详解等保2.0定级指南

等保2.0如何定级？

安全保护等级

根据等级保护相关管理文件，等级保护对象的安全保护等级分为以下五级：

1. 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
2. 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
3. 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
4. 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
5. 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

定级要素

等级保护对象的级别由两个定级要素决定：

1. 受侵害的客体；
2. 对客体的侵害程度。

受侵害的客体分为三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。
对客体的侵害程度分为三种程度：造成一般损害； 造成严重损害；造成特别严重损害。

定级对象

• 基础信息网络：对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。
• 工业控制系统：工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成。现场设备层、现场控制层和过程监控层应作为一个整体对象定级，各层次要素不单独定级。对于大型工业控制系统，可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
• 云计算平台：在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
• 大数据：应将具有统一安全责任单位的大数据作为一个整体对象定级，或将其与责任主体相同的相关支撑平台统一定级
• 物联网：物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层等要素。
• 采用移动互联技术的信息系统：采用移动互联技术的等级保护对象应作为一个整体对象定级，主要包括移动终端、移动应用、无线网络以及相关应用系统等。

简述：除基础信息网络外，工控+云大物移是等保2.0新增对象。

定级流程

• 专家评审就是指：定级对象的运营、使用单位组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。
• 主管部门审核是指：定级对象的运营、使用单位应初步定级结果上报行业主管部门或上级主管部门进行审核。
• 公安机关备案审查是指：定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。

注:当等级保护对象所处理的信息、业务状态和系统服务范围发生变化，可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时，应根据等保2.0标准要求重新确定定级对象和安全保护等级。