等级保护2.0系列问答(五)

发布时间 2019-05-20

第21问:网络安全等级保护定级工作流程是什么


等级保护定级流程可以大致分为五个步骤,分别是:


图片1.png


● 确定定级对象;

● 初步确定等级;

● 专家评审(安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据定级指南组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级);

● 主管部门审核(使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核);

● 公安机关备案审查(使用单位应将初步定级结果10日内提交公安机关进行备案审查,审查不通过,其使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级 );

当网络和信息系统安全等级发生变更(业务状态和系统服务范围发生变化),应根据标准要求重新确定定级对象和安全保护等级。


第22问:网络安全等级保护定级对象的变化情况


在等级1.0时代定级对象以信息系统为主,定级对象涵盖信息系统基本要素,避免将某个单一的系统组件,如终端、服务器或网络设备作为定级对象。

进入等保2.0时代,定级对象发生了较大变化,可分为通信网络设施、信息系统和数据资源三类。

1) 当确定通信网络设施为等级保护对象时:

● 对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。 

● 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。

2) 当确定数据资源为等级保护对象时:

● 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;

● 当安全责任主体不同时,大数据应独立定级。

3) 当确定信息信息系统为等级保护对象时,信息系统在等保1.0的基础上,覆盖了“云物移工”新应用新技术场景,等保2.0时代,信息系统包含下列内容:


图片2.png


第23问:网络安全等级保护定级对象有哪些特征


网络安全等级保护中,被确定为定级对象的网络和信息系统应具有如下特征:

1) 具有确定的主要安全责任主体;

2) 承载相对独立的业务应用;

3) 包含相互关联的多个资源。

如:对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。

跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。


第24问:网络安全等级保护云计算系统/平台如何确定定级对象


在GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》中规定:

● 云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。

● 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

在开展云计算等级保护定级工作时,确定云计算定级对象,需基于云计算形态、云安全责任边界以及云计算的架构,大致可以分为以下三类:

1) 云计算平台 ,即云服务商提供的云基础设施及其上的服务层App的组合;

2) 云服务客户业务应用系统;

3) 云计算技术构建的业务应用系统。


第25问:网络安全等级保护工业控制系统如何确定定级对象?


在GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》中明确指出对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分为两个对象定级备案。


工业控制系统主要包括现场采集/实行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/实行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级;对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。


相关链接:

等级保护2.0系列问答(一)

等级保护2.0系列问答(二)

等级保护2.0系列问答(三)

等级保护2.0系列问答(四)