信息系统定级到底定几级合适？（文末有彩蛋）

等级保护测评第一步就是系统定级。等级的确定不是依赖于安全保护措施的，它具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。

那么究竟如何定级呢？怎样定级最合理合规合适呢？今天小编就详细的和大家交流下心得。

• 首先我们来看下《定级指南》里对信息系统等级的划分：

根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成特别严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

可以看出系统等级越高，系统越重要，造成的损害越严重。

• 我们再来看看定级的两个要素：

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

• 受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

a) 公民、法人和其他组织的合法权益；

b) 社会秩序、公共利益；

c) 国家安全。

• 对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。

• 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

a) 造成一般损害；

b) 造成严重损害；

c) 造成特别严重损害。

• 定级要素与等级的关系

定级要素与信息系统安全保护等级的关系如下表所示。

看了定级要素和对应的要素关系，我们可以总结为对受侵害的客体造成的损害越大那么等级就越高，可是看完这个我们还是有点模糊，特别是对第一次想开展这块工作的伙伴们来说更是雾里看花。那我们再看一个表格：

看了这个表格后，我们会清楚很多，到底我们的系统是几级。最后总结一下：

• 县级重要的信息系统，地市级和省级的一般信息系统，这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统，这些系统都可以定为二级系统；

• 省级门户网站和地市级及以上重要的业务网站需要定为三级，地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统，管理系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级，跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统）。

• 现在一些地区区县虽然行政是区县，但是实际经济总量和人口已经远远大于中西部一些地级市，所以我们在系统定级的时候还是要结合系统的重要性去实际定级，切勿死搬硬套，例如我们在某区一个系统里面存储了全区上百万的人口信息，住房信息等等敏感信息，这样的系统就得定到三级。定级不合理，将来不小心出了事情都是自己的事情，没必要把这样的风险全抗在自己肩膀上。另外补充一点如果行业有要求就按照行业要求来，这样办事省心省力。总结成一句话就是：信息系统涉及到工作秘密、敏感信息的，信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统，建议定到三级，其他系统定到二级。当然涉及到国家安全的特别是全国性的系统要定四级。

• 定级的方法

1. 确定定级对象；

2. 确定业务信息安全受到破坏时所侵害的客体；

3. 综合评定业务信息安全被破坏对客体的侵害程度；

4. 得到业务信息安全等级；

5. 确定系统服务安全受到破坏时所侵害的客体；

6. 综合评定系统服务安全被破坏对客体的侵害程度；

7. 得到系统服务安全等级；

由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。

• 可能的系统级别

第一级：S1A1G1

第二级：S1A2G2，S2A2G2，S2A1G2

第三级： S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3

第四级： S1A4G4 ， S2A4G4 ， S3A4G4 ， S4A4G4，S4A3G4，S4A2G4，S4A1G4

• 损害程度如何划分？

什么样的情况属于一般损害？什么样是严重损害和特别严重损害？小编摘取《定级指南意见稿》中关于三种损害程度的描述，供大家参考：

一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害；

严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害；

特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。

彩蛋：

近期一些地方P2P系统定级备案开始开放了，有些地区明确要求三级，有些地区要求不低于二级，那这些P2P企业到底该定几级？

我们对照定级指南来分析下：

首先P2P的借贷系统主要是面向各地的民众、法人等进行借贷使用的信息系统，该系统对应的客体主要是：公民、法人和其他组织的合法权益。再看这个系统用户范围，小编认为至少是面向一个地级市乃至一个省的，其中很多是面向全国的，系统用户数量众多。

其二，这些系统涉及到的信息，一块是公民、法人等的身份敏感信息；另一块是这些公民、法人等的财产敏感信息。这样的系统一旦遭受攻击破坏后，可能会导致系统无法使用，公民、法人等身份信息大范围泄露，公民、法人等财产遭受损失。那么这样的损害程度完全可以定为特别严重损害。那就是说这些P2P系统受侵害的客体是公民、法人和其他组织的合法权益，对客体的侵害程度为：特别严重损害，那么对照定级指南，该P2P系统应定为三级信息系统。

最后补充一句P2P监管肯定是从严监管，此次允许大家等保备案了，后期如果都通过金融办的备案后，广大投资者如何选择一家更合适的P2P平台呢？网络安全水平也会是投资者考虑的一个因素，满足三级等保的信息系统和满足二级等保的信息系统，其网络安全防护水平肯定不一样的。有些机会要把握住，不是天天有的，该定几级，一定要想好。

来源：本文部分内容来自不得不等公众号

（本文部分内容来自网络，目的是传递更多信息知识共享，无商业用途。如涉及作品内容、原创版权和其他问题，请与我们联系，我们将在第一时间处理。）

点击阅读原文，查看更多资讯