等保2.0定级指南正式实施,定级需要专家评审

作者:企划组 时间:2020-11-04 阅读:1158

2020年11月1日,GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》正式实施定级指南正式实施也为我们在开展相关工作中带来了一定的影响。

1.等级保护对象范围扩大了

等保2.0保护定级对象主要包括:信息系统、通信网络设施和数据资源等

信息系统即等保1.0时的定级对象,指的是各类信息系统;

通信网络设施指的是为信息流通、网络运行等起基础支撑作用的网络设备设施,主要包括电信网、广播电视传输网和行业或单位的专用通信网等(这里需要注意——单位的专网,特别是承载了重要信息系统或者专网规模较大的网络得定级);

数据资源指的是具有或预期具有价值的数据集合,拥有大量各类有价值的数据的单位为做好保护工作需要对数据资源定级(这类数据包括人社数据、医保数据、公积金数据、个人财产数据(银行、房产、保险等)等信息)。

另外,当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;

当安全责任主体不同时,大数据应独立定级;

涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级;

日常中主要存在数据进行集中化后的场景,例如一些地方的大数据局或者政务中心将各行业的一些数据集中进行相关应用或使用时应当对这些数据进行独立定级。

2.公民、法人和其他组织最高依然为二级

0.png 

当公民、法人和其他组织的合法权益造成特别严重损害时依然定为二级。

虽然在征求意见稿中当公民、法人和其他组织的合法权益造成特别严重损害时定为第三级,但根据2.0的定级指南中定级要数与安全保护等级的关系表可以发现依然为二级

3. 等保2.0的定级指南中定级工作一般流程如下图:

1.png 

从图中可以看到,与等保1.0的自主定级不同,2.0定级需要进行专家评审安全保护等级初步确定为第二级及以上的等级保护对象,需要组织专家评审、主管部门核准和备案审核,最终确定其安全等级。

对于有主管部门的就去主管部门进行核准,没有主管部门的可以忽略,这里的主管部门需要明确的是上级行业主管部门而非地方上管理部门。

专家评审如何开展?

在进行专家评审时,定级评审专家至少3人,人员中包括:异地网安人员、测评机构中高级测评师及其他网络安专家。评审时,网络运营者对自己的信息系统进行介绍,各位专家对定级资料进行评审,提出相关疑问,网络运营者解答,最终专家对该系统的定级情况做一个认定,出具专家评审意见并进行签字,这样专家评审环节就完成了。

4.关于云平台定级需要了解

对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。对于大型云计算平台(比如阿里云、腾讯云、京东云以及一些IDC云计算平台)基础设施可单独定一个网络系统,有关辅助服务系统另外再定一个系统。

对于云租户来说,其相应的信息系统也需要开展等保工作,认为系统上云了,安全责任就不归自己的想法是错误的。对于通信网络设施、云计算平台/系统等定级对象,原则上等级不低于其承担的等级保护对象的安全保护等级。不能存在云计算平台是二级,平台上的系统是三级情况。

5.受侵害的客体表现形式有哪些

2.png 

业务信息安全和系统服务安全受到破坏后,产生的侵害后果有以下表现形式:

3.png 

6.等级变更时需重新进行定级

当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全和系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据本标准重新确定定级对象和安全保护等级。也就是等级变更时需要按照定级指南重新开展定级

等保2.0定级指南正式开始实施,各网络运营者规范开展网络安全等级保护工作也就有据可依了。

葫芦娃集团.png 

【版权提示】文章来源:等级保护测评。葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理。