网络安全等级保护2.0之定级指南问答!
1,如何定级?
根据客体损坏的严重程度来确认安全级别!
根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下五级:
a) 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
b) 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
c) 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
等级保护对象的级别由两个定级要素决定:
a) 受侵害的客体;
b) 对客体的侵害程度。
2,前面讲了等保2.0之物联网、移动互联,是不是物联网企业、移动终端企业也需要过等保2.0呢?
不一定呢!如果是物联网模块厂商,就不需要管它,当然还有其他要求要管。
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
采用移动互联技术的网络主要包括移动终端、移动应用、无线网络等特征要素,应与相关有线网络业务系统作为一个整体对象定级。
目前应用最广泛的是云等保!没办法啊,你不满足要求,就拿不到国家关键工程项目
。
3,根据等级保护相关管理文件,等级保护对象的安全保护等级分为五级,可是技术规范里只讲四个级别?
受侵害的客体 | 对客体的侵害程度 | ||
|---|---|---|---|
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
因为涉及到特别严重的国家安全了,第五级通常省略,
4,特定对象有没有强制级别要求?
对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
对于大数据,应综合考虑数据规模、数据价值等因素,根据数据资源(完整性、保密性、可用性)遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素确定其安全保护等级。原则上,大数据安全保护等级不低于第三级。
对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。