指南规定了非涉及国家秘密的等级保护对象的定级方法和流程,通过指导网络运营者合理划分定级对象和准确地确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定良好的基础。
那么,哪些企业需要开展等级保护定级工作?哪些系统/平台可以定二级,哪些需要定三级?定级的流程是什么样的?安全419综合梳理以下关键信息点,供开展等保工作的企业参考。
1、哪些企业和机构需要定级备案?
指南明确了通用定级对象的三个基本特征:具有确定的主要安全责任主体;承载相对独立的业务应用;包含相互关联的多个资源。其中关于安全责任主体的解释是:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。从以上特征来看,基本互联网上的系统都需要定级备案。
指南同时还细化了定级对象的类型,主要包括:信息系统、通信网络设施和数据资源,其中信息系统包括工业控制系统、云计算平台、物联网、采用移动互联技术的系统。
云计算平台/系统:云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。比如云服务商对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网:主要包括感知层、网络传输层和处理应用层等,需将以上要素作为一个整体对象进行定级,各要素不建议单独定级。
工业控制系统:将现场采集/执行、现场控制和过程控制等要素需作为一个整体对象进行定级,各要素也不建议单独定级,但是生产管理要素建议单独定级。而对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
采用移动互联技术的系统:包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统,应将所有移动技术整合,作为一个整体来定级。
通信网络设施:主要是通信和广电行业的核心网络,可根据安全责任主体、服务类型或服务地域划分不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
数据资源:可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
2、怎么确定安全保护等级?
根据“受侵害的客体”和“对客体的侵害程度”这两个要素,可以判定相应的安全保护等级,比如,一个系统遭受到破坏后对社会秩序和公共利益造成严重损害,那么这个系统应当定为第三级,具体的对应关系见下表。
对于通用系统的定级方式没有明显变化,依旧根据对业务信息的影响和对系统服务的影响来评判,二者取最高级别。
确定受侵害的客体与以往相比,有一些新增变化。侵害国家安全事项方面:新增影响海洋权益完整的侵害;新增影响国家社会主义经济秩序和文化实力的侵害。侵害社会秩序事项方面:明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的侵害;新增影响公共交通秩序的侵害;新增影响人民群众生活的侵害。
关于“受侵害的客体”和“侵害程度”的判断标准,指南均给出了比较客观的描述,文末点击指南原文即可查看。
3、定级流程是怎么样的?
指南提到,安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。这样的定级流程更加严谨,避免系统定级过高或过低的问题,让网络运营者更好的履行其安全义务。定级流程如下图:
主管部门审批:定级对象的运营、使用单位应将初步定级结果定级结果报请行业主管(监管)部门核准,并出具核准意见。
公安机关审核:定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
总体而言,新版指南相比旧版范围更广、要求更加细致,企业在开展定级工作时,应当明确定级对象的基本特征,若属于工控、云计算、物联网、大数据等特定领域的,在系统建设、运维、管理中还应符合其领域相关的要求。安全保护等级确定为第二级及以上的定级对象,应及时到当地网监进行备案,并依据《网络安全法》及其配套法规的规定履行相应的等级保护测评义务。
点击查看 GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
京公网安备 11010802033237号
