2019年12月1日网络安全等级保护2.0国家标准的正式实施,标志着我国网络安全等级保护制度进入了全新时代。作为国家等级保护标准体系的核心标准之一的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(以下简称“定级指南”)于2020年4月28日发布,2020年11月1日正式实施。定级指南规定了非涉及国家秘密的等级保护对象的定级方法和流程,通过指导网络运营者合理划分定级对象和准确的确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定了良好的基础。
新版定级指南在等级保护1.0定级指南的基础上,对等级保护对象做了新的定义,增加了对云大物移工等场景的说明,修改了定级流程,以适应新形势下等级保护工作的需要,有力推动了等级保护工作的开展。
等级保护对象新的定义
在GB/T 22240-2008中,等级保护对象被定义为:“信息安全等级保护工作直接作用的具体信息和信息系统”,但这只是符合当时的技术发展状况和等级保护工作需求。近年来,随着云计算平台、物联网和工业控制系统等新形态的等级保护对象不断涌现,原定义内涵的局限性日益显现,无法全面覆盖当前的等级保护工作对象,需要进一步扩充和完善以适应当前工作的需要。
定级要素与安全保护等级新关系
依据安全保护等级的定义,定级应综合考虑“等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭受到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素”。因此本标准中明确等级保护对象的定级要素为两个,分别为“受侵害的客体”和“对客体的侵害程度”。
定级要素与安全保护等级的关系如下表所示。
(对“公民、法人和其他组织”权益遭到特别严重侵害时,确定的保护等级保持不变,依然为二级)
等级保护对象新特征
作为等级保护对象的网络应具有如下基本特征:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统在满足以上基本特征的基础上,需要满足以下要求。
特殊对象的定级说明
对于通信网络设施、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
对于数据资源,应综合考虑规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
定级新流程
对于新建网络、运营者应当依照等级保护相关法律法规要求和本标准,在规划设计阶段确定其安全保护等级;对于跨省或者全国统一联网运行的网络可以由行业主管(监管)部门统一组织定级工作。安全保护等级初步确定为第二级及以上的等级保护对象,其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核,最终确定其安全保护等级。
专家评审:定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,并出具专家评审意见 。
主管部门审批:定级对象的运营、使用单位应将初步定级结果定级结果报请行业主管(监管)部门核准,并出具核准意见。
公安机关审核:定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
2019年12月1日网络安全等级保护2.0国家标准的正式实施,标志着我国网络安全等级保护制度进入了全新时代。作为国家等级保护标准体系的核心标准之一的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(以下简称“定级指南”)于2020年4月28日发布,2020年11月1日正式实施。定级指南规定了非涉及国家秘密的等级保护对象的定级方法和流程,通过指导网络运营者合理划分定级对象和准确的确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定了良好的基础。
新版定级指南在等级保护1.0定级指南的基础上,对等级保护对象做了新的定义,增加了对云大物移工等场景的说明,修改了定级流程,以适应新形势下等级保护工作的需要,有力推动了等级保护工作的开展。
等级保护对象新的定义
在GB/T 22240-2008中,等级保护对象被定义为:“信息安全等级保护工作直接作用的具体信息和信息系统”,但这只是符合当时的技术发展状况和等级保护工作需求。近年来,随着云计算平台、物联网和工业控制系统等新形态的等级保护对象不断涌现,原定义内涵的局限性日益显现,无法全面覆盖当前的等级保护工作对象,需要进一步扩充和完善以适应当前工作的需要。
定级要素与安全保护等级新关系
依据安全保护等级的定义,定级应综合考虑“等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭受到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素”。因此本标准中明确等级保护对象的定级要素为两个,分别为“受侵害的客体”和“对客体的侵害程度”。
定级要素与安全保护等级的关系如下表所示。
(对“公民、法人和其他组织”权益遭到特别严重侵害时,确定的保护等级保持不变,依然为二级)
等级保护对象新特征
作为等级保护对象的网络应具有如下基本特征:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统在满足以上基本特征的基础上,需要满足以下要求。
特殊对象的定级说明
对于通信网络设施、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
对于数据资源,应综合考虑规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
定级新流程
对于新建网络、运营者应当依照等级保护相关法律法规要求和本标准,在规划设计阶段确定其安全保护等级;对于跨省或者全国统一联网运行的网络可以由行业主管(监管)部门统一组织定级工作。安全保护等级初步确定为第二级及以上的等级保护对象,其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核,最终确定其安全保护等级。
专家评审:定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,并出具专家评审意见 。
主管部门审批:定级对象的运营、使用单位应将初步定级结果定级结果报请行业主管(监管)部门核准,并出具核准意见。
公安机关审核:定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
- 上一篇:等保测评2.0:应用的数据完整性
- 下一篇:等保2.0安全管理中心要求解读