等级保护定级及专家评审注意事项

　　导读：等保2.0已经正式实施了已经有好几个月，在等保2.0定级指南中专家评审是一个重要环节，不再是建议开展了，而是作为一个流程环节出现。那么，在开展等级保护定级工作是该注意什么内容，专家评审可以起到什么作用呢？

　　等保2.0已经正式实施了一个多月，全国各地逐步按照等保2.0的要求，对信息系统的定级组织专家评审。

　　根据《网络安全法》要求，国家实行网络安全等级保护制度，也就是给予了网络安全等级保护的法律地位。根据《网络安全等级保护条例》要求网络运营者应当依法开展网络定级备案，也就意味着网络运营者所有的系统都要定级备案(一级系统不需要到公安机关备案)，系统保护等级一共有五级，最低为一级，所以，任何系统理论上最少也是一级，没有0级，不管是几级，哪怕是一级，也要开展定级工作，这是网络运营者的责任义务，根据等保2.0规定，除家庭及个人自建的网络除外，已经涵盖所有的系统，所以一级的系统也应该定级。根据GB/T22239—2019《信息安全技术 网络安全等级保护基本要求》对一级系统的要求中描述：应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。那么专家评审后认定的一级系统更具有说服力。

　　定级备案流程：根据网络安全等级保护条例要求为：确定定级对象--->初步确定等级--->专家评审--->主管部门核准--->公安机关备案审核--->最终确定的等级。

　　解释如下：各单位应该首先自己确定定级对象，对自己单位的所有系统进行一个梳理，对每一个系统进行一个初步预定级，如果认为该系统应该为二级以上，应该进行专家评审，但是很多单位对于自己单位的系统的重要程度，被破坏后的危害认识存在很多主观因素，或者认识不够，因此建议所有的系统都应该做专家评审，否则某个单位系统假如说有几十个，主观认为都是一级，那就进行不到专家评审这一环节了，违背了定级的思想了，所以，个人觉得在专家评审时，应该对所有系统进行定级评审。避免出现二级(含二级)以上系统没有定级备案的情况，避免因为信息系统没有定级备案而被违法处罚。专家评审后有主管部门的报主管部门审核，审核后出具定级审批意见后，报给公安机关备案审查，公安机关属于终审，如果公安机关认为仍然定级不准备，则重新调整回到第一步。公安机关审核通过后，最终确定等级，出具备案证明。

　　这里面有个小问题需要注意，各个行业有各个行业的标准，比如电力，金融，航空，医疗等，但是所有的标准必须遵从网络安全等级保护的标准，除非行业标准高于等保标准。等保条例属于上位标准。即便是行业标准高于等保标准，公安机关也是按照等保标准而不是行业标准去执法。

　　重回定级备案中的定级问题，有一些单位为了避免或者躲避测评问题，或者为了某些目的，故意将系统的级别调低或者调高。一些资金充裕的单位愿意把系统级别定的很高，资金不充裕的单位，想定低一些，造成了定级不准确。公安部也是看到这种现象，所以在等保2.0中明确规定了，所有拟定为2级以上(包括2级)的系统都要经过专家评审。这在一定程度上能很好的控制定级的准确性问题。

　　但是即使是这样，仍然会遇到一些问题，本应二级的系统，故意定为一级。比如说有一些国企或者事业单位说，我们的网站什么功能也没有，就是一个展示宣传，我们认为够不上二级，先看一级，二级怎么定义的。

　　(一)第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

　　(二)第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

　　一级系统中仅仅是对公民、法人和其他组织的合法权益造成损害，不涉及社会秩序和公共利益。二级系统涉及到了社会秩序和公共利益，而且只需造成一般损害就可以定为二级。那么一些国企事业单位开设网站的目的就是为了公开信息，对外宣传，服务公众，方便公众使用公共设施等。如果这样的网站被篡改或者访问不了，就等于侵害了公共利益，根据定级指南：侵害公共利益的事项包括：1.影响社会成员使用公共设施。2.影响社会成员获取公开信息资源。3.影响社会成员接受公共服务等方面。4.其他影响公共利益的事项。如果说某些权威单位网站被篡改，比如说上市公司、国企，网站上的新闻动态可能直接影响股价。或者某些信息公开不能被社会成员获取，或者某些单位网站被篡改可能直接导致影响正常生活秩序，比如说预警发布自然灾害信息被恶意发布，可能会造成整个社会的恐慌，动乱，对于这样单位的网站，即使被定为三级也不为过。

