【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 解析:11月1日实施的《信息安全技术网络安全等级保护定级指南》有哪些变化? – 【四维创智】

解析:11月1日实施的《信息安全技术网络安全等级保护定级指南》有哪些变化?

11月 7,2020by admin

近日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》新的国家标准,新的国标将于2020年11月1日正式实施。
 

 
新版定级指南有哪些变化呢?指南前言中指出:
 

 
01、定级流程有变化
 
第二级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别。
 
02、定级对象有变化
 
定级对象的范围相比旧标准变化较多,本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源。
 
通用定级对象基本特征明确,共计三点:
 
具有确定的主要安全责任体;
 
承载相对独立的业务应用;
 
包含相互关联的多个资源。
 
从这几个特征来看,基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
 
以前很多人一直有个疑问,我们的系统很小,没多少数据,就不需要定级了。现在官方给出了解释,企事业单位、机关基本都是具有法人的,那么这些单位的系统必须都要定级备案。其他团体(包括公益组织)和中小私营企业原则上也都要对系统进行定级备案。
 
哪些系统属于强制定级备案范畴?
 
►云计算平台/系统
 
《指南》明确表示,云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。就是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。
 
对于大型云计算平台,除了服务模式之外还可能根据基础设施和辅助服务系统再次分别定级。
 
►物联网
 
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)
 
►工业控制系统
 
不同于其他行业,《指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。
 
对于大型工控系统,类似大型云计算平台要求,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议,而是要求,也就是说大型工控系统会进行拆分定级。
 
►采用移动互联技术的系统
 
《指南》为这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。
 
►通信网络设施
 
主要是通信和广电行业的核心网络,基本可以算得上关键信息基础设施了,也是国家重点关注的行业之一。《指南》建议(用了“宜”)可根据安全责任主体、服务类型或服务地域划分不同的定级对象。
 
而对于运营商网络(骨干网、接入网),多以地市为单位作为定级对象。《指南》建议跨省行业或单位专用通信网可作为一个整体对象定级,这对于运营商企业来说算是一个利好了。
 
►数据资源
 
这是新版《指南》提出的一个新要素。数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子,比如某些电商平台,数据分布在多个平台,每个平台都有独立法人,这种情况就应该属于安全责任主体不同,这时就要把数据资源单独作为定级对象,电商平台作为另一个定级对象。
 
03、确定受侵害的客体方面有变化
 
1.侵害国家安全事项方面:
 
新增影响海洋权益完整的侵害;
 
新增影响国家社会主义经济秩序和文化实力的侵害。
 
2.侵害社会秩序事项方面:
 
明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的侵害;
 
新增影响公共交通秩序的侵害;
 
新增影响人民群众生活的侵害;
 
随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,网络安全等级保护制度作为我国网络安全领域的基本国策、基本制度,严格落实网络安全等级保护测评工作已经逐渐成为各行业必备。