小編這邊拿到官方最新定級指南《GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡安全等級保護定級指南》標準,這里跟大家分享,。
補充說明一下,,2020年4月底網(wǎng)上曾經(jīng)流傳過一個版本,,該版本與官方發(fā)布的正式版本略有差距,本篇文章是以官網(wǎng)發(fā)布的正式版本為準,。
一,、標準更新背景及影響
2020年4月28日,國家市場監(jiān)督管理總局,、國家標準化管理委員會正式發(fā)布《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡安全等級保護定級指南》,,并于2020年11月1日正式實施。
相比于2008年發(fā)布的版本,,定級指南2020版隨著信息技術(shù)的發(fā)展在不斷完善,、更新以及充實,以此來保證標準的適用性,。
二,、標準更新內(nèi)容
新標準代替《GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》,與GB/T 22240-2008相比,,主要技術(shù)變化如下:
1,、標準的命名變更:
定級指南2008版本命名為:《GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南》,而定級指南2020版本命名為《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡安全等級保護定級指南》,。
標準目錄結(jié)構(gòu)對比:
2,、定級原理變化
從新老標準定級原理對比來看,有2處細微變化,,從這2處變化我們可以新標準在用詞上非常嚴謹,,調(diào)整如下:
由原來的“信息系統(tǒng)”調(diào)整為“等級保護對象”
由原來的“公民”調(diào)整為“相關(guān)公民”
3、條款內(nèi)容的變化對比:
a,、等級保護對象的變化
b,、 定級要素與安全保護等級的關(guān)系
需注意:當公民、法人和其他組織的合法權(quán)益造成特別嚴重損害時安全保護等級為二級,,在征求意見稿中安全保護等級為三級,。
c、定級方法流程變化:
新標準定級流程增加了專家評審,、主管部門審批環(huán)節(jié),,如下圖
說明:
安全保護等級初步確定為第二級及以上的等級保護對象,其網(wǎng)絡運營者依據(jù)《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡安全等級保護定級指南》標準進行專家評審,、主管部門審核和備案審核,,最終確定其安全保護等級。
安全保護等級初步確定為第一級的等級保護對象,,其網(wǎng)絡運營者依據(jù)《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡安全等級保護定級指南》標準自行確定最終安全保護等級,,可不進行專家評審,、主管部門審核和備案審核。
4,、受害客體表現(xiàn)形式的變化對比:
補充:
一,、哪些企業(yè)和機構(gòu)需要定級備案?
定級對象的范圍相比舊標準變化較多,,本次《定級指南》包含了云計算,、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng),、采用移動互聯(lián)技術(shù)的系統(tǒng),、通信網(wǎng)絡設(shè)施以及數(shù)據(jù)資源,我們來具體看下,,作為定級對象的信息系統(tǒng)應具有如下三點基本特征
a.具有確定的主要安全責任體,;
b.承載相對獨立的業(yè)務應用;
c.包含相互關(guān)聯(lián)的多個資源,。
從這幾個特征來看,,基本互聯(lián)網(wǎng)上的系統(tǒng)差不多都要定級備案?!抖壷改稀方o出了有關(guān)安全責任主體的解釋:包括但不限于企業(yè),、機關(guān)和事業(yè)單位等法人,以及不具備法人資格的社會團體等其他組織,。
以前很多人一直有個疑問,,我們的系統(tǒng)很小,沒多少數(shù)據(jù),,就不需要定級了?,F(xiàn)在官方給出了明確解釋,企業(yè),、機關(guān)和事業(yè)單位以及社會團體等其他組織只要符合上述三個基本特征均需要進行定級備案,。
二、哪些系統(tǒng)屬于強制定級備案范疇,?
云計算平臺/系統(tǒng)
《定級指南》明確表示,,云上租戶和云服務商的等級保護對象要分開定級,根據(jù)云上服務模式再分別定級,。就是說,,云服務商的平臺對外提供SaaS、PaaS,、IaaS三種服務模式,,那么就分為三個對象來分別定級。對于大型云計算平臺,除了服務模式之外還可能根據(jù)基礎(chǔ)設(shè)施和輔助服務系統(tǒng)再次分別定級,。不過這里《定級指南》中用了“宜”這個字,,以我們的觀點來看,應該是建議而非強制要求,。另外,對于騰訊云這種大型云計算平臺的要求,,同樣也適用于搭建私有云和混合云的大中型企業(yè),。
物聯(lián)網(wǎng)
通常是以系統(tǒng)為單位,將所有邊緣設(shè)備和應用統(tǒng)一起來,,作為一個整體來定級,。(比如某些智能家居系統(tǒng),就要以整體平臺作為定級對象,,不能以不同家庭或不同區(qū)域作為定級對象),。
工業(yè)控制系統(tǒng)
不同于其他行業(yè),《定級指南》要求對于工業(yè)控制系統(tǒng),,將現(xiàn)場,、過程控制要素作為一個整體定級,而生產(chǎn)管理要素單獨再作為一個定級對象,。也就是一個工業(yè)控制系統(tǒng),,最終會分成兩個對象定級備案。對于大型工控系統(tǒng),,根據(jù)功能,、主體、控制對象和生產(chǎn)廠商等因素劃分多個定級對象,,也就是說大型工控系統(tǒng)可拆分定級,。
采用移動互聯(lián)技術(shù)的系統(tǒng)
《定級指南》為這類系統(tǒng)進行了簡要描述,即包括移動終端(手機,、平板,、筆記本)、移動應用和無線網(wǎng)絡等特征要素的系統(tǒng),,將所有移動技術(shù)整合,,作為一個整體來定級。
通信網(wǎng)絡設(shè)施
主要是通信和廣電行業(yè)的核心網(wǎng)絡,,基本可以算得上關(guān)鍵信息基礎(chǔ)設(shè)施了,,也是國家重點關(guān)注的行業(yè)之一?!抖壷改稀方ㄗh,,可根據(jù)安全責任主體、服務類型或服務地域劃分不同的定級對象。根據(jù)以往經(jīng)驗,,基本都是采取責任主體或地域劃分居多,,也便于管理。而對于運營商網(wǎng)絡(骨干網(wǎng),、接入網(wǎng)),,多以地市為單位作為定級對象,《定級指南》建議跨省行業(yè)或單位專用通信網(wǎng)可作為一個整體對象定級,。
數(shù)據(jù)資源
這是新版《定制指南》提出的一個新要素,,數(shù)據(jù)資源可以獨立定級。定級是基于大數(shù)據(jù),、大數(shù)據(jù)平臺安全責任主體相同與否,。舉個例子,比如某些電商平臺,,數(shù)據(jù)分布在多個平臺,,每個平臺都有獨立法人,這種情況就應該屬于安全責任主體不同,,這時就要把數(shù)據(jù)資源單獨作為定級對象,,電商平臺作為另一個定級對象。