定级工作步骤
1.定级工作流程摸底调查,掌握网络底数;确定定级对象;初步确定网络的安全保护等级;专家评审;主管部门核准;公安机关备案;公安机关审核。
2.定级范围已经投入运行的网络、新建网络都要定级。新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步使用网络安全设施,落实安全保护措施。
3.等级确定第一级、第二级网络为一般网络,第三级、第四级、第五级网络为重要网络。网络的安全保护等级是网络的客观属性。在定级时,应站在维护国家网络安全的高度,综合考虑网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的影响,确定网络的安全保护等级。
4.定级工作指导行业主管部门可以根据定级指南,结合行业特点和网络的实际情况,出台定级指导意见,保证本行业网络在不同地区的安全保护等级的一致性,指导本行业网络的定级工作。今天,我们将展开探讨这部分内容。分别是确定定级对象、拟定等级、专家评审、主管部门核准;公安机关备案与审核。
确定定级对象
定级,是网络安全保护工作五个规定动作的第一个动作。第一个动作标准不标准,对后续工作的影响是非常大的。第一个动作做好了,后面的工作开展就有了正确的依据,方向也就容易把握了。如果第一个动作错了,后面工作都将偏离轨道。我们接着上次的内容继续往下谈,这将是比较琐碎的知识点,望能够耐心看完。定级、备案、建设整改、等级测评,是网络运营者落实等级保护制度,其中我们前一段时间通过介绍等级保护对象整个生命周期,大家应该也多少了解等级保护工作的系统化。我们就定级工作继续谈下去,在谈定级工作前,还是建议大家能够对《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)有所了解。
贯彻落实网络安全等级保护制度的原则四句话:一是明确责任,共同保护;二是依照标准,开展保护;三是同步建设,动态调整;四是指导监督,重点保护。其中涉及到同步建设,动态调整这一原则,也就是在建设过程中尽量开好头,但是如果发现开始时有些环节工作考虑不周全,则可以采取补救措施,进行动态调整。
定级工作参考的是《定级指南》,我们援引相关内容加强大家对国家标准的理解和领悟。
网络运营者开展网络定级前,要搞清网络支撑的业务类型、应用或服务范围、网络结构、数据和信息的规模、重要性等基本情况,为合理定级打好基础。
其实第一步算我们工作中常说的“清底数”,只有底数清了,后面工作才能有的放矢。
定级对象基本特征:
具有确定的主要安全责任主体;
承载相对独立的业务应用;
包含相互关联的多个资源。
注意事项:
主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;
相对独立并不意味着完全独立,可与其他业务应用有少量的数据交换;
第三,多个资源可包括但不限于网络资源、计算资源、存储资源等,应避免将某个单一的系统组件(例如服务器、终端或网络设备)作为定级对象。
确定定级对象参考
起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干安全域或单元去定级。
用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象的条件。不能将某一类信息系统作为一个定级对象去定级。
各单位网站、邮件系统要作为独立的定级对象。如果网站的后台数据库管理系统安全级别较高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会提供服务的报名考试系统)也要作为独立的定级对象。
对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,要按照定级指南的要求,合理确定定级对象。
确认负责定级的单位是否对所定级网络负有业务主管责任。也就是说,业务部门应主导对业务网络的定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
具有网络的基本要素。作为定级对象的网络、信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
注:不应将某个单一的系统组件.(例如服务器、终端、网络设备等)作为定级对象。
拟定保护等级
1.定级责任主体
网络运营者和行业主管部门是网络定级的责任主体。
2.定级要素
网络的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
网络的安全保护等级是网络本身的客观自然属性。
不是以已采取或将采取什么安全保护措施为依据,而是以网络的重要性和网络遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定网络的安全保护等级。
定级时应主要考虑网络被破坏对国家安全、社会稳定的影响,以及境内外各种敌对势力、敌对分子针对重要网络入侵攻击破坏和窃取秘密等因素。
既要防止因片面追求绝对安全而定级过高,也要防止为逃避监管而定级偏低。
3.对各类网络定级的处理方法
▶单位自建的网络(与上级单位无关),由本单位定级。
▶跨省或者全国统一联网运行的网络或信息系统,可以由行业主管部门统一确定安全保护等级。
▶由各行业统一规划、统一建设、统一安全保护策略的全国联网的大系统,应由行业主管部门统一对下各级网络分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级。
▶为避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。这也是上级主管部门审批的一个重要作用。
特别注意:同类网络的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级重要行业的重要系统不能定为第一级或第二级。
4.新建网络的定级
对于新建网络,网络运营者在规划设计时应确定网络的安全保护等级,按照网络等级,“三同步”安全保护技术措施和管理措施。
在初步确定网络的安全保护等级后,为了保证定级合理、准确,应聘请由公安机关组织成立的网络安全等级保护专家进行评审,并出具评审意见。
*重要行业、部门的网络,必须请专家进行评审,以免发生网络的安全保护等级被故意定低的情况。
在定级环节,网络运营者的意见或建议是最终的结果,这个和责任划分是密切相关的。上面提到若网络运营者不认可专家评审意见,这个是可以接受的,网络运营者应明白一旦发生安全事件,发现级别不准确时,则可能面临较重的处罚。
单位自建的网络(与上级单位无关)的安全等级确定后,是否报上级主管部门核准由各行业自行决定。网络运营者参考专家定级评审意见,最终确定网络安全的保护等级,按要求形成定级报告。如果专家评审意见与网络运营者意见不一致,由网络运营者自主决定网络等级。网络运营者有上级主管部门的,应当经上级主管部门对安全保护等级进行核准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的网络,则必须由其上级主管部门核准,以确保同类网络或分支网络在各地域分别定级的一致性。
备案材料送交公安机关后,公安机关会对网络定级的准确性进行审核。公安机关的审核是定级工作的最后一道防线。网络定级基本准确的,公安机关颁发由公安部统一监制的《网络安全等级保护备案证明》(下称《备案证明》)。
定级不准的,公安机关会告知网络运营者,建议其组织专家重新进行定级评审,并报上级主管部门核准。网络运营者仍然坚持原定等级的,公安机关也会受理其备案,但会当书面告知其承担由此引发的责任和后果,经上级公安机关同意,同时通报备案单位的上级主管部门。
在这个过程中,网络运营者还是可以“坚持己见”到底的,关键是由此产生的这个责任是需要自行承担,一旦发生安全事件(故),则可能面临上级主管部门的处罚和本级公安机关的处罚。所以,网络运营者应当遵循科学合理定级,或遵从上级主管部门文件精神结合《定级指南》进行定级。
在定级环节,理论上是没有测评机构的相关工作。然而,网络运营者可以咨询或寻找测评机构服务,这样可以促进做到科学、合理、准确。此过程中,机构的责任局限于协助辅助,不具备完全替代网络运营者单位的能力,不应当产生误解。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。