点点关注不迷路下文行业标准可在公众号回复“行业定级标准”获取下载链接
引言
网络安全等级保护信息系统定级主要依据国家标准要求及行业标准要求,根据信息系统业务信息遭受到侵害后对客体的损害程度、服务中断后对客体的损害程度进行界定;在定级工作中涉及信息系统业务主体信息、建设运维信息、业务情况、网络情况、安全防护情况、数据资源类型、数据量、客体识别、损害程度判定等。
下文列举了网络安全等级保护定级相关标准,章节包括:一、国家标准;二、行业标准-教育行业;三、行业标准-广电行业;四、行业标准-电力行业;五、行业标准-卫生行业;六、行业标准-金融行业;七、行业标准-交通运输行业;八、行业标准-民航;九、行业标准-铁路行业;十、行业标准-报业;十一、行业标准-邮政行业;十二、行业标准-烟草行业。
内容较多,诸位各取所需,后续有新发现的持续补充。
一、国家标准
|——
国家标准:GB/T 22240-2020《 信息安全技术 网络安全等级保护定级指南》,以下简称“定级指南”。
1.1定级要素
①受侵害的客体;客体包括:公民、法人和其他组织的合法权益;社会秩序、公众利益;国家安全。
②对客体的侵害程度;侵害程度包括:一般损害;严重损害;特别严重损害。
1.2定级要素与安全保护等级的关系
|
受侵害的客体 |
对客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
|
社会秩序、公众利益 |
第二级 |
第三级 |
第四级 |
|
国家安全 |
第三级 |
第四级 |
第五级 |
1.3定级流程
第一步:确定定级对象;也就是本次需要定级的系统名称,例如门户网站系统、xxx管理平台、电力监控系统、主机DCS系统、财务系统、OA系统、专网系统等。定级对象的基本特征包括:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。
第二步:初步确定等级;责任主体单位及责任主体部门或第三方技术人员,依照定级指南拟定等级。
第三步:专家评审;邀请具备资质的专家对初步拟定的定级对象等级进行评审,一般专家包括政府专家库中网络安全专家、网络安全等级保护测评机构高级测评师、网安专家库中登记备案的专家、责任主体单位具备高级职称的技术专家等,具体的按照当地的要求开展专家评审即可。
第四步:主管部门核准;若具备上级主管部门,则需拟上级主管部门审批意见经主管部门盖章确认。一般审批意见由上级主管部门出具,内容大致为你单位xxx系统定级资料已收悉,同意将xxx系统定为x级,在定级基础上做好网络安全等级保护工作。
第五步:备案审核;按照当地网安要求,准备备案资料提交网安审核。
1.4定级方法
①从业务信息安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据“定级要素与安全保护等级的关系表”,对业务信息安全保护等级进行确定;
②从系统服务安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据”定级要素与安全保护等级的关系表“,对系统服务安全保护等级进行确定;
③最终确定定级对象的安全保护等级(由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
二、教育行业标准
|——
教育行业定级标准:教育部办公厅关于印发《教育行业信息系统 安全等级保护定级工作指南(试行)》的通知
教技厅函〔2014〕74号
2.1信息系统安全等级保护等级建议表-教育部门
2.1.1政务管理类
2.1.2学校管理类
2.1.3学生管理类
2.1.4教师管理类
2.1.5综合服务类
2.2信息系统安全等级保护等级建议表-学校
2.2.1教务管理类
2.2.2教学科研类
2.2.3招生就业类
2.2.4综合服务类
三、广电行业标准
|——
广电行业定级标准:GY/T 337-2020广播电视网络安全等级保护定级指南
3.1信息系统安全等级保护对象分类建议表
3.1.1广播/电视中心
3.1.2融媒体中心
3.1.3集成平台(含IPTV、移动多媒体广播、手机电视、互联网电视、直播卫星等的集成播控平台和节目集成平台)
3.1.4有线电视平台
3.1.5基础网络
3.1.6网络广播电视台
3.1.7互联网视听节目服务机构(不含网络广播电视台)
3.1.8无线台站
3.1.9卫星地球站
3.1.10应急广播中心
3.1.11监测监管
3.1.12数据资源
3.1.13通用系统
注:包含但不限于行业内政府网站、重要单位的机构网站等。
3.2信息系统安全等级保护对象定级建议表
3.2.1广播/电视中心网络安全保护等级建议
3.2.2融媒体中心安全保护等级建议
3.2.3集成平台网络安全保护等级建议
3.2.4有线电视平台网络安全保护等级建议
3.2.5基础网络安全保护等级建议
3.2.6网络广播电视台网络安全保护等级建议
3.2.7互联网视听节目服务机构(不含网络广播电视台)网络安全保护等级建议
3.2.8无线台站网络安全保护等级建议
3.2.9卫星地球站网络安全保护等级建议
3.2.10应急广播网络安全保护等级建议
