国标22240 2020 定级指南
Categories:
少于1分钟
基本概念和定级要素
等级:指重要性等级
- 对国家安全、经济建设、公共利益等方面的重要性
- 被破坏后造成影响的严重程度
等保的对象
- 信息系统(2002→2020修订)
- 通信网络设施(2020新增)
- 数据资源(2020新增)
等保的主体
信息系统的运营、使用单位
等保的客体
客体的类型
- 公民、法人和其他组织的合法权益
- 社会秩序和公共利益
- 国家安全
客体侵害程度
- 一般损害:采取恢复或弥补措施,可消除部分影响
- 特别损害:采取恢复或弥补措施,仍产生较大影响
- 特别严重损害:无法恢复和弥补,后果特别严重,产生重大影响
定级工作流程
确定定级对象
定级对象的类型
信息系统类对象
云计算平台
- 云服务商侧:单独作为定级对象定级
- 云服务客户侧:单独作为定级对象定级
- 大型云计算平台:将云计算基础设施和有关辅助服务系统化为不同的定级对象
物联网
感知、网络传输、处理应用等要素作为整体对象定级,各要素不单独定级
移动互联网
移动终端、移动应用、无线网络等要素可作为一个整体独立定级或与相关联业务一起定级,各要素不单独定级
工控系统
- 现场采集/执行、现场控制、过程控制等要素应作为整体对象定级,各要素不单独定级
- 生产管理要素可单独定级
- 大型工控系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象
通信网络对象
- 电信网、广播电视传输网、互联网等基础信息网络,应根据责任主体、服务类型或地域将其划分为不同的定级对象
- 跨省的行业或单位内部专用网(专网)可作为一个整体对象定级,或分区域划分多干个定级对象
数据资源类对象
- 数据资源可作为单独定级对象进行定级
- 安全责任主体相同时:大数据、大数据平台/系统可作为一个整体对象定级
- 安全责任主体不同时:大数据宜独立定级
定级对象的重要性
- 业务信息(S)重要性
- 系统服务(A)重要性
初步确定等级
定级方法流程
确定客体
- 确定业务信息(S)受到破坏时所侵害的客体
- 确定系统服务(A)受到破坏时所侵害的客体
确定程度
- 综合评定对客体(S)的侵害程度
- 综合评定对客体(A)的侵害程度
初步定级
- 确定业务信息(S)安全保护等级
- 确定系统服务(A)安全保护等级
- 确定定级对象(SA)的安全保护等级
具体定级方法
确定侵害客体
- 业务信息(S)受到破坏后的侵害客体
- 系统服务(A)受到破坏后的侵害客体
- 多种信息(S)和多种服务系统(A)的处理
确定侵害程度
- 业务信息(S)受到破坏后对客体的侵害程度
- 系统服务(A)受到破坏后对客体的侵害程度
- 多种信息(S)和多种服务系统(A)的处理
综合判定侵害程度
- 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准
- 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准
- 确定业务信息(S)安全等级和信息服务(A)安全等级
- 取高,初步确定定级对象(SA)的安全保护等级
特定对象定级说明
- 对于基础网络设施、云平台和大数据平台等支撑类定级对象,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级
- 对于数据资源,应综合考虑其规模、价值等因素,涉及大量公民信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级
专家评审
由行业内外专家、高级测评师参与
行业主管部门核准
备案审核
备案基本流程
- 用户初步定级
- 编制定级报告
- 专家定级评审
- 填写备案表
- 提交备案资料
- 受到备案证明
《网络安全等级保护条例》征求意见稿
第十六条:网络定级
网络运营者应当在规划设计阶段确定网络的安全保护等级
当网络功能、服务范围、服务对象和处理的数据发生重大变化时,网络运营者应当依法变更网络安全保护等级
第十七条:定级评审
对拟定为二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准
跨省或全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审
第十八条:定级备案
二级以上网络运营者应当在网络的安全保护等级确定后10各工作日内,到县级以上公安机关备案
因网络撤销或变更安全保护等级的,应当在10各工作日内向原受理备案公安机关办理备案撤销或变更手续
第十九条:审核备案
公安机关应当对网络运营者提交的备案材料进行审核,对材料符合要求的,应在10个工作日内出具网络安全等级保护证明