2019年12月1日網(wǎng)絡(luò)安全等級保護2.0國家標(biāo)準的正式實施，標(biāo)志著我國網(wǎng)絡(luò)安全等級保護制度進入了全新時代。作為國家等級保護標(biāo)準體系的核心標(biāo)準之一的GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》(以下簡稱“定級指南”)于2020 年 4 月2 8 日發(fā)布，2 020 年1 1 月1日正式實施 。定級指南規(guī)定了非涉及國家秘密的等級保護對象的定級方法和流程，通過指導(dǎo)網(wǎng)絡(luò)運營者合理劃分定級對象和準確的確定安全保護等級，為后續(xù)的安全建設(shè)整改、等級測評等工作奠定了良好的基礎(chǔ)。

新版定級指南在等級保護1.0定級指南的基礎(chǔ)上，對等級保護對象做了新的定義，增加了對云大物移工等場景的說明，修改了定級流程，以適應(yīng)新形勢下等級保護工作的需要，有力推動了等級保護工作的開展。

等級保護對象新的定義

在GB/T 22240-2008中，等級保護對象被定義為：“信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)”，但這只是符合當(dāng)時的技術(shù)發(fā)展?fàn)顩r和等級保護工作需求。近年來，隨著云計算平臺、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新形態(tài)的等級保護對象不斷涌現(xiàn)，原定義內(nèi)涵的局限性日益顯現(xiàn)，無法全面覆蓋當(dāng)前的等級保護工作對象，需要進一步擴充和完善以適應(yīng)當(dāng)前工作的需要。

定級要素與安全保護等級新關(guān)系

依據(jù)安全保護等級的定義，定級應(yīng)綜合考慮“等級保護對象在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及一旦遭受到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素”。因此本標(biāo)準中明確等級保護對象的定級要素為兩個，分別為“受侵害的客體”和“對客體的侵害程度”。

定級要素與安全保護等級的關(guān)系如下表所示。

（ 對“公民、法人和其他組織”權(quán)益遭到特別嚴重侵害時，確定的保護等級保持不變，依然為二級 ）

等級保護對象 新特征

作為等級保護對象的網(wǎng)絡(luò)應(yīng)具有如下基本特征：

a) 具有確定的主要安全責(zé)任主體;

b) 承載相對獨立的業(yè)務(wù)應(yīng)用;

c) 包含相互關(guān)聯(lián)的多個資源。

在確定定級對象時，云計算平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)在滿足以上基本特征的基礎(chǔ)上，需要滿足以下要求。

特殊對象的定級說明

對于通信網(wǎng)絡(luò)設(shè)施、云計算平臺、大數(shù)據(jù)平臺等支撐類網(wǎng)絡(luò)，應(yīng)根據(jù)其承載或?qū)⒁休d的等級保護對象的重要程度確定其安全保護等級，原則上應(yīng)不低于其承載的等級保護對象的安全保護等級。

對于數(shù)據(jù)資源，應(yīng)綜合考慮規(guī)模、價值等因素，及其遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素確定其安全保護等級。涉及大量公民個人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺/系統(tǒng)，原則上其安全保護等級不低于第三級。

定級新流程

對于新建網(wǎng)絡(luò)、運營者應(yīng)當(dāng)依照等級保護相關(guān)法律法規(guī)要求和本標(biāo)準，在規(guī)劃設(shè)計階段確定其安全保護等級;對于跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的網(wǎng)絡(luò)可以由行業(yè)主管(監(jiān)管)部門統(tǒng)一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象，其運營者應(yīng)當(dāng)依據(jù)標(biāo)準要求分別進行專家評審、主管部門核準和公安機關(guān)備案審核，最終確定其安全保護等級。

專家評審： 定級對象的運營、使用單位應(yīng)組織信息安全專家和業(yè)務(wù)專家等，對初步定級結(jié)果的合理性進行評審，并出具專家評審意見 。

主管部門審批： 定級對象的運營、使用單位應(yīng)將初步定級結(jié)果定級結(jié)果報請行業(yè)主管(監(jiān)管)部門核準，并出具核準意見。

公安機關(guān)審核： 定級對象的運營、使用單位應(yīng)按照相關(guān)管理規(guī)定，將初步定級結(jié)果提交公安機關(guān)進行備案審查，審查不通過，其運營使用單位應(yīng)組織重新定級;審查通過后最終確定定級對象的安全保護等級。

綠盟科技全流程服務(wù)

等級保護的各個階段有著不同的工作重點，綠盟科技憑借著深厚的技術(shù)實力和豐富的安全服務(wù)項目經(jīng)驗，在定級備案階段，對涉及的定級對象單位基本情況，定級對象基本情況、侵害情況及相關(guān)定級備案的材料進行整理，協(xié)助客戶確定信息系統(tǒng)等級保護級別，填寫備案表及相關(guān)材料，完成定級備案過程。

針對等級保護其他階段同時可提供專業(yè)的等保咨詢服務(wù)、安全防護產(chǎn)品、安全技術(shù)服務(wù)和安全運營服務(wù)。為傳統(tǒng)環(huán)境、云計算、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)等各種場景的安全等級保護建設(shè)、提供全流程的保駕護航。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！