3.2.11监测监管网络安全保护等级建议
3.2.12数据资源网络安全保护等级建议
3.2.13通用系统网络安全保护等级建议
四、电力行业标准
|——
电力行业定级标准:关于印发《电力行业信息系统等级保护定级工作 指导意见》的通知 电监信息〔2007〕 44 号
4.1电力行业重要信息系统安全等级保护定级建议
4.1.1生产控制系统
4.1.2生产管理系统
4.1.3网站系统
4.1.4管理信息系统
4.1.5信息网络
五、卫生行业标准
|——
卫生行业定级标准:《卫生行业信息安全等级保护工作的指导意见》卫办发〔2011〕85号
卫生行业仅提出:
六、金融行业标准
|——
金融行业定级标准:中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见银发【2012】163号
6.1信息系统安全等级保护主要定级对象分类
6.1.1应用系统
①核心业务信息系统或综合业务信息系统(分类代码为Y-Ⅰ类,下同)
②网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统(Y-Ⅱ类)
③部署有应用服务器或者数据服务器的前置系统(Y-Ⅲ类)
6.1.2生产网络系统
区别于通常意义的计算机网络,作为定级对象的生产网络系统包括网络设备(如交换机、路由器、负载均衡等)、前置中间件设备(如消息队列服务器等)和接入网络的计算机终端,各机构可从以下两种方案中选用一种对生产网络系统进行定级:
①方案一:
广域网骨干网络(W1-Ⅰ类)
机构总部局域网骨干网络(W1-Ⅱ类)
分支机构局域网骨干网络(W1-Ⅲ类)
②方案二:
机构总部骨干网络(W2-Ⅰ类):含机构总部局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
分支机构骨干网络(W2-Ⅱ类):含本分支机构局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
6.2信息系统安全等级保护定级建议
6.2.1机构总部
6.2.2分支机构
注:1.国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖,其Y-Ⅲ类信息系统可在分支机构信息系统安全等级保护建议表的基础上降低一级
2.仅在辖区内部署接入终端的分支机构,可不为其Y-Ⅲ类、W1-Ⅲ类或W2-Ⅱ类系统定级
七、交通运输行业标准
|——
交通运输行业定级标准:JT/T 904-2014《交通运输行业信息系统安全等级保护定级指南》
7.1信息系统安全等级保护定级建议
7.1.1业务管理类
7.1.2行政办公类
7.1.3综合平台类
7.1.4基础支撑类
八、民航行业标准
|——
民航行业定级标准:MH/T 0069—2018 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准《民用航空网络安全等级保护定级指南》
8.1各类民航网络与信息系统的典型实例
8.1.1典型的空中交通管理类信息系统
8.1.2典型的航务类信息系统
8.1.3典型的机务类信息系统
8.1.4典型的商务/旅客服务类信息系统
8.1.5典型的机场生产运行类信息系统
8.1.6典型的电子政务类信息系统
8.1.7典型的通用管理类信息系统
8.2民用航空网络与信息系统安全保护等级建议
8.2.1空中交通管理类信息系统安全保护等级
8.2.2航务类信息系统安全保护等级
8.2.3机务类信息系统安全保护等级
8.2.4商务/旅客服务类信息系统安全保护等级
8.2.5机场生产运行类信息系统安全保护等级
8.2.6电子政务类信息系统安全保护等级
注:对于机场的通用管理信息系统,调整年旅客吞吐量在200万人次以上为业务量较大,反之为业务量较小。对于航空公司的通用管理信息系统,年旅客运输量在200万人次以上为业务量较大,反之为业务量较小。
8.2.8门户网站(不包含业务应用)类信息系统安全保护等级
8.2.9其他情况
对于基础信息网络、云计算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,安全保护等级应不低于其承载的等级保护对象的安全保护等级;
对于大数据,应综合考虑数据规模、数据价值等因素,根据国标进行定级;
对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。
九、铁路行业标准
|——
铁路行业定级标准:Q/CR 853-2021 《铁路网络安全等级保护定级指南》
9.1铁路业务重要性级别
非常重要业务:
①运输生产调度、控制和涉及行车安全的监控业务;
②直接影响国铁集团客货运生产和客户服务业务;
③存储和处理国铁集团重要数据的网络和系统;
④国铁集团非常重要的经营开发业务;
⑤服务于国铁集团的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;
⑥服务于工程建设中重大工程的关键系统和基础设施;
⑦其他经国铁集团确定为非常重要业务的。
重要业务:
