等保定级及专家评审相关问题小结.docx

等保定级及专家评审相关问题小结等保2. 0定级备案流程：确定定级对象初步确定等级一＞ 专家评审一〉主管部门核准一＞ 公安机关 备案审核一＞ 确定等级并颁发备案证明各单位应该首先自己确定定级对象，对自己单位的所有系统进行一个梳理, 对每一个系统进行一个初步预定级，如果认为该系统应该为二级以上，应该进 行专家评审专家评审后有主管部门的报主管部门审核，审核后出具定级审批 意见，报给公安机关备案审查，如果公安机关认为仍然定级不准确，那么重新组 织定级，这种情况发生的概率为0.001公安机关审核通过后，最终确定等级， 出具备案证明这里面有个小问题需要注意，各个行业有各个行业的标准，比方电力、金 融、教育、医疗等，但是所有的标准必须遵从网络平安等级保护的国家标准， 除非行业标准高于等保标准等保国标属于上位标准，即便是行业标准高于等 保标准，公安机关也应当按照等保标准而不是行业标准去执行等保一级、二级系统定义标准：第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损 害，但不危害国家平安、社会秩序和公共利益的一般网络第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严 重损害，或者对社会秩序和公共利益造成危害，但不危害国家平安的一般网络。

一级系统中仅仅是对公民、法人和其他组织的合法权益造成损害，不涉及 社会秩序和公共利益二级系统涉及到了社会秩序和公共利益，而且只需造成 一般损害就可以定为二级那么一些国企事业单位开设网站的目的就是为了公 开信息，对外宣传，服务公众，方便公众使用公共设施等如果这样的网站被 篡改或者访问不了，就等于侵害了公共利益，根据定级指南：侵害公共利益的 事项包括：1.影响社会成员使用公共设施2.影响社会成员获取公开信息资源 3.影响社会成员接受公共服务等方面4.其他影响公共利益的事项如果说某 些权威单位网站被篡改，比方说上市公司、国企，网站上的新闻动态可能直接 影响股价或者某些信息公开不能被社会成员获取，或者某些单位网站被篡改 可能直接导致影响正常生活秩序，比方说预警发布自然灾害信息被恶意发布， 可能会造成整个社会的恐慌，动乱，对于这样单位的网站，即使被定为三级也 不为过此外，系统定级，还要从多个角度去分析，比方单位职能、影响范围、人 身平安等方面对本单位、对社会造成的影响以及影响范围单位对系统的依赖 关系、依赖程度及影响程度比方数据泄露后导致的人身生命财产平安，产生 严重的法律问题等最后总结一句：如果想开展等保工作那么系统一定是二级起步，不然就不 要谈等保。

专家评审注意问题：1 .专家评审的时候，不是审查备案表和定级报告的瑕疵，文件的毛病，不是看 系统的平安性，也不是看系统是否缺少什么平安防护设备2 .专家的主要职责是根据系统的重要程度，根据系统被破坏后产生的影响后果 去确定系统的级别，这才是专家评审的意义其实系统定级是一件比拟难，也 非常重要的工作系统级别确定后，系统就要按照这个标准去建设，去防护3 .专家评审时，应该对系统的边界划分清楚有些单位习惯把一些系统合并成 为一个系统,专家应该审核这种合并的合理性,对于不合理的合并要坚决说不， 既是作为专家的权威性表达也是对他人的负责任表现4 .在评审表中应该考虑系统服务平安和系统业务平安，并认清对应的级别5 .在评审时，很多单位会把所有的系统都拿出来评审，对于认定为一级的系统 也应该在专家评审意见中写明原因不能只写二级以上的评审意见系统定级相关要素系统定级可以参考公安部2007年7月下发的《等级保护实施主要技术环节说明》 作为定级对象的信息系统应具有如下基本特征：a）具有确定的主要平安责任主体；b）承载相对独立的业务应用；c）包含相互关联的多个资源注1：主要平安责任主体包括但不限于企业、机关和事业单位等法人，以及不 具备法人资格的社会团体等其他组织；注2：防止将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。

等保定级中的侵害的客体为国家平安、社会秩序和公共利益、公民、法人和其 他组织的合法权益国家平安表现为：重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影 响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的 发布或播出系统，如果受到非法控制可能引发影响国家统一、民族团结和社会 安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要平安保卫 工作信息的信息系统和重大刑事案件的侦察系统；尖端科技领域得研发、生产 系统等影响国家经济竞争力和科技实力得信息系统，以及电力、通信、能源、 交通运输、金融等国家重要基础设施的生产、控制、管理系统等社会秩序：借助信息化手段提高国家机关的社会管理和公共服务水平，提高经济活动效率， 更方便地从事科研、生产、生活活动是维护社会秩序的表现各级政府政府机构的社会管理和公共服务系统：如财政、金融、工商、税务、 公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统， 以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生 产系统或管理系统公共利益：公共利益包括的范围非常广，可以是经济利益，也可能是包括教育、卫生、环 境等各个方面的利益。

