网上虽然有很多关于定级备案的文章,但是基本都是纯理论,跟实践中差别较大,因此,本文将从实践中介绍定级流程,希望能为各位定级过程中提供启发。
定级依据
定级依据这个就很简答,目前主要就是一个标准:
GB/T22240-2020《信息安全技术 信息系统安全保护等级定级指南》
有需要的可以留下邮箱,到时候通过邮箱发送。
这个标准相对GB/T22240-2008《信息安全技术 信息系统安全保护等级定级指南》,笔者认为区别主要有以下两个方面:
1、定级对象更灵活
原先定级对象仅为信息系统,这里的信息系统通俗的来说,包括服务器、客户端、应用软件、涉及的网络机房基础环境,在最新的定级指南中,新增了云计算、物联网、大数据、工业控制系统和移动互联的场景,因此定级对象也更加丰富和灵活了,以云计算为例,云计算包括IaaSPaaSSaaS三中服务模式,这3种服务模式可以单独定级。云计算服务对象也包括云平台和云租户,其中云平台可以把云计算管理平台作为单独的定级对象,系统名称可以是XX云计算管理平台,该信息系统所包含涉及的硬件服务器、云计算管理平台应用如vcenter、openstack等,还包括网络和机房部分,同时大型的云平台,还可以将辅助系统或基础设施单独定级,比如有个云平台服务商,可能有多个个机房,机房和网络基础设施作为云计算管理平台的基础设施也可以单独定级,测评标准采用通用要求测评即可,还有一种情况,就是大型的云平台可能有很多非云管理平台的业务系统,比如身份认证系统、工单管理系统等,那么这个也可以单独拿出来定级,也是采用通用标准测评。同时以往银行的骨干网络因为只有网络设备、机房和管理制度,因此,银行的骨干网络可以作为基础设施单独定级。大数据方面,大数据平台需要单独定级,不能和业务应用平台混合定级。
2、定级流程更复杂
原来定级只需要自主定级即可,现在原则上都需要自主定级、专家评审、上级主管部门核准、公安审核,流程增加导致费用和时间都会相应的增加许多。值得注意的一点是,如果是企业等没有上级主管部门的单位可以不需要上级主管部门审核,但是需要跟网安沟通清楚,可能还会补充相关说明并盖章。
定级流程
按照定级指南的要求,一共分为五级,标准的通用定级流程也不多说了,这个我就不说了。一般常见的主要是二级和三级。下面主要对定级常见的问题进行解读:
1、上级定级文件能否作为自主初步定级依据?
可以,上级主管部门或行业部门发布的相关定级的通知、文件可以作为定级依据。比如卫生、烟草、人行等行业已经发布了行业定级文件,优先按照上级要求定级。如果有相关文件,可以免去上级主管部门审核这一步。若无上级主管部门或行业部门的定级文件,则按照定级指南文件来定级。
2、业务信息安全保护等级和系统服务安全保护等级的区别。
两者是不同的,为了方便理解,信息安全理论第一门理论课实际上就有保密性(S)、可用性(A)、完整性(G)3种需求或者属性,大家可以看作如下:
业务信息=保密性、完整性
系统服务=可用性
可能大家会有疑惑,有没有可能业务信息安全保护等级和系统服务安全保护等级不同呢?其实是有的,举个小栗子:XX水情测报系统,这个系统主要功能是采集河流、江河、湖泊、水库等水域的雨量和水位的。这个系统的主要的业务信息就是雨量数据和水位数据,这个数据一般来说是对完整性有较高的要求,主要表现为雨量数据、水位数据不能被篡改,一旦篡改,可能引起洪涝,但是对可用性需求实际并不高,偶尔中断几分钟甚至几十分钟都不会有太大影响,保密性则完全没有需求。那么该系统的业务信息保护等级可能是第三级,但是系统服务安全保护等级可能是第二级。再举个小栗子,比如XX铁路局的客运专线运营调度系统,该系统主要是给客运专线的车辆下达行车指令,对可用性需求很高,但在保密性和完整性方面需求则较低,因此,该系统的业务信息安全保护等级可能为第三级,但是系统服务安全保护等级可能为第四级。
最后说一句,如果业务信息安全保护等级和系统服务安全保护等级不同的话,以两者较高者为准,所以测评过程中有时候会出现XX系统的安全保护等级是S3A2G2等情况。
3、专家评审会是否必须是外部专家,一般需要哪些人?
通常来说,专家评审会的专家必须包含外部专家,且内部专家的最多不超过1/3,一般情况下,外部专家包括网安、大学教师、上级主管部门或同级其它单位的信息化部门负责人,邀请网安参与是为了后面的备案审核工作避免被卡,评审人一般至少3人,评审会需要自行准备PPT介绍系统基本情况之类。评审完后需要评审费和签评审意见,整个过程一般1-2小时。
4、能否请测评机构代办?
