定级

在等级保护中，定级这个步骤很关键，首先我们需要知道我们这个资产是什么样的一个级别，一级二级三级，因为不同的级别表示着我们要对这个资产做相应的保护，那么我们这个定级是怎么么定级呢，参考的又是什么标准呢，首先我们需要先确认定级对象，这个对象定几级主要是与这个资产的重要程度有关系的，越重要的资产肯定级别就越高，比如我自己在家里搭的一个web网站，和外面企业公司的服务器，那肯定资产越重要，那个重要程度就越高，等级就越高，

我们评定一个资产的等级的时候我们一般是有两个维度的，第一是受侵害的对象，第二是受侵害对象的侵害程度，而受侵害的对象也有三个维度，第一公民、法人和其他组织的合法权益，第二社会秩序公共的利益、第三国家安全，就是看我们这个资产被窃取了或着是破坏了，它影响到了什么人，影响到公民还是影响到了国家，然后影响的程度是多少。

这边我举两个例子，假如是教育系统的信息泄露，把高考学生的考试成绩以及姓名电话泄露出去了，然后售卖给了一些网络诈骗机构，而这些诈骗机构机就会做一些危害的工作，因为这个潜在的威胁是特别严重的所以也会上升一定的级别，所以教务系统大都是三级等保建设，又比如12306系统down机了，大概两三个小时或者更久的时间没办法网上购票，这有可能导致上千万人没办法买票，造成社会动荡。

如果受侵害的客体上升到国家层面上了，那一般损害上三级，严重损害是四级，特别严重是五级，就比如12306我们能够基本判断出是危害到了国家安全的，但是严重程度是多少呢，

等保里面安全厂商是不能同时作为作为测评工程师，以上是定级的一个标准，但是标准之上还是有很多经验的，可能我们评定3级但是它可能会拔高到4级，这个是需要专业人员进行定级的，我们在定级里面有一个专家评审的东西，安全厂商可以对客户的系统做分析，大概的评定出一个基础的级别，然后再定级之后，还是需要先通过专家进行评审的，然后做好这个定级

我们要进行定级的时候先站在两个维度，业务信息安全类和系统服务保证类，然后在判断当信息泄露或是系统崩溃后，所影响到的对象是公民、公共利益还是国家，最后再通过对侵害对象的一个侵害程度进行一个判断，确定初步的安全保护等级

假如一份资产的业务信息受到破坏后定为3级那么可以记为S3，系统服务安全受到破坏后定为4级，那么就是A4，合起来就是S3A4，为等保4级建设。

等级划分及测评时间

一级建设和二级建设的对象为一般系统，三级和四级的对象是重要系统，第五级的对象为极端重要系统

等保一级到五级的监管程度分别为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级

等级测评第五级的系统都是由国家保密局进行指导建设，依据特殊安全需求进行等级测评

一级对测评时间无要求，二级建议两年做一次等级测评，三级、四级分别是一年和半年必须做一次等级测评。