下文列举了网络安全等级保护定级相关标准,章节包括:
一、国家标准;二、行业标准-教育行业;三、行业标准-广电行业;四、行业标准-电力行业;五、行业标准-卫生行业;六、行业标准-金融行业;七、行业标准-交通运输行业;八、行业标准-民航;九、行业标准-铁路行业;十、行业标准-报业。
内容较多,诸位各取所需,后续有新发现的持续补充。
一、国家标准
国家标准:GB/T 22240-2020《 信息安全技术 网络安全等级保护定级指南》,以下简称“定级指南”。1.1定级要素:
①受侵害的客体;客体包括:公民、法人和其他组织的合法权益;社会秩序、公众利益;国家安全。②对客体的侵害程度;侵害程度包括:一般损害;严重损害;特别严重损害。
1.2定级要素与安全保护等级的关系:
|
受侵害的客体 |
对客体的侵害程度 |
||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 |
第一级 |
第二级 | 第二级 |
| 社会秩序、公众利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
1.3定级流程:
第一步:确定定级对象;也就是本次需要定级的系统名称,例如门户网站系统、xxx管理平台、电力监控系统、主机DCS系统、财务系统、OA系统、专网系统等。定级对象的基本特征包括:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。第二步:初步确定等级;责任主体单位及责任主体部门或第三方技术人员,依照定级指南拟定等级。
第三步:专家评审;邀请具备资质的专家对初步拟定的定级对象等级进行评审,一般专家包括政府专家库中网络安全专家、网络安全等级保护测评机构高级测评师、网安专家库中登记备案的专家、责任主体单位具备高级职称的技术专家等,具体的按照当地的要求开展专家评审即可。
第四步:主管部门核准;若具备上级主管部门,则需拟上级主管部门审批意见经主管部门盖章确认。一般审批意见由上级主管部门出具,内容大致为你单位xxx系统定级资料已收悉,同意将xxx系统定为x级,在定级基础上做好网络安全等级保护工作。
第五步:备案审核;按照当地网安要求,准备备案资料提交网安审核。
1.4定级方法:
①从业务信息安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据“定级要素与安全保护等级的关系表”,对业务信息安全保护等级进行确定;②从系统服务安全被破坏时所侵害的客体以及对客体的侵害程度着手,依据”定级要素与安全保护等级的关系表“,对系统服务安全保护等级进行确定;
③最终确定定级对象的安全保护等级(由业务信息安全保护等级和系统服务安全保护等级的较高者决定。)
