旗云天下-二级信息安全等级保护服务费用-信息安全等级保护

等级保护工作有哪些规定动作?

等级保护工作遵循相关的法律法规，具备完善的政策流程支撑，有规定的流程动作。以下就是等级保护工作的基本流程

1.1 基本实施流程图

1.1.1 系统识别与定级

1. 确定定级对象：根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求确定信息系统的安全等级确定保护对象。

2. 初步确定等级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度，确定系统被破坏后受侵害的客体以及侵害对客体的侵害程度，综合判定侵害程度。初步确定系统的等级。

3. 评审：定级对象的运营、使用单位应组织信息安全和业务，信息安全等级保护，对初步定级结果的合理性进行评审，出具评审意见。

4. 主管部门审核：完成评审后，应将初步定级结果上报行业主管部门或上级主管部门进行审核。

5. 审核：将初步定级结果提交进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后终确定定级对象的安全保护等级。

如何理解等级保护2.0标准中的定级对象

对于工业控制系统，应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。对于云计算平台，则应区分为服务提供方与租户方，各自分别作为定级对象。

对于物联网，虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。采用移动互联技术的网络与物联网类似，应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。

为什么开展等级保护工作呢？

（一）法律规章要求：《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，二级信息安全等级保护服务费用，履行安全保护义务，如果拒不履行，将会受到相应处罚。

（二）行业要求：在金融、电力、广电、教育等行业，二级信息安全等级保护测评费用，主管单位明确要求从业机构的信息系统要开展等级保护工作。

（三）企业系统安全的需求：信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被黑的风险。