成损失;
——其他影响。
综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
——如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
——如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同侵害后果的三种侵害程度描述如下:
———般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
——严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
——特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常高损害。
业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同侵害结果的侵害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后关注的侵害结果、侵害程度的计算方式均可能不同,各行业可根据本行业业务信息特点和系统服务特点,制定侵害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
初步确定等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
- 业务信息安全保护等级矩阵表
| 业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
|---|---|---|---|
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
- 系统服务安全保护等级矩阵表
| 系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
|---|---|---|---|
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
确定安全保护等级
安全保护等级初步确定为第二级及以上的,定级对象的网络运营者应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还应将初步定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,定级对象的网络运营者应按照相关管理规定,将初步定级结果提交公安机关进行备案审核,审核不通过,其网络运营者应组织重新定级;审核通过后最终确定定级对象的安全保护等级。
特定定级对象定级说明
对于通信网络设施、云计算平台/系统等定级对象,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
对于数据资源,应综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
总结
更多内容 可以 点击 访问 github5.com 网站的报告 进一步学习