信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。定级工作可以按照下列步骤进行。
按照《定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。
在全国重要信息系统安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象。
一是起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。
三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
例如,奥运网络主要包括,“奥组委办公外网”(承载自动化办公、场馆管理、电子邮件、物流、员工之家等16项业务)、“奥组委内部办公局域网”(承载着财务管理、人事管理等3项业务)、“奥运票务网”(票务网站和票务管理系统)、“奥运官方网站”(门户网站和后台数据处理系统)、“奥运互联网接入”、“竞赛网”等六个奥运信息系统。确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统、奥运官方网站和竞赛网为定级对象。
信息系统的安全保护等级由两个定级的要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统的安全保护等级是信息系统本身的客观自然属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法公益的危害程度为依据,确定信息系统的安全保护等级。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响,考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密等因素。既要防止个别单位版面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。
一是单位自建的信息系统(与上级单位无关),单位自主定级。二是跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。
需特别注意的是:同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级的重要行业的重要系统不能定为一、二级。
对于新建系统,信息系统运营使用单位在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。有关信息系统安全保护等级确定的具体办法和要求见1.3节。
信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后,为了保证定级合理、准确,可以聘请专家进行评审,并出具专家评审意见。
单位自建的信息系统(与上级单位无关),等级确定后,是否报上级主管部门审批,由各行业自行决定。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。
如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
公安机关收到信息系统运营使用单位备案材料后,应对信息系统定级的准确性进行审核。公安机关的审核是定级工作的最后一道防线,应予以高度重视,严格把关。信息系统定级基本准确的,公安机关颁发由公安部统一监制的《信息系统安全等级保护备案证明》(以下简称《备案证明》)。对于定级不准的,公安机关应向备案单位发整改通知,并建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。