①行车监测、检测、维护等辅助业务;
②客货运服务辅助管理系统;
③国铁集团及所属各单位、控股合资公司公文流转、日常办公、邮件处理等管理业务;
④国铁集团经营开发相关业务;
⑤服务于铁路局范围内的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;
⑥服务于工程建设的重要系统和基础设施;
⑦其他经国铁集团确定为重要业务的。
一般业务包括:
①部署于非常重要、重要的业务;
②经国铁集团确定为一般业务的。
9.2业务信息类别:
商业信息:关系国铁集团及所属各单位、控股合资公司的经济利益和竞争优势,涉及与科研、生产、经营相关的技术信息和经营信息;
工作信息:关系国铁集团及所属各单位、控股合资公司的公务活动和内部管理的事项,如文件类、信息类、政务类、专项业务类、内部管理类等与工作相关信息。
个人信息:以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种锡信息。
9.3信息系统安全等级保护定级建议
9.3.1业务信息
9.3.2系统服务
十、报业行业标准
|——
报业定级标准:中国新闻技术工作者联合会-报业网络安全等级保护定级参考指南 V2.0
10.1报业网络安全等级保护对象
10.2报业网络安全等级保护定级参考
十一、邮政行业标准
|——
邮政行业定级标准:YZ/T 0142-2015《邮政业信息系统安全等级保护定级指南》
11.1邮政行业网络安全等级保护对象系统类别
11.1.1邮政服务相关
11.1.2快递服务相关
11.1.3邮政管理相关
11.2邮政行业网络安全等级保护定级参考
11.2.1邮政服务相关
11.2.2快递服务相关
11.2.3邮政管理相关
十二、烟草行业标准
|——
烟草行业定级标准:YC/T 389-2011《烟草行业信息系统安全等级保护与信息安全事件的定级准则》
注:此标准状态虽已显示废止(国烟科〔2024〕90号 国家烟草专卖局关于废止《烟叶 自由燃烧性的测定方法》等25项行业标准的通知),但是未有新的定级行业标准发布,建议可做参考。
12.1烟草行业系统划分
系统划分参照YC/Z 204-2006 《烟草行业信息化标准体系》中应用系统标准明细表。
12.1.1烟草行业管理信息系统(电子政务)
12.1.2烟草行业管理信息系统(电子商务)
12.1.3烟草行业管理信息系统(卷烟生产经营决策管理)
12.1.4烟草行业管理信息系统(其他)
12.1.5烟草行业工/商企业管理信息系统
12.2确定业务信息安全等级
12.2.1业务信息类型
公开信息:
信息系统中对社会公众开放的信息,例如提供许可证申办的各种服务信息,包括申请表的下载或网上填写,许可证的申办情况查询,许可证受理、办理公告,许可证申办指南,人员招聘信息,相关法律、法规和政策性文件检索等信息;
内部信息:
信息系统中具有烟草行业内部使用的一般价值或需要进行一定保密程度的信息,例如用于国家局和直属单位核发许可证的内部审批,许可证办理数据的统计,零售许可证管理数据的上传汇总,申办流程控制与申办人员权限控制等信息;
重要信息:
信息系统中具有内部使用的重要价值或需要进行严格保密程度的信息,例如涉及行业政策、计划、人事信息、财务信息,行业生产经营中的重要数据信息及各单位自有自用的不适宜在行业传播的数据信息。
12.2.2业务信息被破坏时的侵害程度
业务信息被破坏时的侵害程度分为一般损害、较大损害和严重损害,标准中给出了经济损失同损害程度的关系:
12.2.3业务信息安全保护等级矩阵表
12.3确定系统服务安全保护等级
12.3.1系统服务范围影响
局部性影响:
系统遭到破坏后,只对直属单位以下(地市级公司、卷烟厂和生产点),国家烟草专卖局直属单位机关内部和国家局机关内部范围内的业务工作造成影响,不涉及其他单位或国家局对所属单位的管理工作;
区域性影响:
系统遭到破坏后,对国家局直属单位范围内的业务工作造成影响,不涉及与其他国家局直属单位有关联的各项工作;
全局性影响:
系统遭到破坏后,对国家局进行行业管理工作或国家局直属单位之间的相互关联工作造成影响;或因信息失密给全行业范围的业务和管理工作带来较大影响或造成社会不良影响。
12.3.2系统服务被破坏时的侵害程度
12.3.3系统服务安全保护等级矩阵表
12.4等级确定
由业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
12.5烟草行业工控系统相关
参考YC/T 580-2019 《烟草行业工业控制系统网络安全基线技术规范》。
12.5.1工控系统分类
12.5.2等级确定
确定保护等级:
①发生网络安全事件后对企业仅造成一般损害的应确定为一级系统;
②发生网络安全事件后对企业可能造成严重损害的应确定为二级系统;
③发生网络安全事件后可能造成特别严重损害或人员伤亡的应确定为三级系统。
损害程度划分:
原文始发于微信公众号(网络安全等保与关保):等保信息系统定级指导(国标+行标)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论