《信息安全技术网络安全等级保护基本要求》标志着通过标准名称、保护对象、肠道结构、控制措施等部分的修订和更新,我国网络安全等级保护工作正式进入“2.0时代”,并于2019年12月1日实施。众所周知,等报1.0和登报20的差异仍然很大~
等保2.0时代是如何分级的
确定评级对象了解评级对象
等保2.0等级对象是使用现有信息系统、基本信息网络、工业控制系统、云计算平台、物联网、移动互联技术的网络和大数据平台。例如:单位门户、用户报销管理系统、支付系统、OA系统、财务系统、运营和维护系统、营销系统、客户管理系统、车辆互联网、云平台、大数据后台等。
确定等级
等级保护对象
等级保护对象的等级由两个等级特征决定。
一)侵权对象
b)对对象的侵权程度
等级保护对象被破坏时被侵害的对象包括以下三个方面:
公民、法人和其他组织的合法权益、社会秩序,公共利益、国家安全
等级保护对象被破坏后对对象造成侵害的程度可归结为以下三点:
一般损害发生严重损害
造成特别严重的伤害
设置对象安全级别
等级对象的安全可能主要与业务信息安全和系统服务安全相关的侵权对象和对象的侵权程度不同,因此安全级别也由这两个级别决定。
等级对象的最终等级取决于业务信息安全级别和系统服务安全级别,两者中最高的为最终等级。下面是:
以下是实际的分级案例。
等级报告案例
《A医院信息系统安全等级保护定级报告》
一、医院他的系统说明
HIS系统是一个信息管理系统,涵盖A医院的所有业务和业务全过程。向医院所属部门提供患者诊疗信息和管理信息收集、存储、处理、提取和数据交换功能,并满足批准用户的功能要求的平台。系统由X台服务器、X台网络设备、HIS系统应用程序前台、后台、外来注册客户端应用程序、外来付费客户端应用程序、药品管理客户端应用程序、住院付费客户端应用程序、中间件应用程序等组成。HIS系统主要面向医院、医护人员、医院管理者、公共卫生组织、地区医疗卫生组织、保健行政机构等。
HS系统由B单位开发,由C单位信息中心维护。
HS系统是A医院的等级对象,A医院对HIS系统负有信息安全责任,承担IS系统安全责任的部门是信息中心。HIS系统部署在A医院D室,没有互联网连接、外部服务单位和广域网连接、互联网边界和与其他单位的边界。二、确定医院他的系统安全水平
(a)确定业务信息安全级别
1、业务信息说明
系统中存储着患者诊疗信息,如患者基本信息、患者诊断数据、药品信息、住院信息、痛房信息等。
2、业务信息受损时侵权对象的确定
HS系统中存储的信息包括大量患者信息,如果数据被泄露和篡改,可能会对患者产生影响和社会影响,因此,信息被破坏时,被侵害的对象是社会秩序和公共利益、公民、法人和其他组织的合法权益。
3.决定信息被破坏后对侵权对象的侵权程度
A医院HIS系统如果数据泄露和篡改,会对我们医院、诊疗患者、公共卫生行政主管部门的合法权益造成严重侵犯,引发医疗安全事故,损害社会秩序和公共利益。因此,如果信息受损,会对法人及其他组织的合法权益造成特别严重的损害,对社会秩序和公共利益造成严重的损害。
4、确定业务信息安全级别
根据信息被破坏时被侵害的对象和侵权程度,分三个阶段确定核心业务信息安全级别。
(b)确定系统服务安全级别
1、系统服务说明
A医院HIS系统的主要服务对象是医院、患者和医疗、公共卫生主管机构,是涵盖A医院所有业务和业务全过程的信息管理系统。
2、系统服务受损时被侵害对象的决定
系统负责支持医院的行政管理和事务,对医院、患者、公共卫生进行信息化管理,因此,系统服务被破坏时,被侵害的对象是社会秩序和公共利益,以及公民、法人和其他组织的合法权益。
3.系统服务受损后对象侵权程度的确定
如果系统瘫痪,医院工作可能无法正常进行,患者可能无法及时就医,甚至可能发生医疗安全事故,损害社会秩序和公共利益。
因此,如果系统服务被破坏,会对法人及其他组织的合法权益造成特别严重的损害,对社会秩序和公共利益造成严重的损害。
4、确定系统服务安全级别
系统服务受损时,根据侵权对象和侵权程度,分三个阶段确定系统服务安全级别。
(c)确定安全级别
A医院HIS系统的业务信息安全级别和系统服务安全级别均为三级,因此信息系统的安全级别由业务信息安全级别和系统服务安全级别较高的人来决定,HIS系统安全级别最终决定为三级。
请参阅等级
下面对教育行业高校的各种信息系统提出等级建议指导(其他行业也可以详细参考),资料仅供参考,具体等级情况还是以各单位的实际情况为准。
收藏
400-668-6638
取消收藏