等级保护如何定级?等级保护定级依据是什么
等级保护定级需先确定对象,包括基础信息网络、网络系统、单位网站及不同业务类别的应用系统等。再根据系统重要性和受破坏后的危害程度,从业务信息安全和系统服务安全两方面确定安全保护等级,取两者较高者作为最终等级,及时做好等级保护工作更好地保障网络安全。
一、等级保护如何定级
等级保护定级需遵循以下流程:
确定定级对象:包括基础信息网络、各单位网站、不同业务类别的应用系统等。需避免将单一系统组件为定级对象。
确定受侵害客体:包括公民、法人和其他组织的合法权益,社会秩序、公共利益,以及国家安全。
确定对客体的侵害程度:分为一般损害、严重损害、特别严重损害。需根据不同的受侵害客体,分别评定业务信息安全和系统服务安全被破坏后的侵害程度。
确定安全保护等级:
业务信息安全保护等级:从业务信息安全角度反映的定级对象安全保护等级。
系统服务安全保护等级:从系统服务安全角度反映的定级对象安全保护等级。
最终等级:取业务信息安全保护等级和系统服务安全保护等级中的较高者。
二、等级保护定级依据
等级保护定级的主要依据包括:
法律法规:如《中华人民共和国网络安全法》以及其他相关的国家政策、法律、法规和行业标准。这些规定明确了信息系统运营、使用单位应当按照网络安全等级保护制度的要求,履行安全保护义务。
系统重要性及受破坏后的危害程度:根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏后的潜在影响,将等级保护对象的安全保护等级分为五个级别。
三、等级保护定级后更新时间
等级保护定级后并非固定时间更新,而是根据系统变化情况动态调整:
备案更新时机:备案主要在系统初次运行、重大变更或发生安全事件时进行。公安备案通过后,只有当系统发生重大变化时才需重新备案。
测评更新频率:三级等保系统每年需进行一次合规性测评,由具备资质的机构完成测评报告,确保安全措施持续达标。二级等保系统通常每两年测评一次。测评是对系统安全状况的全面评估,而非备案更新。
等级保护定级依据包括系统受破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织合法权益的侵害程度。等级保护定级后,若系统状态变化导致受侵害客体和侵害程度有较大变化,影响安全保护等级时,应重新定级。
