下载地址https://www.feidusec.com
网络安全等级保护信息系统定级工作主要依据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)等权威标准,通过以下两大核心维度综合判定:
定级时需明确系统被破坏后可能危及的对象,按优先级依次判别:
根据业务信息安全和系统服务安全受损后产生的实际影响,划分三级损害:
| 损害等级 | 判定标准 | 典型场景 |
|---|---|---|
| 一般损害 | 局部影响工作职能,业务能力短暂下降但未丧失核心功能;引发轻微法律纠纷。 | 企业邮件系统短暂中断,导致部分邮件延迟处理,未造成重大合同违约。 |
| 严重损害 | 主要工作职能严重受阻,业务能力显著下降;引发较大规模法律纠纷或群体性事件。 | 社保系统宕机导致养老金发放延迟,引发退休人员集体投诉。 |
| 特别严重 | 工作职能完全丧失,核心业务瘫痪;造成重大法律后果或社会恐慌。 | 航空管制系统被攻击,导致航班大面积取消,引发公众安全危机。 |
对象确认:明确需定级的系统边界,如独立云平台或物联网终端集合。
双维度分析:
业务安全:评估数据泄露对业务连续性的影响。
服务安全:测算系统不可用时的社会影响范围。
等级合成:取业务安全等级与服务安全等级中的较高值作为最终定级结果。
五级划分:
第一级:仅影响个体权益,无社会秩序风险。
第二级:可能危害局部社会秩序。
第三级:涉及地区性社会秩序或重要公共利益。
第四级:威胁国家安全或全国性公共利益。
第五级:直接关系国家核心安全。
该定级体系通过量化评估风险客体与影响程度,为信息系统安全防护提供了科学框架,确保关键信息基础设施获得与其重要性相匹配的保障强度。
一、教育行业标准
|——
教育行业定级标准:教育部办公厅关于印发《教育行业信息系统 安全等级保护定级工作指南(试行)》的通知
教技厅函〔2014〕74号
信息系统安全等级保护等级建议表-教育部门
政务管理类
学校管理类
学生管理类
.教师管理类
综合服务类
信息系统安全等级保护等级建议表-学校
教务管理类
教学科研类
招生就业类
综合服务类
二、广电行业标准
|——
广电行业定级标准:GY/T 337-2020广播电视网络安全等级保护定级指南
3.1信息系统安全等级保护对象分类建议表
3.1.1广播/电视中心
融媒体中心
集成平台(含IPTV、移动多媒体广播、手机电视、互联网电视、直播卫星等的集成播控平台和节目集成平台)
有线电视平台
基础网络
网络广播电视台
互联网视听节目服务机构(不含网络广播电视台)
无线台站
卫星地球站
应急广播中心
监测监管
数据资源
通用系统
注:包含但不限于行业内政府网站、重要单位的机构网站等。
信息系统安全等级保护对象定级建议表
广播/电视中心网络安全保护等级建议
融媒体中心安全保护等级建议
集成平台网络安全保护等级建议
有线电视平台网络安全保护等级建议
基础网络安全保护等级建议
网络广播电视台网络安全保护等级建议
互联网视听节目服务机构(不含网络广播电视台)网络安全保护等级建议
无线台站网络安全保护等级建议
卫星地球站网络安全保护等级建议
应急广播网络安全保护等级建议
监测监管网络安全保护等级建议
数据资源网络安全保护等级建议
通用系统网络安全保护等级建议
三、电力行业标准
|——
电力行业定级标准:关于印发《电力行业信息系统等级保护定级工作 指导意见》的通知 电监信息〔2007〕 44 号
电力行业重要信息系统安全等级保护定级建议
生产控制系统
生产管理系统
网站系统
管理信息系统
信息网络
四、医疗卫生行业标准
|——
卫生行业定级标准:《卫生行业信息安全等级保护工作的指导意见》卫办发〔2011〕85号
卫生行业仅提出:
五、金融行业标准
|——
金融行业定级标准:中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见银发【2012】163号
信息系统安全等级保护主要定级对象分类
应用系统
①核心业务信息系统或综合业务信息系统(分类代码为Y-Ⅰ类,下同)
