去年2019年等保险2.0标准于5月13日正式宣布,12月1日正式实施。今年是上个月,即4月28日,国家市场监督管理总局和国家标准化管理委员会宣布了《GBT22240-2020信息安全技术网络安全等级保护定级指南》的新国家行业标准,新国家行业标准将于2020年11月1日正式实施。等级保护等级非常重要,因为这是等级保护工作的第一阶段。所以,暂未开展等级保护申报的公司或第二年等级保护申报证明书到期的公司最合适仔细看一下等级保证级新指南有什么变化。
一、等级原则和过程
1、如何划分安全级别?
这部分变化很小,仍然是五级,从一级到五级从低到高。现在,对分级系统的称呼被统一为等级保护对象(在现有标准中称为信息系统),与登报2.0的其他系列标准一致。
2、修正等级因素是什么?
可以说,要素基本不变,仍然遵循以前的定义。
等级保护对象的两个方面:1)侵害对象2)对对象的侵害程度。
等级保护对象侵权对象的三个方面:1)公民、法人和其他组织的合法权益,2)社会秩序,公益,3)国家安全。
等级保护对象被破坏后对对象造成侵害的程度可归结为以下三点:1)造成一般损伤。2)造成严重损失。3)造成了特别严重的损失。
等级因素与安全等级的关系
此前,在对业界登博2.0基本要求的解读中提到,对公民、法人、其他组织及合法权益的严重损害将定为三级,但新版《指南》的官方结论仍根据旧版定为二级。这里有明确的说明。
3、评分过程是什么?
二级以上保护对象分级过程追加专家审查过程,不再自主分级,应聘请专家确定等级保护对象的等级。
二、确定评分对象
1、哪些企业和机构需要评级?
此次《指南》包括云计算、物联网、工业控制系统、使用移动互联技术的系统、通信网络设施和数据资源。
一般等级对象的基本特性是明确的,共3分。
具有明确的主要安全责任。托管相对独立的业务应用程序。包含多个相互关联的资源。
从这些特点来看,基本互联网的系统几乎要分等级。《指南》提供了对安全责任主体的说明。包括但不限于企业、机关、事业单位等法人、没有法人资格的社会团体等其他组织。以前很多人质疑我们的系统很小,没有多少数据,所以不需要定等级。现在当局解释说,企业事业单位、机关基本上有法人,这些单位的系统必须定级登记。其他团体(包括公益组织)和中小私营企业原则上也要对系统进行等级评定。这件事基本上是无法避免的。
2、哪些系统属于强水平的记录类别?
云计算平台/系统
《指南》明确表示,云的租户和云服务企业的等级保护对象应单独分级,并根据云的服务模式重新分级。也就是说,云服务提供商的平台分为三个对象,分别向外部提供SaaS、PaaS和laaS三种服务模式,分别进行分级。
对于大规模云计算平台,除了服务模式外,还可以根据基础设施和辅助服务系统重新划分等级。但是这里《指南》使用了“适当”一词,从我们的角度来看,应该是建议,而不是强制要求。
此外,大规模云计算平台(如云)的要求也适用于构建专用云和混合云的大中型企业。
物联网
通常以系统为单位将所有边缘设备和应用程序合并在一起进行分级。(例如,某些智能家庭系统需要将整个平台作为等级对象,不能将其他家庭或其他地区作为等级对象。)工业控制系统
与其他行业不同,《指南》对于工业控制系统,必须将现场、过程控制特征作为一个整体等级,并将生产管理特征作为单独的等级对象使用。也就是说,作为产业控制系统,最终分为两个对象,进行分级记录。
对于大型工业控制系统,与大型云计算平台要求一样,根据功能、主体、控制对象和制造商等因素划分多个等级对象。其中《指南》不是提案,而是要求。也就是说,大型工业控制系统对分割进行分级。
具有移动互联技术的系统
《指南》简要说明了系统,包括移动终端(手机、平板电脑、笔记本电脑)、移动应用、无线网络等特点。将所有移动技术合并为一个等级。
通信网络设施
主要是通信和光电行业的核心网络,基本上可以说是核心信息基础设施,是国家重点关注的行业之一。《指南》建议(“适当”)可以根据安全责任主体、服务类型或服务地区来区分不同的等级对象。根据过去的经验,基本上很容易采取和管理责任主体或地理区分。
对于运营商网络(骨干网、访问网络),主要以指示单位为等级对象。《指南》建议将跨省产业或单位专用通信网评为整体对象,这对通信企业企业来说是好事。
数据资源
这是新版《指南》提出的新元素。数据资源可以独立分级。等级是基于大数据、大数据平台安全责任主体是否相同。例如,在某些电子商务平台上,如果数据分布在多个平台上,每个平台都有独立的法人主体,则安全责任主体必须不同。此时,应将数据资源作为等级对象,电子商务平台作为另一个等级对象。
三、确定安全级别
1、如何设置安全级别?
一般系统的分级方式不会有太大的变化,而是根据对业务信息的影响和对系统服务的影响来判断最高水平。
2、确认侵权对象与之前相比有什么变化?
侵权对象确认方面有明显的变化,这里只说明新的变化。
侵犯国家安全:
增加影响海洋权益完整性的新侵权。增加影响国家社会主义经济秩序和文化实力的侵权。
社会秩序侵权问题:
明确提出影响企业事业单位、社会团体生产秩序、医疗卫生秩序的侵权行为。增加影响公共交通秩序的侵权行为。增加影响人民群众生活的侵权行为。
对公共利益的侵犯:
几乎没有改变。
决定对象侵权程度的方面(包括侵权的客观方面和综合判定侵权程度)没有明显的变化。
业务信息安全级别矩阵表和系统服务安全级别矩阵表保持不变。
关于安全等级及等级变更决定的部分可以自行阅读《指南》原文。
上述内容是腾讯安全百家号的《2020[网络安全等级保护定级指南]最新解读,这些重点必须注意!》转载的内容。目的是让大家都知道。
《GBT22240-2020信息安全技术网络安全等级保护定级指南》需要注意哪些变更?