借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进 行管理控制都应当是要考虑的方面比方：公共通信设施、公共卫生设施、公 共休闲娱乐设施、公共管理设施、公共服务设施等公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害公民、法人和其他组织的合法权益：指的是拥有信息系统的个体或确定组织所享有的社会权力和利益4 口 -rri nht损害程度：对客体的侵害程度由客观方面的不同外在表现综合决定由于对客体的侵害是 通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护 对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：a）造成一般损害；b）造成严重损害；c）造成特别严重损害侵害程度是客观方面的不同外在表现的综合表达，因此，首先根据不同的受侵 害客体、不同侵害后果分别确定其侵害程度对不同侵害后果确定其侵害程度 所采取的方法和所考虑的角度可能不同，例如，系统服务平安被破坏导致业务 能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不 同方面确定，业务信息平安被破坏导致的财物损失可以从直接的资金损失大小、 间接的信息恢复费用等方面进行确定。

在针对不同的受侵害客体进行侵害程度的判断时，参照以下不同的判别基准： 如果受侵害客体是公民、法人或其他组织的合法权益，那么以本人或本单位的总 体利益作为判断侵害程度的基准；如果受侵害客体是社会秩序、公共利益或国家平安，那么以整个行业或国家的总 体利益作为判断侵害程度的基准不同侵害后果的三种侵害程度描述如下：1 .一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的 执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他 组织和个人造成较低损害；.严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能 执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响， 对其他组织和个人造成较高损害；2 .特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重 下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围 的社会不良影响，对其他组织和个人造成非常高损害对客体的侵害程度由对不同侵害结果的侵害程度进行综合评定得出由于各行 业定级对象所处理的信息种类和系统服务特点各不相同，业务信息平安和系统 服务平安受到破坏后关注的侵害结果、侵害程度的计算方式均可能不同，各行 业可根据本行业业务信息和系统服务特点制定侵害程度的综合评定方法，并给 出一般损害、严重损害、特别严重损害的具体定义。

影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职 能等国家或社会方面的职能导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能 的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业都 有本行业关注的业务指标例如电力行业关注发电量和用电量，税务行业关注 税费收入，银行业关注存款额、贷款额、交易量等，证券经济行业关注股民数 和交易额引起法律纠纷是比拟严重的影响，在较轻的程度时可能表现为投诉、索赔、媒 体曝光等形式导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直 接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降 低、客户关系损失等导致的间接经济损失直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等造成社会不良影响，包括在社会风气、执政信心等方面的影响简要操作具体可以看表1:表1定级要素与平安保护等级的关系业务信息平安被破坏时所侵害的客体对相应客体的侵害程度一般损害：工作职能 受到局部影响，业务 能力有所降低但不 影响主要功能的执 行，出现较轻的法律 问题，较低的财产损 失，有限的社会不良 影响，对其他组织和 个人造成较低损害；严重损害：工作 职能受到严重 影响，业务能力 显著下降且严 重影响主要功 能执行，出现较 严重的法律问 题，较高的财产 损失，较大范围 的社会不良影 响，对其他组织 和个人造成较 高损害；特别严重损害： 工作职能受到 特别严重影响 或丧失行使能 力，业务能力严 重下降且或功 能无法执行，出 现极其严重的 法律问题，极高 的财产损失，大 范围的社会不 良影响，对其他 组织和个人造 成非常高损害。

公民、法人和其他组织的合 法权益：指的是拥有信息系 统的个体或确定组织所享 有的社会权力和利益第一级第二级第三级社会秩序：借助信息化手段 提高国家机关的社会管理 和公共服务水平，提高经济 活动效率，更方便地从事科 研、生产、生活活动是维护 社会秩序的表现各级政府 政府机构的社会管理和公 共服务系统：如财政、金融、 工商、税务、公检法、海关、 社保等领域的信息系统，也 包括教育、科研机构的工作 系统，以及所有为公众提供 医疗卫生、应急服务、供水、 供电、邮政等必要服务的生 产系统或管理系统公共利益：公共利益包括的 范围非常广，可以是经济利 益，也可能是包括教育、卫 生、环境等各个方面的利 益借助信息化手段为社会 成员提供使用的公共设施 和通过信息系统对公共设 施进行管理控制都应当是 要考虑的方面比方：公共 通信设施、公共卫生设施、第二级第三级第四级公共休闲娱乐设施、公共管 理设施、公共服务设施等 公共利益与社会秩序密切 相关，社会秩序的破坏一般 会造成对公共利益的损害国家平安：重要的国家事务 处理系统、国防工业生产系 统和国防设施的控制系统 等属于影响国家政权稳固 和国防实力的信息系统；广 播、电视、网络等重要新闻 媒体的发布或播出系统，如 果受到非法控制可能引发 影响国家统一、民族团结和 社会安定的重大事件；处理 国家对外活动信息的信息 系统；处理国家重要平安保 卫工作信息的信息系统和 重大刑事案件的侦察系统； 尖端科技领域得研发、生产 系统等影响国家经济竞争 力和科技实力得信息系统， 以及电力、通信、能源、交 通运输、金融等国家重要基 础设施的生产、控制、管理 系统等。