2020年4月28日, 作为国家等级保护标准体系的核心标准之一的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》发布,并将于2020年11月1日起正式实施。
指南重点内容包括:对等级保护对象做了新定义、对特殊对象的定级做了特别说明、指明了定级要素与安全保护等级新关系、阐明了等级保护对象新特征、明确了定级新流程。
指南对等级保护对象做了新定义,规定“网络安全等级保护工作的作用对象,主要包括信息系统、通信网络设施和数据资源等”。同时,云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统则是属于强制定级备案的范畴。其他团体,比如公益组织和中小私营企业,原则上也要进行定级备案。
相比旧版的的定级指南,新版的定级指南更加细致,尤其是对属于工控、云计算、物联网、大数据等特定领域的。具体来说:
①云计算平台/系统
《指南》明确表示,云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。就是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。
对于大型云计算平台,除了服务模式之外还可能根据基础设施和辅助服务系统再次分别定级。
②物联网
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。
③工业控制系统
对于工业控制系统,《指南》要求进行拆分定级,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。
④采用移动互联技术的系统
根据《指南》,采用移动互联技术的系统,指包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。对于这类系统,《指南》要求将所有移动技术整合,作为一个整体来定级。
⑤通信网络设施
主要是通信和广电行业的核心网络,基本可以算得上是关键信息基础设施,也是国家重点关注的行业之一。《指南》建议可根据安全责任主体、服务类型或服务地域划分不同的定级对象。根据以往经验,基本都是采取责任主体或地域划分居多,也便于管理。
而对于运营商网络(骨干网、接入网),多以地市为单位作为定级对象。《指南》还建议跨省行业或单位专用通信网可作为一个整体对象定级。
⑥数据资源
数据资源可以独立定级,定级基于大数据,以及大数据平台安全责任主体相同与否。
有关指南的更多详细内容,还请阅读GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》原文查看。
