信息安全技术网络安全等级保护定级指南

信息安全技术网络安全等级保护定级指南一、目的网络安全等级保护定级是保障信息系统安全的重要基础工作，其目的在于明确信息系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，从而为后续的安全建设、监督管理等工作提供依据，确保信息系统能够抵御相应级别的威胁，保障信息的保密性、完整性和可用性。二、前置条件（一）人员准备1.组建专业的定级团队，成员应包括信息系统的运营使用单位人员、行业专家、网络安全技术人员等。运营使用单位人员需熟悉信息系统的业务流程、功能和数据；行业专家应具备该行业信息系统安全相关的丰富经验和专业知识；网络安全技术人员要掌握网络安全等级保护相关标准和技术。2.对定级团队成员进行培训，使其熟悉《网络安全等级保护定级指南》等相关标准和文件，明确定级的流程、方法和要求。（二）资料收集1.信息系统基本信息，包括系统名称、功能描述、服务对象、使用范围、系统架构、拓扑结构等。2.业务信息，如业务流程、业务数据类型、数据重要性、数据流转情况等。3.系统安全相关信息，包括现有的安全措施、安全设备配置、安全管理制度等。（三）环境准备确保定级工作有相对独立、安静的工作环境，配备必要的办公设备和软件，如计算机、文档管理软件等，用于资料整理、数据分析和文档撰写。三、详细步骤（一）确定定级对象1.定义定级对象是指具有确定的安全责任主体，承载相对独立的业务应用的信息系统。它可以是一个完整的信息系统，也可以是一个信息系统中的某个相对独立的部分。2.识别方法业务相关性：根据业务流程和功能，判断不同的信息处理活动是否相互关联、相互依赖，形成一个相对独立的业务整体。例如，一个企业的财务管理系统，其涵盖了财务核算、预算管理、资金管理等功能模块，这些模块围绕财务管理业务紧密相关，可将其作为一个定级对象。安全责任主体：明确信息系统的安全责任归属，确保有明确的组织或人员对系统的安全负责。例如，一个高校的学生管理系统，其安全责任主体通常为学校的信息化管理部门。技术独立性：考虑信息系统在技术层面的独立性，包括硬件设备、软件系统、网络环境等。如果一个系统在硬件上有独立的服务器，软件上有独立的应用程序，网络上有独立的子网，那么它更有可能作为一个独立的定级对象。（二）初步确定等级1.确定受侵害的客体公民、法人和其他组织的合法权益：指信息系统所涉及的个人隐私、商业秘密、财产权益等。例如，电商平台的用户信息系统，涉及用户的个人身份信息、购物记录等，一旦遭到破坏，可能会侵害用户的个人隐私和财产权益。社会秩序、公共利益：包括社会的正常运转、公共服务的提供、公众的生命财产安全等。例如，城市的交通管理信息系统，其正常运行关系到城市交通的顺畅和公众的出行安全，若系统遭到破坏，可能会影响社会秩序和公共利益。国家安全：涉及国家的政治、经济、军事等核心利益。例如，国家关键基础设施中的能源信息系统，其安全直接关系到国家的能源供应和经济稳定，对国家安全具有重要影响。2.确定对客体的侵害程度一般损害：指信息系统遭到破坏后，对公民、法人和其他组织的合法权益造成较小影响，但不影响社会秩序、公共利益和国家安全。例如，一个小型企业的内部办公系统出现故障，导致部分员工暂时无法正常办公，但对企业的业务运营影响较小。严重损害：指信息系统遭到破坏后，对公民、法人和其他组织的合法权益造成严重影响，或对社会秩序、公共利益造成较大影响，但不危害国家安全。例如，一个城市的供水信息系统遭到破坏，导致部分区域停水数小时，影响了居民的正常生活和部分企业的生产经营。特别严重损害：指信息系统遭到破坏后，对社会秩序、公共利益造成特别严重影响，或对国家安全造成危害。例如，国家军事指挥信息系统遭到攻击，可能会影响国家的军事决策和国防安全。3.确定等级根据受侵害的客体和侵害程度，按照《网络安全等级保护定级指南》中的等级划分标准，初步确定信息系统的安全保护等级。