2020年11月1日，GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》正式實施。定級指南正式實施也為我們在開展相關(guān)工作中帶來了一定的影響。

1.等級保護(hù)對象范圍擴(kuò)大了

等保2.0保護(hù)定級對象主要包括：信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等。

信息系統(tǒng)即等保1.0時的定級對象，指的是各類信息系統(tǒng)；

通信網(wǎng)絡(luò)設(shè)施指的是為信息流通、網(wǎng)絡(luò)運(yùn)行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施，主要包括電信網(wǎng)、廣播電視傳輸網(wǎng)和行業(yè)或單位的專用通信網(wǎng)等（這里需要注意——單位的專網(wǎng)，特別是承載了重要信息系統(tǒng)或者專網(wǎng)規(guī)模較大的網(wǎng)絡(luò)得定級）；

數(shù)據(jù)資源指的是具有或預(yù)期具有價值的數(shù)據(jù)集合，擁有大量各類有價值的數(shù)據(jù)的單位為做好保護(hù)工作需要對數(shù)據(jù)資源定級（這類數(shù)據(jù)包括人社數(shù)據(jù)、醫(yī)保數(shù)據(jù)、公積金數(shù)據(jù)、個人財產(chǎn)數(shù)據(jù)（銀行、房產(chǎn)、保險等）等信息）。

另外，當(dāng)安全責(zé)任主體相同時，大數(shù)據(jù)、大數(shù)據(jù)平臺/系統(tǒng)宜作為一個整體對象定級；

當(dāng)安全責(zé)任主體不同時，大數(shù)據(jù)應(yīng)獨(dú)立定級；

涉及到大量公民個人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺/系統(tǒng)，原則上其安全保護(hù)等級不低于三級；

日常中主要存在數(shù)據(jù)進(jìn)行集中化后的場景，例如一些地方的大數(shù)據(jù)局或者政務(wù)中心將各行業(yè)的一些數(shù)據(jù)集中進(jìn)行相關(guān)應(yīng)用或使用時應(yīng)當(dāng)對這些數(shù)據(jù)進(jìn)行獨(dú)立定級。

2.公民、法人和其他組織最高依然為二級

當(dāng)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害時依然定為二級。

雖然在征求意見稿中，當(dāng)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害時定為第三級，但根據(jù)2.0的定級指南中定級要數(shù)與安全保護(hù)等級的關(guān)系表可以發(fā)現(xiàn)它依然為二級。

3. 等保2.0的定級指南中定級工作一般流程如下圖：

從圖中可以看到，與等保1.0的自主定級不同，2.0定級需要進(jìn)行專家評審。安全保護(hù)等級初步確定為第二級及以上的等級保護(hù)對象，需要組織專家評審、主管部門核準(zhǔn)和備案審核，最終確定其安全等級。

對于有主管部門的就去主管部門進(jìn)行核準(zhǔn)，沒有主管部門的可以忽略，這里的主管部門需要明確的是上級行業(yè)主管部門而非地方上管理部門。

專家評審如何開展？

在進(jìn)行專家評審時，定級評審專家至少3人，人員中包括：異地網(wǎng)安人員、測評機(jī)構(gòu)中高級測評師及其他網(wǎng)絡(luò)安專家。評審時，網(wǎng)絡(luò)運(yùn)營者對自己的信息系統(tǒng)進(jìn)行介紹，各位專家對定級資料進(jìn)行評審，提出相關(guān)疑問，網(wǎng)絡(luò)運(yùn)營者解答，最終專家對該系統(tǒng)的定級情況做一個認(rèn)定，出具專家評審意見并進(jìn)行簽字，這樣專家評審環(huán)節(jié)就完成了。

4.關(guān)于云平臺定級需要了解的

對于大型云計算平臺，宜將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。對于大型云計算平臺（比如阿里云、騰訊云、京東云以及一些IDC云計算平臺）基礎(chǔ)設(shè)施可單獨(dú)定一個網(wǎng)絡(luò)系統(tǒng)，有關(guān)輔助服務(wù)系統(tǒng)另外再定一個系統(tǒng)。

對于云租戶來說，其相應(yīng)的信息系統(tǒng)也需要開展等保工作，認(rèn)為系統(tǒng)上云了，安全責(zé)任就不歸自己的想法是錯誤的。對于通信網(wǎng)絡(luò)設(shè)施、云計算平臺/系統(tǒng)等定級對象，原則上等級不低于其承擔(dān)的等級保護(hù)對象的安全保護(hù)等級。不能存在云計算平臺是二級，平臺上的系統(tǒng)是三級情況。

5.受侵害的客體表現(xiàn)形式有哪些

業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后，產(chǎn)生的侵害后果有以下表現(xiàn)形式：

6.等級變更時需重新進(jìn)行定級

當(dāng)?shù)燃壉Ｗo(hù)對象所處理的業(yè)務(wù)信息和系統(tǒng)服務(wù)范圍發(fā)生變化，可能導(dǎo)致業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后的受侵害客體和對客體的侵害程度發(fā)生變化時，需根據(jù)本標(biāo)準(zhǔn)重新確定定級對象和安全保護(hù)等級。也就是說等級變更時需要按照定級指南重新開展定級。

等保2.0定級指南正式開始實施，各網(wǎng)絡(luò)運(yùn)營者規(guī)范開展網(wǎng)絡(luò)安全等級保護(hù)工作也就有據(jù)可依了。

【版權(quán)提示】文章來源：等級保護(hù)測評。葫蘆娃集團(tuán)尊重并保護(hù)版權(quán)。部分圖片/素材來源于網(wǎng)絡(luò)，如有侵權(quán)請及時告知我們處理。