~~~~~~~~        因为想要面对一个新的开始，一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些，就不叫新的开始，而叫逃亡。 ​​​​
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~                                                                                                ————玛丽亚·杜埃尼亚斯

前言

信息系统安全等级，由系统运用、使用单位根据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级，有主管部门的，应当经主管部门审批。对于拟确定为四级及以上信息系统，还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。

定级要素

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：
a) 公民、法人和其他组织的合法权益；
b) 社会秩序、公共利益；
c) 国家安全。

对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：
a) 造成一般损害（工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题、较低的财产损失、有限的社会不良影响，对其他组织和个人造成较低损害）；
b) 造成严重损害（工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害）；
c) 造成特别严重损害（工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现及其严重的法律问题、极高的财产损失、大范围的社会不良影响，对其他组织和个人造成非常严重损害）；

定级要素和等级之间的关系

定级的流程

信息系统定级工作应按照“自主定级、专家评审、主管部门审核、公安机关审查”的原则进行。
定级工作的主要内容包括：确定定级对象、初步确定等级、组织专家评审、主管部门审核、公安机关备案审查、最终确定等级。其流程图如下：

确定定级对象

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

定级对象基本特征

1. 具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。（谁是建设维护谁负责）
2. 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。（需是组合系统）
3. 承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。（主要业务流程独立）

初步确定定级

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。

定级方法概述

a：确定受到破坏时所侵害的客体

• 确定业务信息受到破坏时所侵害的客体
• 确定系统服务受到侵害时所侵害的客体

b：确定对客体的侵害程度

• 根据不同受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度
• 根据不同受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度

c：确定安全保护等级

• 确定业务信息安全保护等级
• 确定系统服务安全保护等级
• 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护定级

确定受侵害客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
国家安全

• 影响国家政权稳固和国防实力；
• 影响国家统一、民族团结和社会安定；
• 影响国家对外活动中的政治、经济利益；
• 影响国家重要的安全保卫工作；
• 影响国家经济竞争力和科技实力；
  （政权、社会、对外利益、军事、经济）

社会秩序
影响国家机关社会管理和公共服务的工作秩序；

• 影响各种类型的经济活动秩序；
• 影响各行业的科研、生产秩序；
• 影响公众在法律约束和道德规范下的正常生活秩序等；
  （公共服务、经济活动、生产秩序、生活秩序）

公共利益

• 影响社会成员使用公共设施；
• 影响社会成员获取公开信息资源；
• 影响社会成员接受公共服务等方面；
• 其他影响公共利益的事项。
  （公共设施、信息资源、公共服务）

影响公民、法人和其他组织的合法权益：
指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

确定对客体的侵害程度

客观方面
在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对业务信息安全的破坏和对信息系统服务的破坏，其中业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后可能产生以下危害结果：

• 影响行使工作职能；
• 导致业务能力下降；
• 引起法律纠纷；
• 导致财产损失；
• 造成社会不良影响；
• 对其他组织和个人造成损失

综合判定
侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
针对不同客体参照不同判别标准：

• 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判 断侵害程度的基准；
• 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。

确定保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表即可得到业务信息安全保护等级：

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表即可得到系统服务安全保护等级：

定级对象的安全保护等级由两者相比较，以较高者为准。

专家评审

定级对象的运营、使用单位应组织网络安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。

主管部门审核

定级对象的运营、使用单位应将初步定级结果上报行业主管部门，由上级有关部门进行审核。

公安机关备案审查

定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查。审查不通过，其网络运营者应组织重新定级；审查通过后最终确定定级对象的安全保护定级。

等级变更

当等级保护对象所处理的信息、业务状态和系统服务范围发生变化，可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时，应根据标准要求重新确定定级对象和安全保护等级。

解读——等级保护定级指南相关推荐

1. 信息安全技术网络安全等级保护定级指南_行业标准 |报业网络安全等级保护定级参考指南V2.0发布，明确保护对象、定级要求...

   近期,中国新闻技术工作者联合会正式发布<报业网络安全等级保护定级参考指南V2.0>. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探 ...

2. 信息安全技术网络安全等级保护定级指南_报业网络安全等级保护定级参考指南V2.0发布...

