在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是
- 第一级(自主保护级)
- 第二级(指导保护级)
- 第三级(监督保护级)
- 第四级(强制保护级)
- 第五级(专控保护级)
一至五级等级逐级增高。
虽然等保分为五个级别,但实现项目落地的都是二、三和四级。
最低的一级单位作为建议,也是可以自行备案,但是作用不大。
最高的等保五级信息系统受到破坏后,会对国家安全造成特别严重损害,这类系统一般都涉及国家秘密,等级保护体系无法担此重任,所以也不会用。
现阶段普遍需要第三方测评机构测评的是第二级和第三级。
县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;
省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
当然在这里我也提出一点:现在一些地区区县虽然行政是区县,但是实际经济总量和人口已经远远大于中西部一些地级市,所以我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死搬硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统就得定到三级。
如果行业有要求就按照行业要求来,这样办事省心省力。
总结成一句话就是:信息系统涉及到工作秘密、敏感信息的,信息泄露出去或者被非法篡改、破坏后造成比较大的影响的系统,建议定到三级,其他系统定到二级。当然涉及到国家安全的特别是全国性的系统要定四级。