具体等级划分如下：第一级（自主保护级）：信息系统受到破坏后，可能对公民、法人和其他组织的合法权益造成损害，但不损害社会秩序、公共利益和国家安全。第二级（指导保护级）：信息系统受到破坏后，可能对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级（监督保护级）：信息系统受到破坏后，可能对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级（强制保护级）：信息系统受到破坏后，可能对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级（专控保护级）：信息系统受到破坏后，可能对国家安全造成特别严重损害。（三）专家评审1.组建专家评审组邀请行业内的网络安全专家、业务专家、法律专家等组成专家评审组。专家应具有丰富的经验和专业知识，熟悉信息系统安全和相关行业的业务特点。2.提交评审材料将信息系统的基本信息、业务信息、安全信息以及初步定级情况等相关材料提交给专家评审组。材料应详细、准确，能够全面反映信息系统的实际情况。3.开展评审会议专家评审组召开评审会议，听取定级团队的汇报，对提交的材料进行审查和讨论。专家可以就信息系统的业务功能、安全需求、定级依据等方面提出问题和建议。4.形成评审意见专家评审组根据评审情况，形成书面的评审意见。评审意见应明确对初步定级结果的认可或调整建议，并说明理由。（四）主管部门审核1.提交审核申请将专家评审意见和相关定级材料提交给信息系统的主管部门进行审核。主管部门通常是信息系统所属行业的上级管理部门或政府监管部门。2.主管部门审核主管部门对提交的材料进行审核，结合行业特点和安全要求，对定级结果进行评估。审核过程中，主管部门可能会要求定级团队补充相关材料或进行进一步说明。3.审核结果反馈主管部门将审核结果反馈给定级团队。如果审核通过，定级结果可以正式确定；如果审核不通过，主管部门会提出修改意见，定级团队需要按照意见进行调整后重新提交审核。（五）公安机关备案1.准备备案材料《信息系统安全等级保护备案表》，应如实填写信息系统的基本信息、安全保护等级等内容。信息系统安全定级报告，详细说明定级的过程、依据和结果。其他相关材料，如系统拓扑图、安全管理制度等。2.提交备案申请将准备好的备案材料提交给当地公安机关网络安全保卫部门。可以通过现场提交或网上提交的方式进行。3.公安机关审核公安机关对备案材料进行审核，检查材料的完整性和准确性。审核过程中，公安机关可能会对信息系统进行实地检查或要求提供进一步的证明材料。4.备案结果通知公安机关在审核通过后，向信息系统运营使用单位发放《信息系统安全等级保护备案证明》，标志着信息系统的定级工作完成。四、常见问题与排错提示（一）定级对象确定不准确1.问题表现将多个业务关联度不高的系统合并作为一个定级对象，或者将一个完整的系统拆分成多个不合理的定级对象。2.排错提示重新审视业务流程和功能，根据业务相关性、安全责任主体和技术独立性等原则进行判断。必要时，可以邀请业务人员和技术人员共同参与讨论，确保定级对象的确定准确合理。（二）初步定级结果不准确1.问题表现对受侵害的客体和侵害程度判断失误，导致初步定级结果过高或过低。2.排错提示深入分析信息系统的业务数据和安全需求，参考相关行业的案例和标准，确保对受侵害客体和侵害程度的判断客观准确。同时，邀请行业专家进行指导和把关。（三）专家评审不通过1.问题表现专家评审组对初步定级结果提出较大异议，要求进行调整。2.排错提示认真对待专家的意见和建议，对专家提出的问题进行深入分析和研究。如果专家认为定级依据不充分或存在错误，应重新收集和分析相关信息，调整定级结果，并再次提交专家评审。（四）主管部门审核不通过1.问题表现主管部门对定级结果提出质疑，要求重新定级。2.排错提示与主管部门进行沟通，了解审核不通过