等保定级及专家评审相关问题小结.docx

等保定级及专家评审相关问题小结 等保2.0定级备案流程： 确定定级对象--初步确定等级--专家评审--主管部门核准--公安机关备案审核--确定等级并颁发备案证明。 各单位应该首先自己确定定级对象，对自己单位的所有系统进行一个梳理，对每一个系统进行一个初步预定级，如果认为该系统应该为二级以上，应该进行专家评审。专家评审后有主管部门的报主管部门审核，审核后出具定级审批意见，报给公安机关备案审查，如果公安机关认为仍然定级不准确，则重新组织定级，这种情况发生的概率为0.001。公安机关审核通过后，最终确定等级，出具备案证明。 这里面有个小问题需要注意，各个行业有各个行业的标准，比如电力、金融、教育、医疗等，但是所有的标准必须遵从网络安全等级保护的国家标准，除非行业标准高于等保标准。等保国标属于上位标准，即便是行业标准高于等保标准，公安机关也应当按照等保标准而不是行业标准去执行。 等保一级、二级系统定义标准： 第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。 第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。 一级系统中仅仅是对公民、法人和其他组织的合法权益造成损害，不涉及社会秩序和公共利益。二级系统涉及到了社会秩序和公共利益，而且只需造成一般损害就可以定为二级。那么一些国企事业单位开设网站的目的就是为了公开信息，对外宣传，服务公众，方便公众使用公共设施等。如果这样的网站被篡改或者访问不了，就等于侵害了公共利益，根据定级指南：侵害公共利益的事项包括：1.影响社会成员使用公共设施。2.影响社会成员获取公开信息资源。3.影响社会成员接受公共服务等方面。4.其他影响公共利益的事项。如果说某些权威单位网站被篡改，比如说上市公司、国企，网站上的新闻动态可能直接影响股价。或者某些信息公开不能被社会成员获取，或者某些单位网站被篡改可能直接导致影响正常生活秩序，比如说预警发布自然灾害信息被恶意发布，可能会造成整个社会的恐慌，动乱，对于这样单位的网站，即使被定为三级也不为过。 此外，系统定级，还要从多个角度去分析，比如单位职能、影响范围、人身安全等方面对本单位、对社会造成的影响以及影响范围。单位对系统的依赖关系、依赖程度及影响程度。比如数据泄露后导致的人身生命财产安全，产生严重的法律问题等。 最后总结一句：如果想开展等保工作那么系统一定是二级起步，不然就不要谈等保。 专家评审注意问题： 1.专家评审的时候，不是审查备案表和定级报告的瑕疵，文件的毛病，不是看系统的安全性，也不是看系统是否缺少什么安全防护设备。 2.专家的主要职责是根据系统的重要程度，根据系统被破坏后产生的影响后果去确定系统的级别，这才是专家评审的意义。其实系统定级是一件比较难，也非常重要的工作。系统级别确定后，系统就要按照这个标准去建设，去防护。 3.专家评审时，应该对系统的边界划分清楚。有些单位习惯把一些系统合并成为一个系统，专家应该审核这种合并的合理性，对于不合理的合并要坚决说不，既是作为专家的权威性体现也是对他人的负责任表现。 4.在评审表中应该考虑系统服务安全和系统业务安全，并认清对应的级别。 5.在评审时，很多单位会把所有的系统都拿出来评审，对于认定为一级的系统也应该在专家评审意见中写明原因。不能只写二级以上的评审意见。 系统定级相关要素 系统定级可以参考公安部2007年7月下发的《等级保护实施主要技术环节说明》。 作为定级对象的信息系统应具有如下基本特征： a)具有确定的主要安全责任主体； b)承载相对独立的业务应用； c)包含相互关联的多个资源。 注1：主要安全责任主体包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织； 注2：避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。 等保定级中的侵害的客体为国家安全、社会秩序和公共利益、公民、法人和其他组织的合法权益。 国家安全表现为： 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，如果受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦察系统；尖端科技领域得研发、生产系统等影响国家经济竞争力和科技实力得信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。 社会秩序： 借助信息化手段提高国家机关的社会管理和公共服务水平，提高经济活动效率，更方便地从事科研、生产、生活活动是维护社会秩序的表现。 各级政府