   近期,<报业网络安全等级保护定级参考指南V2.0>正式发布. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探讨后,在原<报业网 ...

3. 网络安全等级保护定级指南 范围

   声明 本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 网络安全等级保护 为了配合<中华人民共和国网络安全法>的实施,适应云 ...

4. 网络安全等保定级_信息安全技术网络安全等级保护定级指南发布，2020年11月1日正式实施！...

   原标题:信息安全技术网络安全等级保护定级指南发布,2020年11月1日正式实施! 2019年5月13日,网络安全等级保护系列标准(基本要求.设计要求.测评要求)正式发布,并于2019年12月1日正式实 ...

5. 网络安全等保定级_网络安全等级保护定级指南

   原标题:网络安全等级保护定级指南 (1)主要用途 网络定级是等级保护工作的首要环节,是开展网络安全建设整改.等级测评.监督检查等后续工作的重要基础.<网络安全等级保护定级指南>从网络对国家 ...

6. 网络安全之等级保护问题集

   目录 问题清单 Q1. 什么是等级保护? Q2. 什么是等级保护2.0? Q3. "等保"与"分保"有什么区别? Q4."等保"与" ...

7. 等级保护2.0常见问题集

   最近几天,整理了一下客户和同事们关于等级保护的几个问题,同时也参考引用了网络上有关等级保护的常见问题解答,汇总分享如下,希望能对大家有帮助.先看一下问题清单吧. 问题清单 什么是等级保护? 什么是等级 ...

8. 腾讯助力企业通过等级保护

   点击观看大咖分享 等级保护的发展历程与等保2.0核心理念 我们经常会听到的一个词是等级保护2.0,那所谓的2.0其实是第二代或者是更新版的一个等级保护的标准.那我们其实讲到等级保护,我们从1994年就 ...

9. 时代新威专业等级保护测评机构为您解读：2020年最新《定级指南》

   时代新威专业等级保护测评机构为您解读:2020年最新<定级指南> 新版<GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南>正式发布,新的国标将于2020年 ...

10. 等级保护与解读《网络安全法》

    2018年6月27日,公安部发布<网络安全等级保护条例(征求意见稿)>,正式宣告等保进入2.0时代. 等保全称为"信息系统安全等级保护",现改为"网络安全等级 ...

最新文章

1. 函数式编程学习之路(三)
2. 金蝶云如何html5登录,第三方系统单点登录到金蝶云指南V2
3. nginx 学习笔记(4) Connection处理方法
4. Spring cloud——Hystrix 原理解析
5. 如何使用SSH客户端远程操作linux系统，并启动、关闭tomcat和查看后台日志
6. php获取特殊标签,thinkphp特殊标签使用
7. 关于oracle sql语句查询时表名和字段名要加双引号的问题
8. 使用命令行的方式，将ini配置文件中的配置信息传递给程序
9. Jsp之我遇到过的中文乱码问题和解决方法
10. python实现IIR高通低通，带通，带阻滤波器详解及应用案例
11. IEnumerable 和 IEnumerator
12. flash跟随鼠标样式
13. python爬虫知乎问答
14. 性能测试以及实际中有关性能测试的问题
15. Modscan和Modsim 两种Modbus调试工具使用说明
16. 基于ssm进销存流程管理系统
17. 计算机未响应怎样解决方案,电脑提示Internet Explorer未响应怎么办？解决IE浏览器未响应的解决方法...
18. Linux使用adsl计时制分享(转)
19. ObjectPostProcessor使用与多种用户定义方式（9）
20. 微信小程序（八）实战——加载图片images

热门文章

1. wps里的茶色字体怎么设置_VRay茶色玻璃材质参数是什么，要怎么设置？
2. 计算机操作员管理规定,系统安全运行管理制度及保障措施
3. 单链表之快慢指针技巧
4. 图文并茂！60页PPT《快速入门python学习路线》学不会你找我
5. 手写实现bpnn神经网络
6. agv机器人无人仓系统-opentcs算法改进
7. 频谱分析中的频谱泄露现象（以ADC性能测试场景为例）
8. SmartUpload应用
9. GEE学习笔记03（空间类型数据）
10. 使用百度EasyDL训练自己的图像识别模型