《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動(dòng)態(tài) > 干貨丨《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》的變化

干貨丨《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》的變化

2020-07-30
來源: e安在線

     小編這邊拿到官方最新定級(jí)指南《GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》標(biāo)準(zhǔn),這里跟大家分享,。

  補(bǔ)充說明一下,2020年4月底網(wǎng)上曾經(jīng)流傳過一個(gè)版本,,該版本與官方發(fā)布的正式版本略有差距,,本篇文章是以官網(wǎng)發(fā)布的正式版本為準(zhǔn),。

微信圖片_20200730134435.png

  一、標(biāo)準(zhǔn)更新背景及影響

  2020年4月28日,,國家市場(chǎng)監(jiān)督管理總局,、國家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》,并于2020年11月1日正式實(shí)施,。

  相比于2008年發(fā)布的版本,,定級(jí)指南2020版隨著信息技術(shù)的發(fā)展在不斷完善,、更新以及充實(shí),,以此來保證標(biāo)準(zhǔn)的適用性。

  二,、標(biāo)準(zhǔn)更新內(nèi)容

  新標(biāo)準(zhǔn)代替《GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,,與GB/T 22240-2008相比,主要技術(shù)變化如下:

  1,、標(biāo)準(zhǔn)的命名變更:

  定級(jí)指南2008版本命名為:《GB/T 22240-2008  信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》,,而定級(jí)指南2020版本命名為《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。

  標(biāo)準(zhǔn)目錄結(jié)構(gòu)對(duì)比:

微信圖片_20200730134502.png

  2,、定級(jí)原理變化

  從新老標(biāo)準(zhǔn)定級(jí)原理對(duì)比來看,,有2處細(xì)微變化,從這2處變化我們可以新標(biāo)準(zhǔn)在用詞上非常嚴(yán)謹(jǐn),,調(diào)整如下:

  由原來的“信息系統(tǒng)”調(diào)整為“等級(jí)保護(hù)對(duì)象”

  由原來的“公民”調(diào)整為“相關(guān)公民”

微信圖片_20200730134517.png

  3,、條款內(nèi)容的變化對(duì)比:

  a、等級(jí)保護(hù)對(duì)象的變化

微信圖片_20200730134534.png

  b,、 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

  需注意:當(dāng)公民,、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害時(shí)安全保護(hù)等級(jí)為二級(jí),在征求意見稿中安全保護(hù)等級(jí)為三級(jí),。

  c,、定級(jí)方法流程變化:

  新標(biāo)準(zhǔn)定級(jí)流程增加了專家評(píng)審、主管部門審批環(huán)節(jié),,如下圖

微信圖片_20200730134549.png

  說明:

  安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的等級(jí)保護(hù)對(duì)象,,其網(wǎng)絡(luò)運(yùn)營者依據(jù)《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》標(biāo)準(zhǔn)進(jìn)行專家評(píng)審、主管部門審核和備案審核,,最終確定其安全保護(hù)等級(jí),。

  安全保護(hù)等級(jí)初步確定為第一級(jí)的等級(jí)保護(hù)對(duì)象,其網(wǎng)絡(luò)運(yùn)營者依據(jù)《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》標(biāo)準(zhǔn)自行確定最終安全保護(hù)等級(jí),,可不進(jìn)行專家評(píng)審,、主管部門審核和備案審核,。

  4、受害客體表現(xiàn)形式的變化對(duì)比

微信圖片_20200730134621.png

微信圖片_20200730134637.png

微信圖片_20200730134641.png

  補(bǔ)充:

  一,、哪些企業(yè)和機(jī)構(gòu)需要定級(jí)備案,?

  定級(jí)對(duì)象的范圍相比舊標(biāo)準(zhǔn)變化較多,本次《定級(jí)指南》包含了云計(jì)算,、物聯(lián)網(wǎng),、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng),、通信網(wǎng)絡(luò)設(shè)施以及數(shù)據(jù)資源,,我們來具體看下,作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下三點(diǎn)基本特征

  a.具有確定的主要安全責(zé)任體,;

  b.承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用,;

  c.包含相互關(guān)聯(lián)的多個(gè)資源。

  從這幾個(gè)特征來看,,基本互聯(lián)網(wǎng)上的系統(tǒng)差不多都要定級(jí)備案,。《定級(jí)指南》給出了有關(guān)安全責(zé)任主體的解釋:包括但不限于企業(yè),、機(jī)關(guān)和事業(yè)單位等法人,,以及不具備法人資格的社會(huì)團(tuán)體等其他組織。

  以前很多人一直有個(gè)疑問,,我們的系統(tǒng)很小,,沒多少數(shù)據(jù),就不需要定級(jí)了?,F(xiàn)在官方給出了明確解釋,,企業(yè)、機(jī)關(guān)和事業(yè)單位以及社會(huì)團(tuán)體等其他組織只要符合上述三個(gè)基本特征均需要進(jìn)行定級(jí)備案,。

  二,、哪些系統(tǒng)屬于強(qiáng)制定級(jí)備案范疇?

