等保2.0时代丨我们应该如何定级？

5月13日，《信息安全技术网络安全等级保护基本要求》正式发布，在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新，标志着我国网络安全等级保护工作正式进入“2.0时代”，实施时间为2019年12月1日。

我们都知道，等保1.0和等保2.0的区别还是非常大的~

那么等保2.0时代是如何定级的呢？

确定定级对象

认识定级对象

等保2.0的定级对象包括传统信息系统、基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据平台。

例如：单位门户网站，用户计费管理系统，支付系统、OA系统、财务系统、运维管理系统、营销系统、客户管理系统、车载物联网、云上平台、大数据后台等等。

确定等级

等级保护对象

等级保护对象的级别由两个定级要素决定：

a) 受侵害的客体

b) 对客体的侵害程度

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

◆ 公民、法人和其他组织的合法权益

◆ 社会秩序、公共利益

◆ 国家安全

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

◆ 造成一般损害

◆ 造成严重损害

◆ 造成特别严重损害

定级对象安全等级

定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能会有不同，因此，安全保护等级也会由这两方面等级确定。

定级对象最终等级的确认是根据业务信息安全等级和系统服务安全等级，两者取其高者为最终等级。如下所示：

以下我们可以参考一下实际的定级案例

定级报告案例

《A医院信息系统安全等级保护定级报告》

一、A医院HIS系统描述

HIS系统是覆盖A医院所有业务和业务全过程的信息管理系统。为医院所属各部门提供患者诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力并满足授权用户的功能需求的平台。系统为由X台服务器、网络设备X台，有HIS系统应用前台、后台、门诊挂号客户端应用、门诊收费客户端应用、药品管理客户端应用、住院收费客户端应用、中间件应用等应用组成。HIS系统主要面向医院、医护人员、医院管理者、公共卫生机构、区域医疗卫生机构、卫生行政机关等用户。HIS系统是由B单位开发，C单位信息中心维护。

▼

HIS系统为A医院的定级对象，A医院对HIS系统具有信息安全保护责任，承担HIS系统安全责任的部门是信息中心。HIS系统部署在A医院D机房，没有互联网连接、外联单位和广域网连接，不存在互联网边界和与其他单位的边界。

二、A医院HIS系统安全保护等级的确定

（一）业务信息安全保护等级的确定

1、业务信息描述

系统存储着患者诊疗信息，如患者基本信息、患者诊断数据、药品信息、住院信息、统方信息等。

2、业务信息受到破坏时所侵害客体的确定

HIS系统中存储的信息涉及到大量患者信息，如果数据被泄露和篡改会对患者造成影响并可能造成一定社会影响，故信息受到破坏时侵害的客体是社会秩序和公众利益以及公民、法人和其他组织的合法权益。

3、信息受到破坏后对侵害客体的侵害程度的确定

A医院HIS系统如果数据被泄露和篡改，会对我院、就诊患者以及公共卫生行政主管部门的合法权益造成严重侵害，并有可能造成医疗安全事故的发生，对社会秩序和公共利益造成损害。故信息受到破坏后，会对法人和其他组织的合法权益造成特别严重损害，对社会秩序和公共利益造成损害造成严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定核心业务信息安全等级为三级。

（二）系统服务安全保护等级的确定

1、系统服务描述

A医院HIS系统的主要服务对象为医院、患者和医疗公共卫生主管机构，是覆盖A医院所有业务和业务全过程的信息管理系统。

2、系统服务受到破坏时所侵害客体的确定

系统承载着支持医院的行政管理与事务处理和对医院、患者和公共卫生进行信息化管理的业务，故系统服务受到破坏时侵害的客体是社会秩序和公众利益和公民、法人和其他组织的合法权益。

3、系统服务受到破坏后对侵害客体的侵害程度的确定

一旦系统瘫痪可能造成医院业务无法正常开展，患者无法及时就医，甚至有可能造成医疗安全事故的发生，对社会秩序和公共利益将造成损害。故系统服务受到破坏后，会对法人和其他组织的合法权益造成特别严重损害，对社会秩序和公共利益造成损害造成严重损害。

4、系统服务安全等级的确定

依据系统服务受到破坏时所侵害的客体以及侵害程度，确定系统服务安全等级为三级。

（三）安全保护等级的确定

鉴于A医院HIS系统的业务信息安全等级和系统服务安全等级均为三级，信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定HIS系统安全保护等级为第三级。

定级参考

以下也给出了教育行业高等院校各类信息系统的定级建议指导（其它行业也可以详细参考），资料仅供参考，具体定级情况还是以各单位实际情况为准。

更多网络安全资讯请关注“佛山电信网络服务专家”。

等保2.0时代丨我们应该如何定级？

你可能感兴趣的:(等保2.0时代丨我们应该如何定级？)