【中级】网络安全等级保护定级指南解读
本文是 2024 年公安三所给中级测评师培训《网络安全等级保护定级指南解读》的笔记。
等级的含义——重要性等级
- 对国家安全、经济建设、公共利益等方面的重要性
- 被破坏后造成影响的严重程度
等级保护对象(修订后)
网络安全等级保护工作的作用对象,主要包括通信网络设施、信息系统和数据资源等。
- 通信网络设施(新增):为信息流通、网络运行等起基础支撑作用的网络设备设施,包括电信网、广播电视传输网、互联网、行业或单位的专用通信网等。
- 数据资源(新增):具有或预期具有价值的数据集合。
- 信息系统(修订):应用、服务、信息技术资产或其他信息处理组件。
客体
受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
定级要素
受侵害的客体
- 公民、法人和其他组织的合法权益
- 法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
- 本标准中特指拥有信息系统的个体或确定组织所享有的社会权利和利益。
- 社会秩序和公共利益
- 社会秩序
- 国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
- 公共场所的活动秩序、公共交通秩序;
- 人民群众的生活秩序;
- 其他社会秩序的事项。
- 公共利益:不特定社会成员所共同享有的,维持其生产、生活、教育、卫生等方面的利益,表现为:
- 社会成员使用公共设施
- 社会成员获取公开信息资源
- 社会成员获取公共服务等
- 社会秩序
- 国家安全
- 国家政权稳固和领土主权、海洋权益完整
- 国家统一、民族团结和社会稳定;
- 国家社会主义市场经济秩序和文化实力;
- 其他国家安全的事项。
对客体的侵害程度
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
- 造成一般损害:是指对客体造成一定损害和影响,经采取恢复或弥补措施,可消除部分影响。
- 造成严重损害:是指对客体造成严重损害,经采取恢复或弥补措施,仍产生较大影响。
- 造成特别严重损害:是指对客体造成特别严重损害,后果特别严重,影响重大且无法弥补。
| 侵害客体 | 一般损害 | 严重损害 | 特别严重损害 |
|---|---|---|---|
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
定级工作流程
graph TD;
A[确定定级对象] --> B[初步确定等级]
B --> C[专家评审]
C --> D[主管部门核准]
D --> E[备案审核]
定级对象(信息系统)
定级对象(信息系统)应当同时具备以下三个条件:
- 具有确定的主要安全责任单位
- 包含相互关联的多个资源:网络资源、计算资源、存储资源等依照数据流动和业务处理的关系相互关联的资源
- 承载相对独立的业务应用
确定定级对象
- 云计算平台
- 应将云服务商侧的云计算平台单独作为定级对象定级,云服务客户侧的等级保护对象也应作为单独的定级对象定级。并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
- 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统化为不同的定级对象。
- 物联网:物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
- 移动互联网:采用移动互联技术的信息系统主要包括移动终端、移动应用、无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
- 工业控制系统
- 现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
- 对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
- 通信网络设施
- 对于电信网、广播电视传输网、互联网等基础信息网络,应根据责任主体、服务类型或地域等将其划分为不同的定级对象。
- 跨省的行业或单位内部专用网可作为一个整体对象定级,或分区域划分为若干个定级对象。
- 数据资源
- 数据资源可作为单独定级对象进行定级。
- 当安全责任主体相同时,大数据、大数据平台/系统可作为一个整体对象定级;当安全责任主体不同时,大数据宜独立定级。
定级方法
定级对象的重要性 = 业务信息重要性 & 系统服务的重要性
- 确定客体
- 确定业务信息受到破坏时所侵害的客体
- 确定系统服务受到破坏时所侵害的客体
- 确定程度:综合评定对客体的侵害程度
- 如果受侵害客体是公民、法人和其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准。
- 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
- 初步定级
- 确定业务信息安全保护等级
- 确定系统服务安全保护等级
- 确定定级对象安全保护等级:取高,初步确定定级对象的安全保护等级
多信息、多服务系统举例
| 对象 | 相关客体 | 对客体的侵害程度 | 等级 |
|---|---|---|---|
| 信息 A | 国家安全 | 一般损害 | 3 |
| 信息 A | 社会秩序、公共利益 | 严重损害 | 3 |
| 信息 B | 公民、法人和其他组织的合法权益 | 特别严重损害 | 2 |
| 服务 C | 国家安全 | 一般损害 | 3 |
| 服务 C | 社会秩序、公共利益 | 特别严重损害 | 4 |
| 服务 D | 公民、法人和其他组织的合法权益 | 严重损害 | 2 |
特定对象定级说明
对于基础网络设施、云计算平台和大数据平台等支撑类定级对象,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
对于数据资源,应综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公民利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
等级调整
等级对象的决策者或上级主管部门可根据系统的特殊安全需求进行等级调整,可以参考以下因素:
- 上级主管部门在政策和管理方面的特殊要求;
- 预测业务数据可能会随着时间的变化从量变转化为质变;
- 随着信息系统所承载的业务不断完善和稳定,各种业务的取消或合并;
- 信息系统服务范围随着业务的发展,将会有较大的变化。
定级报告模板
- 一、XXX 信息系统描述
- 二、XXX 信息系统安全保护等级确定
- (一)业务信息安全保护等级的确定
- 业务信息描述
- 业务信息受到破坏时所侵害客体的确定
- 信息受到破坏后对侵害客体的侵害程度的确定
- 业务信息安全等级的确定
- (二)系统服务安全保护等级的确定
- 系统服务描述
- 系统服务受到破坏时所侵害客体的确定
- 系统服务受到破坏后对侵害客体的侵害程度的确定
- 系统服务安全等级的确定
- (三)安全保护等级的确定
- (一)业务信息安全保护等级的确定