2020年11月1日,GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》正式实施,也就是等保2.0的定级指南正式实施了。那么2.0的定级指南正式实施后,我们在开展相关工作中需要注意哪些点呢?
等级保护定级对象主要包括:信息系统、通信网络设施和数据资源等;信息系统就是我们在1.0时候的定级对象,指的是各类信息系统;通信网络设施指的是为信息流通、网络运行等起基础支撑作用的网络设备设施,主要包括电信网、广播电视传输网和行业或单位的专用通信网等,所以大家需要注意,自己单位的专网要定级,特别是承载了重要信息系统或者专网规模较大的网络;数据资源指的是具有或预期具有价值的数据集合,数据资源主要是拥有大量各类有价值的数据,那么这些单位需要保护好这些数据资源,自然需要对该数据资源进行定级,我们可以想象的这类数据有:人社数据、医保数据、公积金数据、个人财产数据(银行、房产、保险等)等信息;这里注意一点:当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级;涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级;不是所有的这类数据都需要独立去定级,日常中主要存在数据进行集中化后的场景,例如一些地方的大数据局或者政务中心将各行业的一些数据收集后进行相关应用或使用时应当对这些数据进行独立定级。当公民、法人和其他组织的合法权益造成特别严重损害时依然定为二级。根据2.0的定级指南中定级要数与安全保护等级的关系表我们发现当公民、法人和其他组织的合法权益造成特别严重损害时依然为二级。从图中可以看到,定级需要进行专家评审,那么至此等保定级再也不是1.0的自主定级了,而是需要规范进行定级。对于初步确定为第一级的等级保护对象,可不进行专家家评审、主管部门核准和备案审核,所以一级系统不需要去公安网安部门进行备案。而安全保护等级初步确定为第二级及以上的等级保护对象,就需要组织专家评审、主管部门核准和备案审核,最终确定其安全等级。对于有主管部门的就去主管部门进行核准,没有主管部门的可以忽略,这里的主管部门需要明确的是上级行业主管部门而非地方上管理部门。主管部门核准在实践中建议大家根据实际情况灵活开展。专家评审如何开展是等保2.0定级一个绕不开的问题。哪些是专家?谁来认定这些专家?既然是等保定级的评审专家,那么他们应当要对等保定级这项工作了解才能更好地帮助网络运营者进行准确定级。那么哪些人对等保定级工作了解呢?第一、公安网安主管部门工作人员,他们从事这项工作,每年对大量新系统进行了定级审核,他们自然对等保定级工作了解,他们可以当专家,有些人会认为不能自己既当专家又进行最终审核,这有点不合适。这确实不合适,但是可以去其他地市进行专家评审;第二,测评机构持证工作人员,他们长年在一线进行等保工作,他们接触了很多系统,对标准对系统情况比较熟悉,他们适合当等保定级专家,这里建议测评机构的评审专家资质应为:中、高级测评师,他们的工作经验相对初级测评师来说较为丰富;第三,相关网络安全专家,这里就比较广泛,比如各个单位信息中心或者网络安全的负责人,行业主管部门负责网络安全的人员,高校负责网络安全、计算机等教学人员,这些专家也都行,他们长年从事信息化特别是网络安全工作,经验也较为丰富,如果自身负责过或指导过本单位等保工作开展的那就更好。如果每次专家评审至少有这三类人参与的话,这个定级一定相对更加规范合理。总结:定级评审专家至少3人,人员中包括:异地网安人员、测评机构中高级测评师及其他网络安专家。网络运营者首先要对自己的信息系统进行介绍,各位专家对定级资料进行评审,提出相关疑问,网络运营者解答,最终专家对该系统的定级情况做一个认定,出具专家评审意见并进行签字,这样专家评审环节就完成了。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。对于大型云计算平台(比如阿里云、腾讯云、京东云以及一些IDC云计算平台)基础设施可单独定一个网络系统,有关辅助服务系统另外再定一个系统。另外对于云租户,其相应的信息系统也需要开展等保工作,这块工作原则上是由云租户自己开展,切不可以为系统上云了,安全责任就不归自己了,出了事依然还是自己的事。对于通信网络设施、云计算平台/系统等定级对象,原则上等级不低于其承担的等级保护对象的安全保护等级。不能存在云计算平台是二级,平台上的系统是三级情况。业务信息安全和系统服务安全受到破坏后,产生的侵害后果有以下表现形式:很多人对受侵害的客体及受到破坏后造成的影响认识不清,比较模糊,比较抽象,根据以上描述,让大家对此有一个相对比较具体的认知。当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全和系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据本标准重新确定定级对象和安全保护等级。也就是等级需要变更时需要按照定级指南重新开展定级,该请专家评审的请专家评审,该请行业主管部门审核的请行业主管部门审核,再也不能随意进行等级的变更了。
国康测评
