2020年11月1日,GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(等保2.0的定级指南)正式实施,不难发现,新的定级指南除了等级保护对象范围、安全保护等级的确定有较大变化外,在流程上还强调了二级及以上的等级保护对象,定级的时候要组织专家评审。日常工作中,很多单位对于组织专家评审该做什么样的准备工作比较迷茫,今天,小编跟大家一起,结合定级指南来捋一捋专家评审那些事儿。
等保2.0的定级指南中定级工作一般流程如下:
确定定级对象→初步确定定级→专家评审→主管部门核准→备案审核
可以看出,专家评审之前我们需要完成的是“确定定级对象”、“初步确定等级”这两件事儿。
1、确定定级对象
等级保护定级对象主要包括:信息系统、通信网络设施和数据资源等。
信息系统就是我们在等保1.0时候的定级对象,指的是各类信息系统,2.0时代根据新技术新应用的情况还包括云计算/平台、物联网、工业控制系统、采用移动互联技术的系统;
通信网络设施指的是为信息流通、网络运行等起基础支撑作用的网络设备设施,主要包括电信网、广播电视传输网和行业或单位的专用通信网等;
数据资源指的是具有或预期具有价值的数据集合,数据资源主要是拥有大量各类有价值的数据,那么这些单位需要保护好这些数据资源,自然需要对该数据资源进行定级,我们可以想象的这类数据有:人社数据、医保数据、公积金数据、个人财产数据(银行、房产、保险等)等信息;值得注意的是:当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级;涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级。
运营单位根据以上等级保护对象的特点,首先梳理建设、使用、运行、维护的各类信息系统、通信网络设施和数据资源等,确定出定级对象。
作为定级对象的信息系统应具有如下基本特征:
a)具有确定的主要安全责任主体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
(主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。)
2、初步确定等级
首先要了解定级原理,安全保护等级的确定主要从受侵害的客体和对客体侵害的程度两个维度来判断。
定级要素与安全保护等级的关系 | |||
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。
具体流程如下:
a) 确定受到破坏时所侵害的客体
1) 确定业务信息受到破坏时所侵害的客体;
2) 确定系统服务受到侵害时所侵害的客体。
b) 确定对客体的侵害程度
1) 根据不同的受侵害客体分别评定业务信息安全被破坏对客体的侵害程度;
2) 根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
c) 确定安全保护等级
1) 确定业务信息安全保护等级;
2) 确定系统服务安全保护等级。
3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
以上是专家评审前的理论性流程,那么实际工作开展当中,我们一般按以下流程进行:
一、准备专家评审材料
1、系统基本情况介绍
2、填写《信息系统安全等级保护备案表》;
3、编写《信息系统安全等级保护定级报告》;
4、三级以上系统还需提供系统拓扑结构及说明、系统安全建设实施方案、系统安全组织机构和管理制度、系统使用的信息安全产品清单及其认证、销售许可证;
5、专家评审意见初稿。
二、选取评审专家
在我省,评审专家从公安机关的网络安全等级保护专家组中选取3名(单数个)以上专家进行评审。
三、专家现场评审
运营单位介绍待评审的系统基本情况,专家查看系统演示、定级资料,针对有关等保定级问题进行交流质询;最终形成专家评审意见并进行签字。
如需等保测评服务,可后台私信联系。陆陆科技整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。