信息安全等級保護之定級的一般流程

　　網(wǎng)絡(luò )安全保護等級的確定，應按照網(wǎng)絡(luò )安全等級保護定級指南開(kāi)展，既要防止因片面追求絕對安全而定級過(guò)高，也要防止為逃避監管而定級偏低。信息網(wǎng)絡(luò )的安全等級可以參照在其上運行的信息系統的等級、網(wǎng)絡(luò )的服務(wù)范圍和自身的安全需求確定適當的保護等級，不以在其上運行的信息系統的最高等級或最低等級為標準，即“不就高、不就低”。

　　為了幫助網(wǎng)絡(luò )運營(yíng)者準確確定網(wǎng)絡(luò )安全保護等級，可以參考下列對五級的說(shuō)明確定網(wǎng)絡(luò )安全等級。

　　一般適用于小型私營(yíng)及個(gè)體企業(yè)，中小學(xué)，以及鄉鎮所屬網(wǎng)絡(luò )系統、縣級單位中重要性不高的網(wǎng)絡(luò )系統。

　　一般適用于縣級某些單位中的重要網(wǎng)絡(luò )系統，以及地市級以上國家機關(guān)、企事業(yè)單位內部一般的網(wǎng)絡(luò )系統。例如，非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統和管理系統等。

　　一般適用于地市級以上國家機關(guān)、企事業(yè)單位內部重要的網(wǎng)絡(luò )系統。例如，涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統和管理系統，跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調度、管理、指揮、作業(yè)、控制等方面的重要信息系統及這類(lèi)系統在省、地市的分支系統，中央各部委、省（區、市）門(mén)戶(hù)網(wǎng)站和重要網(wǎng)站，跨省連接的網(wǎng)絡(luò )系統，大型云平臺、工控系統、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò )、大數據等。

　　一般適用于國家重要領(lǐng)域、重要部門(mén)中的特別重要網(wǎng)絡(luò )系統及核心系統。例如，電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門(mén)的生產(chǎn)、調度、指揮等涉及國家安全、國計民生的核心系統，超大型的云平臺、工控系統、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò )、大數據等。

　　一般適用于國家重要領(lǐng)域、重要部門(mén)中的極端重要系統。

　　網(wǎng)絡(luò )安全包括業(yè)務(wù)信息安全和系統服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同。因此，網(wǎng)絡(luò )定級也應由業(yè)務(wù)信息安全和系統服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的網(wǎng)絡(luò )的安全保護等級稱(chēng)為業(yè)務(wù)信息安全等級。從系統服務(wù)安全角度反映的網(wǎng)絡(luò )的安全保護等級稱(chēng)為系統服務(wù)安全等級。

　　確定網(wǎng)絡(luò )安全保護等級

　　參考《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》附錄中的圖，確定網(wǎng)絡(luò )安全保護等級的一般流程如下圖。

　　第一，對于傳統網(wǎng)絡(luò )系統及工業(yè)控制系統、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò )系統，依然分別從業(yè)務(wù)信息安全和系統服務(wù)安全兩個(gè)角度確定業(yè)務(wù)信息安全保護等級和系統服務(wù)安全保護等級，按兩者取高作為保護對象的安全保護等級。

　　第二，對于基礎信息網(wǎng)絡(luò )、云計算平臺和大數據平臺等起支撐作用的網(wǎng)絡(luò )系統，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

　　第三，對于大數據，應綜合考慮數據規模、數據價(jià)值等因素，根據數據資源（完整性、保密性、可用性）遭到破壞后對國家安全、社會(huì )秩序、公共利益及公民、法人和其他組織的合法權益的侵害程度等因素確定其安全保護等級。原則上大數據的安全保護等級不低于第三級。