等级保护定级指南,等级保护二级要求是什么?
等级保护定级需明确保护对象,包括信息系统、通信网络设施及数据资源,并根据其重要性和受破坏后的影响范围划分为五级。定级要素包括受侵害客体及侵害程度,通过综合评估确定安全保护等级。企业需要根据自己的实际情况及时做好等级保护工作,更好地保障网络安全。
等级保护定级指南
一、定级原理
等级保护对象(信息系统)的安全保护等级根据其重要性及受破坏后的影响范围划分为五级,从低到高分别为:
第一级(自主保护级):受破坏后对公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益。
第二级(指导保护级):受破坏后对公民、法人和其他组织的合法权益造成严重或特别严重损害,或对社会秩序和公共利益造成危害,但不危害国家安全。
第三级(安全标记保护级):受破坏后对社会秩序和公共利益造成严重危害,或对国家安全造成危害。
第四级(结构化保护级):受破坏后对社会秩序和公共利益造成特别严重危害,或对国家安全造成严重危害。
第五级(访问验证保护级):受破坏后对国家安全造成特别严重危害。
二、定级要素
受侵害的客体:包括公民、法人和其他组织的合法权益,社会秩序、公共利益,以及国家安全。
对客体的侵害程度:分为一般损害、严重损害、特别严重损害。
三、定级流程
确定定级对象:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。
初步确定等级:根据定级要素,初步判断安全保护等级。
专家评审:第二级及以上等级保护对象需组织专家评审。
主管部门核准:有行业主管部门的,需报请核准。
备案审核:将定级结果提交公安机关备案审核。
四、特殊系统定级要求
云计算平台/系统:云服务客户侧和云服务商侧需分别定级。
物联网:将感知、网络传输和处理应用等要素作为一个整体对象定级。
工业控制系统:现场采集/执行、现场控制和过程控制等要素作为一个整体对象定级。
采用移动互联技术的系统:包括移动终端、移动应用和无线网络等要素,可作为一个整体独立定级。
通信网络设施:根据安全责任主体、服务类型或服务地域等因素划分不同的定级对象。
数据资源:可独立定级,当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级。
等级保护二级要求
一、技术要求
安全物理环境:
机房场地应选择在具有防震、防风和防雨等能力的建筑内,避免设在建筑物的顶层或地下室。
机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
应设置防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应等措施。
安全通信网络:
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
应采用校验技术保证通信过程中数据的完整性。
安全区域边界:
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
应在关键网络节点处监视网络攻击行为,对恶意代码进行检测和清除。
应进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
安全计算环境:
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
应授予管理用户所需的最小权限,实现管理用户的权限分离。
应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
安全管理中心:
应对系统管理员和审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行管理和审计操作。
二、管理要求
安全管理制度:
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
应对安全管理活动中的主要管理内容建立安全管理制度,对管理人员或操作人员执行的日常管理操作建立操作规程。
安全管理机构:
应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。
应配备一定数量的系统管理员、审计管理员和安全管理员等。
人员安全管理:
应对各类人员进行安全意识教育和岗位技能培训,并制定安全教育计划,定期进行安全教育和培训。
系统建设管理:
应根据安全需求制定安全解决方案,并通过评审。
应对系统进行安全性测试验收,测试验收前应制定详细的测试验收方案和测试验收过程控制措施。
系统运维管理:
应建立日常管理操作规程,制定重要系统、设备的操作手册。
应定期对信息系统进行漏洞扫描,及时发现可能存在的安全风险。
等级保护定级流程包括确定对象、初步定级、专家评审、主管部门核准及备案审核。第二级及以上对象需经专家评审与主管部门核准,确保科学性。第一级对象可自主定级。定级后,若业务功能或安全需求变化,需重新评估并调整等级,确保持续合规。
