主要行业等保测评定级标准(一)

网络安全等级保护信息系统定级主要依据《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020 等相关标准,从以下两方面来确定:一、受侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。

  • 例如,影响国家政权稳固和领土主权、海洋权益完整等属于侵害国家安全;影响国家机关、企事业单位、社会团体的生产秩序、经营秩序等属于侵害社会秩序;影响社会成员使用公共设施、获取公开数据资源等属于侵害公共利益;公民个人的信息泄露、财产损失等属于侵害公民、法人和其他组织的合法权益。

二、对客体的侵害程度业务信息安全和系统服务安全受到破坏后,可能产生影响行使工作职能、导致业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响等侵害后果。侵害程度分为一般损害、严重损害和特别严重损害。

  • 例如,工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题等属于一般损害;工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题等属于严重损害;工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题等属于特别严重损害。

具体的定级流程为,先确定定级对象,分析其受到破坏时所侵害的客体以及对客体的侵害程度,分别确定业务信息安全保护等级和系统服务安全保护等级,将两者中的较高者确定为定级对象的安全保护等级。安全保护等级分为五级,从第一级到第五级,受侵害的客体范围逐渐扩大,侵害程度逐渐加重。

国家标准
国家标准GB/T 22240-2020《 信息安全技术 网络安全等级保护定级指南》
范围:本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。 本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。
等级保护对象 :网络安全等级保护工作直接作用的对象。 注:主要包括信息系统、通信网络设施和数据资源等。
等级保护对象的定级要素包括: a) 受侵害的客体;b) 对客体的侵害程度。
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a) 公民、法人和其他组织的合法权益; b) 社会秩序、公共利益; c) 国家安全。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a) 造成一般损害;b) 造成严重损害; c) 造成特别严重损害。
安全保护等级:根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级: a) 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全; c) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害; e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。

640

一、教育行业
定级标准:《教育行业信息系统 安全等级保护定级工作指南(试行)》的通知教技厅函〔2014〕74号

640-1
640-2
640-3

说明:区县级教育行政部门及直属事业单位的系统建议一般定为第一级,区县级统一运行系统根据业务重要性建议可定为第二级。本表中未单独列出。

640-4
640-5
640-6

二、卫生行业定级标准:《卫生行业信息安全等级保护工作的指导意见》卫办发〔2011〕85号
1.以下重要卫生信息系统安全保护等级原则上不低于第三级:    (1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;     (2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;     (3)三级甲等医院的核心业务信息系统;    (4)卫生部网站系统;    (5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。    2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家委员会论证、评审。    3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。三、电力行业定级标准:关于印发《电力行业网络安全等级保护定级指南》的通知国能综通安全〔2022]71号

640-7
640-8
640-11
640-10

四、广播行业定级标准:GY/T 337-2020《广播电视网络安全等级保护定级指南》

640-22
640-34
640-24

五、金融行业定级标准:中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见银发【2012】163号

信息系统安全等级保护主要定级对象分类

(一)应用系统

1.核心业务信息系统或综合业务信息系统(分类代码为 Y-1类,下同)。2.网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统(Y-Ⅱ类)。3.部署有应用服务器或者数据服务器的前置系统(Y-Ⅲ类)。(二)生产网络系统区别于通常意义的计算机网络,作为定级对象的生产网络系统包括网络设备(如交换机、路由器、负载均衡器等)、前置中间件设备(如消息队列服务器等)和接入网络的计算机终端,各机构可从以下两种方案中选用一种对生产网络系统进行定级:1.方案一(W1)(1)广域网骨干网络(W1-1类)。(2)机构总部局域网骨干网络(W1-Ⅱ类)。(3)分支机构局域网骨干网络(W1-Ⅲ类)。2.方案二(W2)(1)机构总部骨干网络(W2-1类):含机构总部局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络。(2)分支机构骨干网络(W2-Ⅱ类):含本分支机构局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络。

640-23

说明:1.国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖,其 Y-Ⅲ类信息系统可在表2基础上降低一级。2.仅在辖区内部署接入终端的分支机构,可不为其 Y-Ⅲ类、W1-Ⅲ类或 W2-Ⅱ类系统定级。

640-25

六、交通运输业定级标准:JT/T 904-2014《交通运输行业信息系统安全等级保护定级指南》

业务信息安全二级要素与一级要素映射关系

640-27
640-29
640-26

系统服务安全二级要素与一级要素映射关系

640-28
640-31
640-30
640-32

交通运输行业等级保护对象的分类见表:

640-33