等保2.0|您要的定級指南來啦

綠盟科技發表於2020-05-14

2019年12月1日網路安全等級保護2.0國家標準的正式實施,標誌著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標準體系的核心標準之一的GB/T 22240-2020《資訊保安技術  網路安全等級保護定級指南》(以下簡稱“定級指南”)於2020年4月28日釋出,2020年11月1日正式實施。定級指南規定了非涉及國家秘密的等級保護物件的定級方法和流程,透過指導網路運營者合理劃分定級物件和準確的確定安全保護等級,為後續的安全建設整改、等級測評等工作奠定了良好的基礎。

新版定級指南在等級保護1.0定級指南的基礎上,對等級保護物件做了新的定義,增加了對雲大物移工等場景的說明,修改了定級流程,以適應新形勢下等級保護工作的需要,有力推動了等級保護工作的開展。

等級保護物件新的定義

在GB/T 22240-2008中,等級保護物件被定義為:“資訊保安等級保護工作直接作用的具體資訊和資訊系統”,但這只是符合當時的技術發展狀況和等級保護工作需求。近年來,隨著雲端計算平臺、物聯網和工業控制系統等新形態的等級保護物件不斷湧現,原定義內涵的侷限性日益顯現,無法全面覆蓋當前的等級保護工作物件,需要進一步擴充和完善以適應當前工作的需要。

等保2.0|您要的定級指南來啦

定級要素與安全保護等級新關係

依據安全保護等級的定義,定級應綜合考慮“等級保護物件在國家安全、經濟建設、社會生活中的重要程度,以及一旦遭受到破壞、喪失功能或者資料被篡改、洩露、丟失、損毀後,對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素”。因此本標準中明確等級保護物件的定級要素為兩個,分別為“受侵害的客體”和“對客體的侵害程度”。

定級要素與安全保護等級的關係如下表所示。

(對“公民、法人和其他組織”權益遭到特別嚴重侵害時,確定的保護等級保持不變,依然為二級)

等保2.0|您要的定級指南來啦

等級保護物件新特徵

作為等級保護物件的網路應具有如下基本特徵:

a)  具有確定的主要安全責任主體;

b)  承載相對獨立的業務應用;

c)  包含相互關聯的多個資源。

在確定定級物件時,雲端計算平臺/系統、物聯網、工業控制系統、採用移動互聯技術的系統在滿足以上基本特徵的基礎上,需要滿足以下要求。

等保2.0|您要的定級指南來啦

特殊物件的定級說明

對於通訊網路設施、雲端計算平臺、大資料平臺等支撐類網路,應根據其承載或將要承載的等級保護物件的重要程度確定其安全保護等級,原則上應不低於其承載的等級保護物件的安全保護等級。

對於資料資源,應綜合考慮規模、價值等因素,及其遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素確定其安全保護等級。涉及大量公民個人資訊以及為公民提供公共服務的大資料平臺/系統,原則上其安全保護等級不低於第三級。

定級新流程

對於新建網路、運營者應當依照等級保護相關法律法規要求和本標準,在規劃設計階段確定其安全保護等級;對於跨省或者全國統一聯網執行的網路可以由行業主管(監管)部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護物件,其運營者應當依據標準要求分別進行專家評審、主管部門核准和公安機關備案稽核,最終確定其安全保護等級。

等保2.0|您要的定級指南來啦

專家評審:定級物件的運營、使用單位應組織資訊保安專家和業務專家等,對初步定級結果的合理性進行評審,並出具專家評審意見 。

主管部門審批:定級物件的運營、使用單位應將初步定級結果定級結果報請行業主管(監管)部門核准,並出具核准意見。

公安機關稽核:定級物件的運營、使用單位應按照相關管理規定,將初步定級結果提交公安機關進行備案審查,審查不透過,其運營使用單位應組織重新定級;審查透過後最終確定定級物件的安全保護等級。

綠盟科技全流程服務

等級保護的各個階段有著不同的工作重點,綠盟科技憑藉著深厚的技術實力和豐富的安全服務專案經驗,在定級備案階段,對涉及的定級物件單位基本情況,定級物件基本情況、侵害情況及相關定級備案的材料進行整理,協助客戶確定資訊系統等級保護級別,填寫備案表及相關材料,完成定級備案過程。

針對等級保護其他階段同時可提供專業的等保諮詢服務、安全防護產品、安全技術服務和安全運營服務。為傳統環境、雲端計算、工業控制系統、物聯網等各種場景的安全等級保護建設、提供全流程的保駕護航。

等保2.0|您要的定級指南來啦

相關文章