干货丨《网络安全等级保护定级指南》的变化
今天的文章,是由技术部的小哥哥供稿,解读有关新版标准的相关内容,快和e小安一起来学习吧!
一、标准更新背景及影响
2020年4月28日,国家市场监督管理总局、国家标准化管理委员会正式发布《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》。相比于2008年发布的版本,定级指南2020随着信息技术的发展在不断完善、更新以及充实,以此来保证标准的实用性。
二、标准更新内容
本次《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》的更新涉及以下内容:
No.1 标准的命名变更
定级指南2008版本命名为:《GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南》,而定级指南2020版本命名为《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》。
标准结构调整:
No.2 条款内容的变化对比
① 等级保护对象的变化
② 定级要素与安全保护等级的关系
注意:当公民、法人和其他组织的合法权益造成特别严重损害时安全保护等级为二级,在征求意见稿中安全保护等级为三级。
③ 定级工作的变化对比
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》标准进行专家评审、主管部门审核和备案审核,最终确定其安全保护等级。
安全保护等级初步确定为第一级的等级保护对象,其网络运营单者依据《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》标准自行确定最终安全保护等级,可不进行专家评审、主管部门审核和备案审核。
④ 定级对象的变化对比
⑤ 受害客体表现形式的变化对比
另外,我们再来了解网络安全等级保护定级备案的相关工作内容。
哪些企业和机构需要定级备案?
定级对象的范围相比旧标准变化较多,定级对象基本特征更加明确,共计以下三点:
1、具有确定的主要安全责任体;
2、承载相对独立的业务应用;
3、包含相互关联的多个资源。
从以上三个特征来看,互联网系统基本都要定级备案。《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》对于安全责任主体进行详细解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
哪些系统属于强制定级备案范畴?
云计算平台/系统
《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》明确表示,在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同的服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》中(用了“宜”),以个人观点来看,应该是建议而非强制要求。在适用于大型云计算服务商要求的同时,同样也适用于企业、政府搭建私有云、混合云和政务云等。
物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
也就是说要以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)。
工业控制系统
工业控制系统不同于其他行业,工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
在《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》中明确要求指出对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。对于大型工控系统,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。
采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》中为这类系统进行了简要描述,即包括移动终端(包括不限于手机、笔记本等)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。
通信网络设施
对于电信网、广播电视传输网等通信网络设施、宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
通信和广电行业的核心网络,基本可以称为关键信息基础设施了,也是国家重点关注的行业之一。《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》建议(用了“宜”)可根据安全责任主体、服务类型或服务地域划分不同的定级对象。根据以往经验来看,基本都是采取责任主体或地域划分居多,也便于管理。而对于运营商网络(骨干网、接入网),多以地市为单位作为定级对象。《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》建议跨省行业或单位专用通信网可作为一个整体对象定级,这对于运营商企业来说算是一个利好了。
数据资源
数据资源可单独定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级。
这是《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》提出的一个新要素。数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子,比如某些电商平台,数据分布在多个平台,每个平台都有独立法人,这种情况就应该属于安全责任主体不同,这时就要把数据资源单独作为定级对象,电商平台作为另一个定级对象。
0人点赞
评论