浅谈如何规范开展等级保护定级和备案工作Word格式.docx
- 文档编号:17102024
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:12
- 大小:299.11KB
浅谈如何规范开展等级保护定级和备案工作Word格式.docx
《浅谈如何规范开展等级保护定级和备案工作Word格式.docx》由会员分享,可在线阅读,更多相关《浅谈如何规范开展等级保护定级和备案工作Word格式.docx(12页珍藏版)》请在冰豆网上搜索。
(5)运营者(运营或使用单位)应根据等级保护对象的重要程度、业务特点,通过划分不同安全保护等级的等级保护对象,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的等级保护对象。
(6)跨省或者全国统一联网运行的等级保护对象由行业主管部门统一拟定安全保护等级,统一组织定级评审。
(7)当业务功能、服务范围、服务对象和处理的数据等发生重大变化,安全保护等级需要变更的,运营者(运营或使用单位)应当依法依规变更网络安全保护等级,根据其安全保护等级的调整情况,重新实施相应级别的安全保护措施。
(8)如委托外部机构协助开展定级和备案工作的,应与外部机构签订保密协议。
三、网络安全保护级别及其安全保护能力
等级保护对象定级涉及“有几级、怎么定”,我们先来谈“有几级”。
3.1网络安全保护等级的划分
等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,由低到高分为五个安全保护等级。
等保级别
监管强度
保护级别要素
等保对象实例
第一级
自主保护
等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益
中小企业非业务系统
第二级
指导保护
等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全
市(区、县)级非核心业务系统
第三级
监督保护
等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害
省级系统、市(区、县)级核心业务系统、证券、银保监会等行业规定的系统
第四级
强制保护
等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害
/
第五级
专控保护
等级保护对象受到破坏后,会对国家安全造成特别严重危害
3.2不同级别的安全保护能力
那么在确定保护等级后,不同保护等级要达到的基本安全保护能力是怎样要求的呢。
GB/T22239-2019《信息安全技术网络安全等级保护基本要求》规定不同级别等级保护对象应具备的基本安全保护能力如下:
基本安全保护能力要求
应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
略
注:
第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以本文中不再描述。
四、网络安全等级保护的定级要素
4.1定级要素
定级要素即确定网络安全保护等级的决定性因素。
等级保护对象的定级要素包括受侵害的客体和对客体的侵害程度。
其中:
(1)受侵害的客体
受侵害的客体指受法律保护的、等级保护对象受到破坏时所侵害的社会关系。
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
1)公民、法人和其他组织的合法权益;
2)社会秩序、公共利益;
3)国家安全
(2)对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
1)造成一般损害;
2)造成严重损害;
3)造成特别严重损害。
4.2定级要素与安全保护等级的关系
明确了定级要素有哪些之后,如何通过定级要素判断等级保护对象应该初步确定为几级呢?
定级要素与安全保护等级的关系即为回答这个问题。
业界将定级要素与安全保护等级的关系也称之为“定级矩阵”。
通过三个受侵害客体与三个侵害程度做两两的组合,得到一个3×
3的矩阵。
定级要素与安全保护等级的关系如下表:
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
社会秩序、公共利益
国家安全
也可以简化为:
1
2
3
4
5
按矩阵行列为:
122、234、345,按矩阵竖列为:
123、234、245,如此将“等级矩阵”简化为口诀后,是不是恍然间觉得原来看起来很复杂的“定级要素与安全保护等级的关系”似乎也没有很高的专业门槛。
五、定级备案的主要流程
在前面笔者向大家介绍了关于定级备案的一些要求和专业储备知识后,接下来我们来重点谈一下等级备案通常的主要流程。
定级备案的主要流程如下:
5.1确定定级对象
首先我们打破一个误区:
等级保护对象≠定级对象。
一个等级保护对象可能包含多个定级对象。
GB/T22240-2020《信息安全技术网络安全等级保护定级指南》给出了确定定级对象的方法论。
笔者在此结合实践,来谈谈如何确定定级对象。
(1)起支撑、传输作用的信息基础设施(网络设施、信息系统)可以作为定级对象,但不是将整个信息基础设施作为一个定级对象,而是要根据实际情况将信息基础设施划分成若干安全域或保护单元去定级(实施等级保护时,通常落实到每一个安全域中,宜将相同安全等级的应用业务系统部署在相同的安全域)。
(2)用于办公、生产、管理等的业务系统,宜分别单独确定为定级对象,如门户网站、邮件要作为独立的定级对象。
通常后台数据库管理系统安全级别较高,也要作为独立的定级对象。
(3)对于云计算平台/系统、工业控制系统、物联网、移动互联网等,按照GB/T22240-2020《信息安全技术网络安全等级保护定级指南》合理确定定级对象。
本文中通过表格简单做描述。
对象类型
定级原则
特例
工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。
其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;
生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
云计算平台
在云计算环境中,应将云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象
当安全责任主体相同时,跨省的行业或单位的专用通信网可作为一个整体对象定级;
