時代新威專業等級保護測評機構為您解讀：2020年最新《定級指南》

時代新威專業等級保護測評機構為您解讀：2020年最新《定級指南》

新版《GB/T 22240-2020 資訊保安技術 網路安全等級保護定級指南》正式釋出，新的國標將於2020年11月1日正式實施，有哪些需要注意到的改變？

一、等級保護物件範圍擴大了

等保保護定級物件主要包括：資訊系統、通訊網路設施和資料資源等；資訊系統就是我們在1.0時候的定級物件，指的是各類資訊系統；通訊網路設施指的是為資訊流通、網路執行等起基礎支撐作用的網路裝置設施，主要包括電信網、廣播電視傳輸網和行業或單位的專用通訊網等，所以大家得注意了自己單位的專網得定級，特別是承載了重要資訊系統或者專網規模較大的網路；資料資源指的是具有或預期具有價值的資料集合，資料資源主要是擁有大量各類有價值的資料，那麼這些單位需要保護好這些資料資源，自然需要對該資料資源進行定級，我們可以想象的這類資料有：人社資料、醫保資料、公積金資料、個人財產資料（銀行、房產、保險等）等資訊；這裡注意一點：當安全責任主體相同時，大資料、大資料平臺/系統宜作為一個整體物件定級；當安全責任主體不同時，大資料應獨立定級；涉及到大量公民個人資訊以及為公民提供公共服務的大資料平臺/系統，原則上其安全保護等級不低於三級；不是所有的這類資料都需要獨立去定級，日常中主要存在資料進行集中化後的場景，例如一些地方的大資料局或者政務中心將各行業的一些資料要過來後進行相關應用或使用時應當對這些資料進行獨立定級。

公民、法人和其他組織最高依然為二級。當公民、法人和其他組織的合法權益造成特別嚴重損害時依然定為二級。

根據2.0的定級指南中定級要數與安全保護等級的關係表我們發現當公民、法人和其他組織的合法權益造成特別嚴重損害時依然為二級，這塊在徵求意見稿中是第三級，前段時間一個培訓會議上看到有主管部門將這裡寫為第三級，需要大家注意並修正。

二、等保定級需要進行專家評審

等保2.0的定級指南中定級工作一般流程如下圖：

020年最新發布《網路安全等級保護定級指南》專業解讀"

從圖中可以看到，定級需要進行專家評審，那麼至此等保定級再也不是1.0的自主定級了，而是需要規範進行定級。對於初步確定為第一級的等級保護物件，可不進行專家家評審、主管部門核准和備案稽核，所以一級系統不需要去公安網安部門進行備案，但是這裡時代新威需要提醒的是哪些是一級系統，通俗點說就是這個系統哪怕是壞了對別人的影響都非常小的系統才是一級系統。定一級前，你們對照自己的系統看看是不是這樣的，但凡不是這樣的，那麼你的系統肯定是二級起步了。那麼安全保護等級初步確定為第二級及以上的等級保護物件，就需要組織專家評審、主管部門核准和備案稽核，最終確定其安全等級。對於有主管部門的就去主管部門進行核准，沒有主管部門的可以忽略，這裡的主管部門需要明確的是上級行業主管部門而非地方上管理部門。主管部門核准在實踐中時代新威建議大家根據實際情況靈活開展。為什麼這樣說，因為有的時候備案單位上級主管部門不清不楚或者你以為的主管部門他們不認為是你們的主管部門，實際工作中普遍存在：理論上的行業上級主管部門不是非常垂直的上下級管理關係，對下級單位即不管錢也不管人，平時工作上聯絡也不夠緊密，如果這時還非要求上級行業主管部門進行審批，可能這個事就走不下去。

專家評審如何開展？

專家評審如何開展是等保2.0定級一個繞不開的問題。哪些是專家？誰來認定這些專家？這個在定級指南里沒有說明，也不好說明，那麼大家在實際開展工作中也是各不相同，比如北京要求有測評師參與評審，有些地方自己組織認定了一批評審專家，有些地方套用政府採購評審專家，有些地方也沒有明確專家大家自由選擇。

那麼哪些人對等保定級工作了解呢？

第一、公安網安主管部門工作人員，他們從事這項工作，每年對大量新系統進行了定級稽核，他們自然對等保定級工作了解，他們可以當專家，有些人會認為不能自己既當專家又進行最終稽核，一般情況下為了避嫌，是異地網安人員參與評審；

第二、測評機構持證工作人員，他們長年在一線進行等保工作，他們接觸了很多系統，對標準對系統情況比較熟悉，他們適合當等保定級專家，這裡一哥建議測評機構的評審專家資質應為：中、高階測評師，他們的工作經驗相對初級測評師來說較為豐富；

第三、相關網路安全專家，這裡就比較廣泛，比如各個單位資訊中心或者網路安全的負責人，行業主管部門負責網路安全的人員，高校負責網路安全、計算機等教學人員，這些專家也都行，他們長年從事資訊化特別是網路安全工作，經驗也較為豐富，如果自身負責過或指導過本單位等保工作開展的那就更好。

如果每次專家評審至少有這三類人蔘與的話，這個定級一定相對更加規範合理，也建議各地還沒有對專家範圍進行認定的可以讓各家單位按照這個要求來找專家，總結下就是：定級評審專家至少3人，人員中包括：異地網安人員、測評機構中高階測評師及其他網路安專家。專家找好了，評審就順其自然的開展下去了，網路運營者肯定要對自己的資訊系統進行介紹，各位專家對定級資料進行評審，提出相關疑問，網路運營者解答，最終專家對該系統的定級情況做一個認定，出具專家評審意見並進行簽字，這樣專家評審環節就完成了。

三、關於雲平臺定級需要了解的

對於大型雲端計算平臺，宜將雲端計算基礎設施和有關輔助服務系統劃分為不同的定級物件。對於大型雲端計算平臺（比如阿里雲、騰訊雲、京東雲以及一些IDC雲端計算平臺）基礎設施可單獨定一個網路系統，有關輔助服務系統另外再定一個系統。另外對於雲租戶，其相應的資訊系統也需要開展等保工作，這塊工作原則上是由雲租戶自己開展，切不可以為系統上雲了，安全責任就不歸自己了，出了事依然還是自己的事。對於通訊網路設施、雲端計算平臺/系統等定級物件，原則上等級不低於其承擔的等級保護物件的安全保護等級。不能存在雲端計算平臺是二級，平臺上的系統是三級情況。

四、受侵害的客體表現形式有哪些

業務資訊保安和系統服務安全受到破壞後，產生的侵害後果有以下表現形式：

很多人對受侵害的客體及受到破壞後造成的影響認識不清，比較模糊，比較抽象，根據以上描述，讓大家對此有一個相對比較具體的認知。

五、等級變更時需重新進行定級

當等級保護物件所處理的業務資訊和系統服務範圍發生變化，可能導致業務資訊保安和系統服務安全受到破壞後的受侵害客體和對客體的侵害程度發生變化時，需根據本標準重新確定定級物件和安全保護等級。也就是等級需要變更時需要按照定級指南重新開展定級，該請專家評審的請專家評審，該請行業主管部門稽核的請行業主管部門稽核，再也不能隨意進行等級的變更了。