②网上银行系统、重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及客户身份、资产、交易记录等敏感信息的重要信息系统(Y-Ⅱ类)
③部署有应用服务器或者数据服务器的前置系统(Y-Ⅲ类)
生产网络系统
区别于通常意义的计算机网络,作为定级对象的生产网络系统包括网络设备(如交换机、路由器、负载均衡等)、前置中间件设备(如消息队列服务器等)和接入网络的计算机终端,各机构可从以下两种方案中选用一种对生产网络系统进行定级:
①方案一:
广域网骨干网络(W1-Ⅰ类)
机构总部局域网骨干网络(W1-Ⅱ类)
分支机构局域网骨干网络(W1-Ⅲ类)
②方案二:
机构总部骨干网络(W2-Ⅰ类):含机构总部局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
分支机构骨干网络(W2-Ⅱ类):含本分支机构局域网骨干网络及下联一级分支机构(若有)的广域网骨干网络
信息系统安全等级保护定级建议
机构总部
分支机构
注:1.国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的一级分支机构如采取多个接入渠道开展业务从而降低对单个Y-Ⅲ类信息系统依赖,其Y-Ⅲ类信息系统可在分支机构信息系统安全等级保护建议表的基础上降低一级
2.仅在辖区内部署接入终端的分支机构,可不为其Y-Ⅲ类、W1-Ⅲ类或W2-Ⅱ类系统定级
六、交通运输行业标准
|——
交通运输行业定级标准:JT/T 904-2014《交通运输行业信息系统安全等级保护定级指南》
信息系统安全等级保护定级建议
业务管理类
行政办公类
综合平台类
基础支撑类
七、民航行业标准
|——
民航行业定级标准:MH/T 0069—2018 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准《民用航空网络安全等级保护定级指南》
各类民航网络与信息系统的典型实例
典型的空中交通管理类信息系统
典型的航务类信息系统
典型的机务类信息系统
典型的商务/旅客服务类信息系统
典型的机场生产运行类信息系统
典型的电子政务类信息系统
典型的通用管理类信息系统
民用航空网络与信息系统安全保护等级建议
空中交通管理类信息系统安全保护等级
航务类信息系统安全保护等级
机务类信息系统安全保护等级
商务/旅客服务类信息系统安全保护等级
机场生产运行类信息系统安全保护等级
电子政务类信息系统安全保护等级
注:对于机场的通用管理信息系统,调整年旅客吞吐量在200万人次以上为业务量较大,反之为业务量较小。对于航空公司的通用管理信息系统,年旅客运输量在200万人次以上为业务量较大,反之为业务量较小。
门户网站(不包含业务应用)类信息系统安全保护等级
其他情况
对于基础信息网络、云计算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,安全保护等级应不低于其承载的等级保护对象的安全保护等级;
对于大数据,应综合考虑数据规模、数据价值等因素,根据国标进行定级;
对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。
八、铁路行业标准
|——
铁路行业定级标准:Q/CR 853-2021 《铁路网络安全等级保护定级指南》
铁路业务重要性级别
非常重要业务:
①运输生产调度、控制和涉及行车安全的监控业务;
②直接影响国铁集团客货运生产和客户服务业务;
③存储和处理国铁集团重要数据的网络和系统;
④国铁集团非常重要的经营开发业务;
⑤服务于国铁集团的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;
⑥服务于工程建设中重大工程的关键系统和基础设施;
⑦其他经国铁集团确定为非常重要业务的。
重要业务:
①行车监测、检测、维护等辅助业务;
②客货运服务辅助管理系统;
③国铁集团及所属各单位、控股合资公司公文流转、日常办公、邮件处理等管理业务;
④国铁集团经营开发相关业务;
