信息安全等级保护测评认证2.0定级指南重点解读

2019年12月1日，网络安全等级保护2.0国家标准正式实施；2020年4月28日， 作为国家等级保护标准体系的核心标准之一的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》发布，并将于2020年11月1日起正式实施。本定级指南规定了非涉及国家秘密的等级保护对象的定级方法和流程，重点内容有哪些呢？让中联带你一起来看看吧！
 

在2008年发布的定级指南中，等级保护对象被定义为：“信息安全等级保护工作直接作用的具体信息和信息系统”，到了2020年，等级保护对象被定义为：“网络安全等级保护工作的作用对象，主要包括信息系统、通信网络设施和数据资源等”。

云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统则是属于强制定级备案的范畴。其他团体，比如公益组织和中小私营企业，原则上也要进行定级备案。

依据安全保护等级的定义，定级应综合考虑“等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭受到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素”。因此本标准中明确等级保护对象的定级要素为两个，分别为“受侵害的客体”和“对客体的侵害程度”。

定级要素与安全保护等级的关系如下表所示：

云上系统的等保要求绝大部分集中在二级和三级系统：

作为等级保护对象的网络应具有如下基本特征：

①具有确定的主要安全责任主体；

②承载相对独立的业务应用；

③包含相互关联的多个资源。

如果企业的系统有以上特征，那么就算系统再小，也需要进行定级备案。简而言之，互联网上的系统差不多都要进行定级备案。

对于通信网络设施、云计算平台、大数据平台等支撑类网络，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。

对于数据资源，应综合考虑规模、价值等因素，及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于第三级。

对于新建网络、运营者应当依照等级保护相关法律法规要求和本标准，在规划设计阶段确定其安全保护等级；对于跨省或者全国统一联网运行的网络可以由行业主管（监管）部门统一组织定级工作。

安全保护等级初步确定为第二级及以上的等级保护对象，其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核，最终确定其安全保护等级。

①专家评审：定级对象的运营、使用单位应组织信息安全专家和业务专家等，对初步定级结果的合理性进行评审，并出具专家评审意见 。

②主管部门审批：定级对象的运营、使用单位应将初步定级结果定级结果报请行业主管（监管）部门核准，并出具核准意见。

③公安机关审核：定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。