可以,但是即便测评机构代办,定级责任主体仍然是自己,代办出现任何问题网安仍然追究自己的责任,所以条件允许下,建议自行组织评审。
总结
系统定级是等级保护首要环节,也是最重要的环节,新的标准下,定级错误很容易造成后面的备案、测评工作出现问题,所以一定要重视定级环节,要充分的了解定级对象的业务功能和信息需求。
网上虽然有很多关于定级备案的文章,但是基本都是纯理论,跟实践中差别较大,因此,本文将从实践中介绍定级流程,希望能为各位定级过程中提供启发。
定级依据
定级依据这个就很简答,目前主要就是一个标准:
GB/T22240-2020《信息安全技术 信息系统安全保护等级定级指南》
有需要的可以留下邮箱,到时候通过邮箱发送。
这个标准相对GB/T22240-2008《信息安全技术 信息系统安全保护等级定级指南》,笔者认为区别主要有以下两个方面:
1、定级对象更灵活
原先定级对象仅为信息系统,这里的信息系统通俗的来说,包括服务器、客户端、应用软件、涉及的网络机房基础环境,在最新的定级指南中,新增了云计算、物联网、大数据、工业控制系统和移动互联的场景,因此定级对象也更加丰富和灵活了,以云计算为例,云计算包括IaaSPaaSSaaS三中服务模式,这3种服务模式可以单独定级。云计算服务对象也包括云平台和云租户,其中云平台可以把云计算管理平台作为单独的定级对象,系统名称可以是XX云计算管理平台,该信息系统所包含涉及的硬件服务器、云计算管理平台应用如vcenter、openstack等,还包括网络和机房部分,同时大型的云平台,还可以将辅助系统或基础设施单独定级,比如有个云平台服务商,可能有多个个机房,机房和网络基础设施作为云计算管理平台的基础设施也可以单独定级,测评标准采用通用要求测评即可,还有一种情况,就是大型的云平台可能有很多非云管理平台的业务系统,比如身份认证系统、工单管理系统等,那么这个也可以单独拿出来定级,也是采用通用标准测评。同时以往银行的骨干网络因为只有网络设备、机房和管理制度,因此,银行的骨干网络可以作为基础设施单独定级。大数据方面,大数据平台需要单独定级,不能和业务应用平台混合定级。
2、定级流程更复杂
原来定级只需要自主定级即可,现在原则上都需要自主定级、专家评审、上级主管部门核准、公安审核,流程增加导致费用和时间都会相应的增加许多。值得注意的一点是,如果是企业等没有上级主管部门的单位可以不需要上级主管部门审核,但是需要跟网安沟通清楚,可能还会补充相关说明并盖章。
定级流程
按照定级指南的要求,一共分为五级,标准的通用定级流程也不多说了,这个我就不说了。一般常见的主要是二级和三级。下面主要对定级常见的问题进行解读:
1、上级定级文件能否作为自主初步定级依据?
可以,上级主管部门或行业部门发布的相关定级的通知、文件可以作为定级依据。比如卫生、烟草、人行等行业已经发布了行业定级文件,优先按照上级要求定级。如果有相关文件,可以免去上级主管部门审核这一步。若无上级主管部门或行业部门的定级文件,则按照定级指南文件来定级。
2、业务信息安全保护等级和系统服务安全保护等级的区别。
两者是不同的,为了方便理解,信息安全理论第一门理论课实际上就有保密性(S)、可用性(A)、完整性(G)3种需求或者属性,大家可以看作如下:
业务信息=保密性、完整性
系统服务=可用性
可能大家会有疑惑,有没有可能业务信息安全保护等级和系统服务安全保护等级不同呢?其实是有的,举个小栗子:XX水情测报系统,这个系统主要功能是采集河流、江河、湖泊、水库等水域的雨量和水位的。这个系统的主要的业务信息就是雨量数据和水位数据,这个数据一般来说是对完整性有较高的要求,主要表现为雨量数据、水位数据不能被篡改,一旦篡改,可能引起洪涝,但是对可用性需求实际并不高,偶尔中断几分钟甚至几十分钟都不会有太大影响,保密性则完全没有需求。那么该系统的业务信息保护等级可能是第三级,但是系统服务安全保护等级可能是第二级。再举个小栗子,比如XX铁路局的客运专线运营调度系统,该系统主要是给客运专线的车辆下达行车指令,对可用性需求很高,但在保密性和完整性方面需求则较低,因此,该系统的业务信息安全保护等级可能为第三级,但是系统服务安全保护等级可能为第四级。
最后说一句,如果业务信息安全保护等级和系统服务安全保护等级不同的话,以两者较高者为准,所以测评过程中有时候会出现XX系统的安全保护等级是S3A2G2等情况。
3、专家评审会是否必须是外部专家,一般需要哪些人?
通常来说,专家评审会的专家必须包含外部专家,且内部专家的最多不超过1/3,一般情况下,外部专家包括网安、大学教师、上级主管部门或同级其它单位的信息化部门负责人,邀请网安参与是为了后面的备案审核工作避免被卡,评审人一般至少3人,评审会需要自行准备PPT介绍系统基本情况之类。评审完后需要评审费和签评审意见,整个过程一般1-2小时。
4、能否请测评机构代办?
可以,但是即便测评机构代办,定级责任主体仍然是自己,代办出现任何问题网安仍然追究自己的责任,所以条件允许下,建议自行组织评审。
总结
系统定级是等级保护首要环节,也是最重要的环节,新的标准下,定级错误很容易造成后面的备案、测评工作出现问题,所以一定要重视定级环节,要充分的了解定级对象的业务功能和信息需求。
- 上一篇:等保测评师角度浅谈等保2.0
- 下一篇:无