⑤服务于铁路局范围内的重要业务的基础设施,包括骨干通信网络、云平台、网络安全平台、数据中心等;
⑥服务于工程建设的重要系统和基础设施;
⑦其他经国铁集团确定为重要业务的。
一般业务包括:
①部署于非常重要、重要的业务;
②经国铁集团确定为一般业务的。
业务信息类别:
商业信息:关系国铁集团及所属各单位、控股合资公司的经济利益和竞争优势,涉及与科研、生产、经营相关的技术信息和经营信息;
工作信息:关系国铁集团及所属各单位、控股合资公司的公务活动和内部管理的事项,如文件类、信息类、政务类、专项业务类、内部管理类等与工作相关信息。
个人信息:以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种锡信息。
信息系统安全等级保护定级建议
业务信息
系统服务
九、报业行业标准
|——
报业定级标准:中国新闻技术工作者联合会-报业网络安全等级保护定级参考指南 V2.0
报业网络安全等级保护对象
报业网络安全等级保护定级参考
十、邮政行业标准
|——
邮政行业定级标准:YZ/T 0142-2015《邮政业信息系统安全等级保护定级指南》
邮政行业网络安全等级保护对象系统类别
邮政服务相关
快递服务相关
邮政管理相关
邮政行业网络安全等级保护定级参考
邮政服务相关
快递服务相关
邮政管理相关
十一、烟草行业标准
|——
烟草行业定级标准:YC/T 389-2011《烟草行业信息系统安全等级保护与信息安全事件的定级准则》
注:此标准状态虽已显示废止(国烟科〔2024〕90号 国家烟草专卖局关于废止《烟叶 自由燃烧性的测定方法》等25项行业标准的通知),但是未有新的定级行业标准发布,建议可做参考。
烟草行业系统划分
系统划分参照YC/Z 204-2006 《烟草行业信息化标准体系》中应用系统标准明细表。
烟草行业管理信息系统(电子政务)
烟草行业管理信息系统(电子商务)
烟草行业管理信息系统(卷烟生产经营决策管理)
烟草行业管理信息系统(其他)
烟草行业工/商企业管理信息系统
确定业务信息安全等级
业务信息类型
公开信息:
信息系统中对社会公众开放的信息,例如提供许可证申办的各种服务信息,包括申请表的下载或网上填写,许可证的申办情况查询,许可证受理、办理公告,许可证申办指南,人员招聘信息,相关法律、法规和政策性文件检索等信息;
内部信息:
信息系统中具有烟草行业内部使用的一般价值或需要进行一定保密程度的信息,例如用于国家局和直属单位核发许可证的内部审批,许可证办理数据的统计,零售许可证管理数据的上传汇总,申办流程控制与申办人员权限控制等信息;
重要信息:
信息系统中具有内部使用的重要价值或需要进行严格保密程度的信息,例如涉及行业政策、计划、人事信息、财务信息,行业生产经营中的重要数据信息及各单位自有自用的不适宜在行业传播的数据信息。
业务信息被破坏时的侵害程度
业务信息被破坏时的侵害程度分为一般损害、较大损害和严重损害,标准中给出了经济损失同损害程度的关系:
业务信息安全保护等级矩阵表
确定系统服务安全保护等级
系统服务范围影响
局部性影响:
系统遭到破坏后,只对直属单位以下(地市级公司、卷烟厂和生产点),国家烟草专卖局直属单位机关内部和国家局机关内部范围内的业务工作造成影响,不涉及其他单位或国家局对所属单位的管理工作;
区域性影响:
系统遭到破坏后,对国家局直属单位范围内的业务工作造成影响,不涉及与其他国家局直属单位有关联的各项工作;
全局性影响:
系统遭到破坏后,对国家局进行行业管理工作或国家局直属单位之间的相互关联工作造成影响;或因信息失密给全行业范围的业务和管理工作带来较大影响或造成社会不良影响。
系统服务被破坏时的侵害程度
系统服务安全保护等级矩阵表
等级确定
由业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
烟草行业工控系统相关
参考YC/T 580-2019 《烟草行业工业控制系统网络安全基线技术规范》。
工控系统分类
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...