为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,对原有标准GB/T 22240-2008 进行了修订。形成新的网络安全等级保护定级指南标准——GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》(以下简称定级指南),于2020年11月1日起正式实施。下面将对定级指南中的内容进行详细解读。
一、安全保护等级
定级指南中明确了网络安全保护等级为五个级别,从低到高分别为第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
各安全保护等级的定义如下:
第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;第二级 :等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。
二、定级要素
通过对五个级别的定义可以了解到等级保护定级包含两个要素为“受侵害的客体”与“对客体的侵害程度”。
1)受侵害的客体
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
2)对客体的侵害程度
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
将定级要素与安全保护等级进行关联,形成定级要素与安全保护等级的关系列表,明确对不同受侵害客体产生损害所对应的安全保护等级。
定级要素与安全保护等级的关系表
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
三、定级流程
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据定级指南组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。定级流程为1.确定定级对象2.初步确定等级3.专家评审4.主管部门核准5.备案审核五个步骤。
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据定级指南自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
3.1 确定定级对象
在确定安全保护等级前,首先要明确定级对象,定级对象的基本特征如下:a)具有确定的主要安全责任主体;b)承载相对独立的业务应用;c)包含相互关联的多个资源。
注:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
针对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源等在满足以上基本特征的基础上,还应遵循以下定级要求:
序号 | 定级对象 | 定级要求 |
1 | 云计算平台/系统 |
|
2 | 物联网 |
|
3 | 工业控制系统 |
|
4 | 采用移动互联技术的系统 |
|
5 | 通信网络设施 |
|
6 | 数据资源 |
|
3.2 初步确定安全保护等级
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定,定级对象的定级方法按照以下流程进行:a)确定受到破坏时所侵害的客体1)确定业务信息受到破坏时所侵害的客体;2)确定系统服务受到侵害时所侵害的客体。b)确定对客体的侵害程度1) 根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。c) 确定安全保护等级1) 确定业务信息安全保护等级;2) 确定系统服务安全保护等级;3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
3.3 确定安全保护等级
1)安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。
2)有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。
3)最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
注:1)对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
2)对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。3)涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。3.4 等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据定级指南重新确定定级对象和安全保护等级。
小结:
定级指南中明确了网络安全保护等级为五个级别;并指出了定级的两个要素为“受侵害的客体”与“对客体的侵害程度”;并规定了定级流程为1.确定定级对象2.初步确定等级3.专家评审4.主管部门核准5.备案审核五个步骤。