等保2.0实战：定级与备案

作者丨一妹

出品丨等级保护测评

• 如何从复杂、庞大的信息系统中分解出定级对象

• 如何对各个系统进行合理的定级

• 不了解定级工作流程、难点和工作量

• 缺少专业技术人员的指导

• 不清楚提交哪些文档

• 网络信息系统定级咨询服务

• 分析最新的国家等级保护相关政策精神及要求；

• 分析客户的组织架构、业务要求、信息系统等特点，确定并分析定级对象；

• 综合以上信息，创建信息系统安全保护等级定级指南（可选服务）；

• 针对定级对象，基于定级指南协助系统负责人确定信息系统的等级，编写《定级报告》；

• 协助提交备案材料。

• 协助定级备案。

下面，为大家展示一下定级和备案材料（网上版本，仅作为参考）

一、XXX信息系统描述

    （一）业务信息安全保护等级的确定

    1、业务信息描述

    描述信息系统处理的主要业务信息等。

    2、业务信息受到破坏时所侵害客体的确定

    说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

    3、信息受到破坏后对侵害客体的侵害程度的确定。

    说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

    4、业务信息安全等级的确定

    依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

    （二）系统服务安全保护等级的确定

    1、系统服务描述

    描述信息系统的服务范围、服务对象等。

    2、系统服务受到破坏时所侵害客体的确定

    说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

    3、系统服务受到破坏后对侵害客体的侵害程度的确定

    说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

    （三）安全保护等级的确定

    信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。就是下面这个表：

注意：虽然等级由业务信息安全等级和系统服务安全等级较高者决定，但是业务信息安全等级和系统服务安全等级各自的级别对与测评强度是有影响的。

表一单位基本情况