等级保护,全称信息安全技术网络安全等级保护,简称“等保”,是对信息和信息载体按重要性等级分级别进行保护的一种标准。等保起始于1999年,如今已走过20个年头,进入了2.0时代。2019年5月13日,等保2.0由国家标准化管理委员会正式发布;同年12月1日,等保2.0正式生效。
为什么要开展等级保护工作
等级保护的目的,是在于提高信息系统的安全性,提高国家信息安全水平。开展等保,可以发现单位信息系统与国家安全标准之间的差距,发现目前系统存在的安全隐患,进而按照标准进行整改。让信息系统在遭受攻击时,可以抵御这种攻击或者能够快速恢复业务,以降低攻击带来的损害。
等级保护对象是非涉密信息系统。根据等保对象受到破坏后的影响严重程度,安全保护划分为5个等级:第一级,第二级,第三级,第四级和第五级。
安全保护等级定义
第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害
定级要素与安全保护等级的关系
定级要素与保护等级的对应关系
单位有非常多的信息系统,不同的系统,处理不同种类的信息。不同系统受到破坏后,判定客体受侵害程度也有不同的计算方式,需要根据危害结果和危害程度进行综合判定。
综合判定侵害程度
在针对不同的侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
1. 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
2. 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的标准。
业务信息安全你和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义
由此可知,一个信息系统的保护等级并没有通用的公式来计算,需根据客体受侵害程度进行综合判定,该过程称之为定级。
定级评测需严格遵守等级保护测评要求,并由拥有资质的专业评测机构完成。
注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在本文中进行描述
