2019年5月13日，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》正式發(fā)布，在標(biāo)準(zhǔn)名稱、保護(hù)對象、章節(jié)結(jié)構(gòu)、控制措施等部分進(jìn)行了修改和更新，標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)工作正式進(jìn)入“2.0時(shí)代”，實(shí)施時(shí)間為2019年12月1日。我們都知道，等保1.0和等保2.0的區(qū)別還是非常大的~

　　- 那么等保2.0時(shí)代是如何定級的呢?-

　　確定定級對象

　　認(rèn)識定級對象

　　等保2.0的定級對象包括傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)和大數(shù)據(jù)平臺。

　　例如：單位門戶網(wǎng)站，用戶計(jì)費(fèi)管理系統(tǒng)，支付系統(tǒng)、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、運(yùn)維管理系統(tǒng)、營銷系統(tǒng)、客戶管理系統(tǒng)、車載物聯(lián)網(wǎng)、云上平臺、大數(shù)據(jù)后臺等等。

　　確定等級

　　等級保護(hù)對象

　　等級保護(hù)對象的級別由兩個(gè)定級要素決定：

　　a) 受侵害的客體

　　b) 對客體的侵害程度

　　等級保護(hù)對象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：

　　◆ 公民、法人和其他組織的合法權(quán)益

　　◆ 社會秩序、公共利益

　　◆ 國家安全

　　等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種：

　　◆ 造成一般損害

　　◆ 造成嚴(yán)重?fù)p害

　　◆ 造成特別嚴(yán)重?fù)p害

　　定級對象安全等級

　　定級對象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能會有不同，因此，安全保護(hù)等級也會由這兩方面等級確定。

　　定級對象最終等級的確認(rèn)是根據(jù)業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級，兩者取其高者為最終等級。如下所示：

　　以下我們可以參考一下實(shí)際的定級案例

　　定級報(bào)告案例

　　《A醫(yī)院信息系統(tǒng)安全等級保護(hù)定級報(bào)告》

　　一、A醫(yī)院HIS系統(tǒng)描述

　　HIS系統(tǒng)是覆蓋A醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過程的信息管理系統(tǒng)。為醫(yī)院所屬各部門提供患者診療信息和行政管理信息的收集、存儲、處理、提取和數(shù)據(jù)交換的能力并滿足授權(quán)用戶的功能需求的平臺。系統(tǒng)為由X臺服務(wù)器、網(wǎng)絡(luò)設(shè)備X臺，有HIS系統(tǒng)應(yīng)用前臺、后臺、門診掛號客戶端應(yīng)用、門診收費(fèi)客戶端應(yīng)用、藥品管理客戶端應(yīng)用、住院收費(fèi)客戶端應(yīng)用、中間件應(yīng)用等應(yīng)用組成。HIS系統(tǒng)主要面向醫(yī)院、醫(yī)護(hù)人員、醫(yī)院管理者、公共衛(wèi)生機(jī)構(gòu)、區(qū)域醫(yī)療衛(wèi)生機(jī)構(gòu)、衛(wèi)生行政機(jī)關(guān)等用戶。HIS系統(tǒng)是由B單位開發(fā)，C單位信息中心維護(hù)。

　　HIS系統(tǒng)為A醫(yī)院的定級對象，A醫(yī)院對HIS系統(tǒng)具有信息安全保護(hù)責(zé)任，承擔(dān)HIS系統(tǒng)安全責(zé)任的部門是信息中心。HIS系統(tǒng)部署在A醫(yī)院D機(jī)房，沒有互聯(lián)網(wǎng)連接、外聯(lián)單位和廣域網(wǎng)連接，不存在互聯(lián)網(wǎng)邊界和與其他單位的邊界。

　　二、A醫(yī)院HIS系統(tǒng)安全保護(hù)等級的確定

　　(一)業(yè)務(wù)信息安全保護(hù)等級的確定

　　1、業(yè)務(wù)信息描述

　　系統(tǒng)存儲著患者診療信息，如患者基本信息、患者診斷數(shù)據(jù)、藥品信息、住院信息、統(tǒng)方信息等。

　　2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定

　　HIS系統(tǒng)中存儲的信息涉及到大量患者信息，如果數(shù)據(jù)被泄露和篡改會對患者造成影響并可能造成一定社會影響，故信息受到破壞時(shí)侵害的客體是社會秩序和公眾利益以及公民、法人和其他組織的合法權(quán)益。

　　3、信息受到破壞后對侵害客體的侵害程度的確定

　　A醫(yī)院HIS系統(tǒng)如果數(shù)據(jù)被泄露和篡改，會對我院、就診患者以及公共衛(wèi)生行政主管部門的合法權(quán)益造成嚴(yán)重侵害，并有可能造成醫(yī)療安全事故的發(fā)生，對社會秩序和公共利益造成損害。故信息受到破壞后，會對法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，對社會秩序和公共利益造成損害造成嚴(yán)重?fù)p害。

　　4、業(yè)務(wù)信息安全等級的確定

　　依據(jù)信息受到破壞時(shí)所侵害的客體以及侵害程度，確定核心業(yè)務(wù)信息安全等級為三級。

　　(二)系統(tǒng)服務(wù)安全保護(hù)等級的確定

　　1、系統(tǒng)服務(wù)描述

　　A醫(yī)院HIS系統(tǒng)的主要服務(wù)對象為醫(yī)院、患者和醫(yī)療公共衛(wèi)生主管機(jī)構(gòu)，是覆蓋A醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過程的信息管理系統(tǒng)。

　　2、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定

　　系統(tǒng)承載著支持醫(yī)院的行政管理與事務(wù)處理和對醫(yī)院、患者和公共衛(wèi)生進(jìn)行信息化管理的業(yè)務(wù)，故系統(tǒng)服務(wù)受到破壞時(shí)侵害的客體是社會秩序和公眾利益和公民、法人和其他組織的合法權(quán)益。

　　3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定

　　一旦系統(tǒng)癱瘓可能造成醫(yī)院業(yè)務(wù)無法正常開展，患者無法及時(shí)就醫(yī)，甚至有可能造成醫(yī)療安全事故的發(fā)生，對社會秩序和公共利益將造成損害。故系統(tǒng)服務(wù)受到破壞后，會對法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，對社會秩序和公共利益造成損害造成嚴(yán)重?fù)p害。

　　4、系統(tǒng)服務(wù)安全等級的確定

　　依據(jù)系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體以及侵害程度，確定系統(tǒng)服務(wù)安全等級為三級。

　　(三)安全保護(hù)等級的確定

　　鑒于A醫(yī)院HIS系統(tǒng)的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級均為三級，信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定，最終確定HIS系統(tǒng)安全保護(hù)等級為第三級。

　　定級參考

　　以下也給出了教育行業(yè)高等院校各類信息系統(tǒng)的定級建議指導(dǎo)(其它行業(yè)也可以詳細(xì)參考)，資料僅供參考，具體定級情況還是以各單位實(shí)際情況為準(zhǔn)。

　　聲明：本文來自佛山電信網(wǎng)絡(luò)服務(wù)專家微信公眾號，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表本站立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系刪除。