新版等保标准GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》将于2020年11月1日正式实施,从本期开始,小编带您一起学习新版等保标准与旧版等保标准GB/T 22240-2008 《信息安全技术 信息系统安全保护等级定级指南》的差异、等保定级工作如何开展以及新版标准中需要重点关注的内容。
等保定级标准经历了2008年11月1日实施的国家推荐标准GB/T 22240-2008《信息安全技术 信息系统安全保护等级定级指南》,到2017年5月8日实施的公安部推荐标准GA∕T 1389-2017《信息安全技术 网络安全等级保护定级指南》,再到2020年11月1日起实施的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》的过程,可以看出国家相关部门对于等保定级工作的重视,并且等保定级工作也在随着信息安全技术发展不断更新。等保定级指南主要偏重定级具体工作实施流程,因此需要结合相关文件了解在何种情况下涉及等保定级工作以及定级与备案工作之间的衔接。 在《信息安全等级保护管理办法》(公通字[2007]43号)文件中,针对定级工作提到以下内容: 第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 在《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)文件中,针对定级工作提到以下内容: 一、定级范围 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要网站和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称涉密信息系统)。 二、定级工作的主要内容 在《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号)文件中,针对定级工作提到以下内容: (一)深化网络定级备案工作。网络运营者应全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,科学确定网络的安全保护等级,对第二级以上网络依法向公安机关备案,并向行业主管部门报备。对新建网络,应在规划设计阶段确定安全保护等级。公安机关对网络运营者提交的备案材料和网络的安全保护等级进行审核,对定级结果合理、备案材料符合要求的,及时出具网络安全等级保护备案证明。行业主管部门可以依据《网络安全等级保护定级指南》国家标准,结合行业特点制定行业网络安全等级保护定级指导意见。 接下来,我们看下GB/T 22240-2008《信息安全技术 信息系统安全保护等级定级指南》(以下简称“旧版标准”)和GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(以下简称“新版标准”)在内容上的差异: 旧版标准的名称为:GB∕T 22240-2008 《信息安全技术 信息系统安全保护等级定级指南》Information security technology-Classification guide for classified protection of information system 新版标准的名称为:GB∕T 22240-2020 《信息安全技术 网络安全等级保护定级指南》Information security technology-Classification guide for classified protection of cybersecurity 主要变化: 首先是标准发布年份的更新,并在标准文号处标明代替GB∕T 22240-2008,其次是标准名称由信息系统(information system)改为网络安全(cybersecurity),这也是为了体现《中华人民共和国网络安全法》的上位法地位与指导意义。 主要变化: 1、由总共6章内容(旧版标准)调整为总共8章内容(新版标准); 2、在第4章增加了定级流程相关内容(新版标准4.4); 3、定级要素描述由2级标题(旧版标准4.2)细化调整成3级标题(新版标准4.2.1); 4、确定定级对象的内容由2级标题(旧版标准5.2)提升成1级标题(新版标准5),并增加扩展要求相关内容,顺序上移,可以看出定级工作的思路为先确定定级对象,然后再进行定级; 5、定级的一般流程的内容(旧版标准5.1)对应改为定级方法的内容(新版标准6.1); 6、确定安全保护等级由2级标题(旧版标准5.5)提升成1级标题(新版标准6),并将定级方法部分内容(旧版标准5.3-5.4)移动到确定安全保护等级内容中(新版标准6.2-6.3)。 旧版标准:本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。 新版标准:本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。 主要变化: 1、确定安全保护等级定级针对的是“非涉及国家秘密的等级保护对象”。而“涉及国家秘密的系统安全保护对象”,根据《信息安全等级保护管理办法》(公通字[2007]43号)文件中相关内容: 第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。 我们可以知道,“涉及国家秘密的系统安全保护对象”定级工作所依据的标准是分级保护标准体系中的BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》,而“非涉及国家秘密的等级保护对象”定级工作才适用于等级保护标准体系的等保定级指南标准。 2、新版标准在内容中新增了“定级流程”的内容,旧版标准只有“定级方法”。 3、确定安全保护等级定级主体为“网络运营者”,相对旧版标准措辞更加严谨,同时也明确了等保定级工作是由网络运营者自身进行的自主定级过程,并不是由监管部门或者测评机构进行的工作。 旧版标准:下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇 第8部分:安全(GB/T 5271.8—2001,idt ISO/IEC 2382-8:1998) GB 17859 计算机信息系统安全保护等级划分准则 新版标准:下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 主要变化: 1、删除了GB/T 5271.8 标准的引用。 2、增加了扩展要求所涉及的相关新国标推荐标准,并且新版标准新增了参考文献的内容,引用了包括GB/T 31168—2014 信息安全技术云计算服务安全能力要求,和NIST(美国国家标准技术研究院)在2008年8月发布的SP 800-60(Rev 1)标准。关于NIST相关标准会在今后的文章中进行介绍。 旧版标准: 等级保护对象target of classified security 信息安全等级保护工作直接作用的具体的信息和信息系统。 受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。 对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。 信息系统为支撑其所承载业务而提供的程序化过程。 新版标准: 网络安全cybersecurity 注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。 主要变化: 1、删除旧版标准“系统服务”的术语说明。新增“网络安全”、“信息系统”、“通信网络设施”、“数据资源”的术语说明。将“客体”(旧版标准)修改为“受侵害的客体”(新版标准)。 2、增加了对于术语的定义来源及注释,相对旧版标准中的措辞描述更加严谨。 3、将“等级保护对象”细化为:“信息系统”、“通信网络设施”、“数据资源”三大类,其中“信息系统”包括:办公自动化系统、云计算平台/系统、物联网、工业控制系统、移动互联技术的系统等类型。
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(一)开展信息系统基本情况的摸底调查。各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的具体意见。
(二)初步确定安全保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告(报告模版见附件1)。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审与审批。初步确定信息系统安全保护等级后,可以聘请专家进行评审。对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。运营使用单位或主管部门参照评审意见最后确定信息系统安全保护等级,形成定级报告。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的,所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。
GB 17859—1999 计算机信息系统安全保护等级划分准则
GB/T 22239—2019 信息安全技术︰网络安全等级保护基本要求
GB/T 25069 信息安全技术﹐术语
GB/T 29246—2017 信息技术安全技术︰信息安全管理体系―概述和词汇
GB/T 31167——2014 信息安全技术云计算服务安全指南
GB/T 32919—2016 信息安全技术工业控制系统安全控制应用指南
GB/T 35295——2017 信息技术﹐大数据术语
客体object
客观方面objective
系统服务system service
通过采取必要措施﹐防范对网络的攻击﹑侵入、干扰、破坏和非法使用以及意外事故﹐使网络处于稳定可靠运行的状态﹐以及保障网络数据的完整性.保密性、可用性的能力。
[GB/T 22239—2019,定义3.1]
等级保护对象target of classified protection
网络安全等级保护工作直接作用的对象。
注:主要包括信息系统、通信网络设施和数据资源等。
信息系统information system
应用﹑服务﹑信息技术资产或其他信息处理组件。
[GB/T 29246——2017,定义2.39]
注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
通信网络设施network infrastructure
为信息流通﹑网络运行等起基础支撑作用的网络设备设施。
注:主要包括电信网,广播电视传输网和行业或单位的专用通信网等。
数据资源data resources
具有或预期具有价值的数据集合。
注:数据资源多以电子形式存在。
受侵害的客体object of infringement
受法律保护的.等级保护对象受到破坏时所侵害的社会关系。
注:本标准中简称“客体”。
客观方面objective
对客体造成侵害的客观外在表现﹐包括侵害方式和侵害结果等。