  云計(jì)算平臺(tái)/系統(tǒng)

  《定級(jí)指南》明確表示,,云上租戶和云服務(wù)商的等級(jí)保護(hù)對(duì)象要分開定級(jí),,根據(jù)云上服務(wù)模式再分別定級(jí)。就是說,,云服務(wù)商的平臺(tái)對(duì)外提供SaaS,、PaaS、IaaS三種服務(wù)模式,,那么就分為三個(gè)對(duì)象來分別定級(jí),。對(duì)于大型云計(jì)算平臺(tái),除了服務(wù)模式之外還可能根據(jù)基礎(chǔ)設(shè)施和輔助服務(wù)系統(tǒng)再次分別定級(jí),。不過這里《定級(jí)指南》中用了“宜”這個(gè)字,,以我們的觀點(diǎn)來看,,應(yīng)該是建議而非強(qiáng)制要求。另外,,對(duì)于騰訊云這種大型云計(jì)算平臺(tái)的要求,,同樣也適用于搭建私有云和混合云的大中型企業(yè)。

  物聯(lián)網(wǎng)

  通常是以系統(tǒng)為單位,,將所有邊緣設(shè)備和應(yīng)用統(tǒng)一起來,,作為一個(gè)整體來定級(jí)。(比如某些智能家居系統(tǒng),,就要以整體平臺(tái)作為定級(jí)對(duì)象,,不能以不同家庭或不同區(qū)域作為定級(jí)對(duì)象)。

  工業(yè)控制系統(tǒng)

  不同于其他行業(yè),,《定級(jí)指南》要求對(duì)于工業(yè)控制系統(tǒng),,將現(xiàn)場(chǎng)、過程控制要素作為一個(gè)整體定級(jí),,而生產(chǎn)管理要素單獨(dú)再作為一個(gè)定級(jí)對(duì)象,。也就是一個(gè)工業(yè)控制系統(tǒng),,最終會(huì)分成兩個(gè)對(duì)象定級(jí)備案,。對(duì)于大型工控系統(tǒng),根據(jù)功能,、主體,、控制對(duì)象和生產(chǎn)廠商等因素劃分多個(gè)定級(jí)對(duì)象,也就是說大型工控系統(tǒng)可拆分定級(jí),。

  采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)

  《定級(jí)指南》為這類系統(tǒng)進(jìn)行了簡(jiǎn)要描述,,即包括移動(dòng)終端(手機(jī)、平板,、筆記本),、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)等特征要素的系統(tǒng),將所有移動(dòng)技術(shù)整合,,作為一個(gè)整體來定級(jí),。

  通信網(wǎng)絡(luò)設(shè)施

  主要是通信和廣電行業(yè)的核心網(wǎng)絡(luò),基本可以算得上關(guān)鍵信息基礎(chǔ)設(shè)施了,,也是國家重點(diǎn)關(guān)注的行業(yè)之一,。《定級(jí)指南》建議,,可根據(jù)安全責(zé)任主體,、服務(wù)類型或服務(wù)地域劃分不同的定級(jí)對(duì)象。根據(jù)以往經(jīng)驗(yàn),,基本都是采取責(zé)任主體或地域劃分居多,,也便于管理,。而對(duì)于運(yùn)營商網(wǎng)絡(luò)(骨干網(wǎng)、接入網(wǎng)),,多以地市為單位作為定級(jí)對(duì)象,,《定級(jí)指南》建議跨省行業(yè)或單位專用通信網(wǎng)可作為一個(gè)整體對(duì)象定級(jí)。

  數(shù)據(jù)資源

  這是新版《定制指南》提出的一個(gè)新要素,,數(shù)據(jù)資源可以獨(dú)立定級(jí),。定級(jí)是基于大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)安全責(zé)任主體相同與否,。舉個(gè)例子,,比如某些電商平臺(tái),數(shù)據(jù)分布在多個(gè)平臺(tái),,每個(gè)平臺(tái)都有獨(dú)立法人,,這種情況就應(yīng)該屬于安全責(zé)任主體不同,這時(shí)就要把數(shù)據(jù)資源單獨(dú)作為定級(jí)對(duì)象,,電商平臺(tái)作為另一個(gè)定級(jí)對(duì)象,。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。