当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。
数据资源
数据资源可独立定级
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;
当安全责任主体不同时,大数据应独立定级。
(4)不宜将如服务器、终端、网络设备等单一对象作为定级对象。
5.2初步确定等级
按照GB/T22240-2020《信息安全技术网络安全等级保护定级指南》“6.1定级方法概述”,初步确定定级对象的安全保护等级。
对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,还应按照以下要求确定安全保护等级:
(1)对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
(2)对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。
涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
5.3专家评审
安全保护等级初步确定为第二级及以上的,运营者(运营或使用单位)需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。
安全保护等级初步确定为第一级的等级保护对象,其网络运营者(运营或使用单位)可参考GB/T22240-2020《信息安全技术网络安全等级保护定级指南》自行确定最终安全保护等级,可不进行专家评审。
5.4主管部门审核
有行业主管(监管)部门的,运营者(运营或使用单位)还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。
安全保护等级初步确定为第一级的等级保护对象,其网络运营者(运营或使用单位)可参考GB/T22240-2020《信息安全技术网络安全等级保护定级指南》自行确定最终安全保护等级,无需主管部门核准。
5.5公安机关备案审查
运营者(运营或使用单位)应按照相关管理规定和当地公安机关的要求,将定级结果提交公安机关进行备案审核。
若审核不通过,运营者(运营或使用单位)需组织重新定级。
审核通过后最终确定定级对象的安全保护等级。
安全保护等级初步确定为第一级的等级保护对象,其网络运营者(运营或使用单位)可参考GB/T22240-2020《信息安全技术网络安全等级保护定级指南》自行确定最终安全保护等级,无需备案审核。
六、网络安全保护等级的变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,运营者(运营或使用单位)需重新确定定级对象和安全保护等级。
当安全保护等级发生变更时,针对每一次变更,运营者(运营或使用单位)应遵循同样的变更程序,即相同的文字报告、相同的管理办法、相同的监控过程。
七、网络安全等级保护的五个阶段
在本次分享的最后,笔者简单谈一下网络安全等级保护都会涉及哪些主要过程。
网络安全等级保护工作包括定级、备案、建设整改、等级测评和监督检查五个阶段。
7.1定级
见本文第五章“定级备案的主要流程”相关内容。
7.2备案
关于到公安机关备案的工作日要求,以当地公安机关为准。
7.3建设整改
等级保护对象的运营者(运营或使用单位)按照等级保护基本要求、行业基本要求等,分析安全建设整改需求,可委托网络安全服务机构进行;
对于整改项目,还可委托测评机构通过等保测评、风险评估等方法分析整改需求。
等级保护对象的运营者(运营或使用单位)根据需求制定建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,满足系统等级需求的网络产品和服务,开展网络安全等级保护建设整改工作。
7.4等级测评
等级保护对象的运营者(运营或使用单位)选择符合国家有关规定的测评机构,对已经完成等级保护建设的等级保护对象定期进行等级测评,确保等级保护对象的安全保护措施符合相应等级的安全要求。
对等级测评中发现的安全风险隐患,等级保护对象的运营者(运营或使用单位)返回上一阶段,制定整改方案,落实整改措施,消除风险隐患。
新建的第三级以上等级保护对象上线运行前应当委托测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
等级测评结束后,等级保护对象的运营者(运营或使用单位)将开展网络安全等级测评的测评情况及安全整改措施、整改结果向备案的公安机关报告。
7.5监督检查
县级以上公安机关依据国家网络安全等级保护、行业监管要求等制定监督检查方案及表格,对等级保护对象的运营者(运营或使用单位)的网络安全工作情况进行监督检查。
等级保护对象的运营者(运营或使用单位)根据网络安全保护等级保护监督检查、行业监管的规范或标准,准备相应的监督检查所需材料,协助、配合,并按照公安机关要求如实提供相关数据信息。
等级保护对象的运营者(运营或使用单位)对于公安机关在监督检查中发现的网络安全风险隐患,应采取措施消除;
不能立即消除的,应限期整改。
在网络安全等级保护工作的五个阶段中,涉及到四个不同的角色,分别是:
运营者、网络产品和服务提供商、公安机关、测评机构。
等级保护各工作阶段的角色分工如下:
流程/角色
运营者
网络产品和服务提供商
公安机关
测评机构
定级
确定安全保护等级,填写定级备案表、编写定级报告
协助运营者确认定级对象,辅导运营者准备定级报告,并组织专家评审(二级以上)
承接运营者的定级咨询
备案
准备备案材料,到当地公安机关备案
辅导运营、使用单位准备备案材料和提交备案申请
审核受理备案材料,出具网络安全等级保护备案证明
可承接运营者的备案咨询
建设整改
建设或整改,使等级保护对象符合相应保护级别的要求
协助者进行需求分析、规划设计、建设整改等工作
承接运营者的备案咨询
测评过程中提出安全整改需求
等级测评
接受测评机构的等级测评
在测评阶段指导运营者配合测评机构开展等级测评工作
开展等级测评活动
监督检查
配合公安机关的监督检查以及安全整改
协助运营者配合公安机关的监督检查以及全整改
为公安机关监督检查提供技术支持
开展监督检查
小结
本文根据国家有关出台的相关规定以及等保2.0系列标准的相关规范性要求,结合实践,介绍了如何规范开展网络安全等级保护的定级和备案工作。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅谈 如何 规范 开展 等级 保护 定级 备案 工作