　　此外，系统定级，还要从多个角度去分析，比如单位职能，单位信誉，人身安全等方面对本单位、对社会造成的影响以及影响范围。单位对系统的依赖关系，依赖程度，影响程度。比如数据泄露后导致的人生生命财产安全，产生严重的法律问题等。

　　专家评审注意问题：

　　1.专家评审的时候，不是审查备案表和定级报告的瑕疵，文件的毛病，不是看系统的安全性，看系统是否缺少了什么安全防护设备。

　　2.专家的主要职责是根据系统的重要程度，根据系统被破坏后产生的影响后果去确定系统的级别，这才是专家评审的意义。其实系统定级是一件比较难，也非常重要的工作。系统级别确定后，系统就要按照这个标准去建设，去防护。

　　3.专家评审时，应该对系统的边界划分清楚。有些单位习惯把一些系统合并成为一个系统，专家应该审核这种合并的合理性。

　　4.在评审表中应该考虑系统服务安全和系统业务安全，并认清对应的级别。

　　5.在评审时，很多单位会把所有的系统都拿出来评审，对于认定为一级的系统也应该在专家评审意见中写明原因。不能只写二级以上的评审意见。

　　系统定级仍然可以参考公安部2007年7月下发的《等级保护实施主要技术环节说明》。

　　作为定级对象的信息系统应具有如下基本特征：

　　a) 具有确定的主要安全责任主体;

　　b) 承载相对独立的业务应用;

　　c) 包含相互关联的多个资源。

　　注1：主要安全责任主体包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织;

　　注2：避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。

　　等保定级中的侵害的客体为国家安全、社会秩序和公共利益、公民、法人和其他组织的合法权益。

　　国家安全一般指：

　　重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统;广播、电视、网络等重要新闻媒体的发布或播出系统，如果受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;处理国家对外活动信息的信息系统;处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦察系统;尖端科技领域得研发、生产系统等影响国家经济竞争力和科技实力得信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。

　　社会秩序：

　　借助信息化手段提高国家机关的社会管理和公共服务水平，提高经济活动效率，更方便地从事科研、生产、生活活动是维护社会秩序的表现。

　　各级政府政府机构的社会管理和公共服务系统：如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。

　　公共利益：

　　公共利益包括的范围非常广，可以是经济利益，也可能是包括教育、卫生、环境等各个方面的利益。

　　借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行管理控制都应当是要考虑的方面。比如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。

　　公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。

　　公民、法人和其他组织的合法权益：

　　指的是拥有信息系统的个体或确定组织所享有的社会权力和利益。

　　损害程度：

　　对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。

　　等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

　　a) 造成一般损害;

　　b) 造成严重损害;

　　c) 造成特别严重损害。

　　侵害程度是客观方面的不同外在表现的综合体现，因此，首先根据不同的受侵害客体、不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同，例如，系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

　　在针对不同的受侵害客体进行侵害程度的判断时，参照以下不同的判别基准：

　　——如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准;

　　——如果受侵害客体是社会秩序、公共利益或国家安全，则以整个行业或国家的总体利益作为判断侵害程度的基准。

　　不同侵害后果的三种侵害程度描述如下：

　　1.一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害;

　　2.严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较高损害;

　　3.特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常高损害。

　　对客体的侵害程度由对不同侵害结果的侵害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同，业务信息安全和系统服务安全受到破坏后关注的侵害结果、侵害程度的计算方式均可能不同，各行业可根据本行业业务信息和系统服务特点制定侵害程度的综合评定方法，并给出一般损害、严重损害、特别严重损害的具体定义。

　　影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。

　　导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经济行业关注股民数和交易额。

　　引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。

　　导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。

　　直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。

　　造成社会不良影响，包括在社会风气、执政信心等方面的影响。

　　转载自聊城市网络空间安全协会，转载仅供信息传递，不代表万方安全社区立场，版权归原作者所有。

　　温馨提醒：等保定级及专家评审，请在当地相关部门指引下开展，上述文章仅仅是一家之说，仅供参考，请勿作为标准。