欢迎访问等保测评网!

等保服务热线:18664786404

当前位置:主页 > 等保整改 >

《GBT 22240-2020信息安全技术网络安全等级保护定级指南》发布,等保定级重要知识点快Get起来

2020-08-10 17:44
2020年4月28日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》,且该指南将于2020年11月1日正式实施。那么,新指南和原指南有什么不同呢?有哪些重要知识点值得我们注意?
 
1、等级保护对象有哪些?
主要包括:信息系统、通信网络设施和数据资源等。其中,数据资源指具有或预期具有价值的数据集合。
 
2、定级要素与安全保护等级的关系
等级保护对象的级别由两个定级要素决定:
①受侵害的客体。分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全;②对客体的侵害程度。分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
 
这里需要注意的是,当公民、法人和其他组织的合法权益造成特别严重损害时,定级对象应该定为二级,原先在征求意见稿中是三级。
 
3、定级工作流程
等级保护对象定级工作流程一般为:确定定级对象→初步确定等级→专家评审→主管部门批准→公安机关审核。
 
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织专家评审、主管部门批准和公安机关备案审核,最终确定其安全等级。初步确定为第一级的等级保护对象,可不进行专家评审、主管部门批准和公安机关审核。
 
4、不同保护对象的定级
①对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
②工业控制系统中现场采集/执行、现场控制和过程控制等要素需作为一个整体进行系统定级,各要素不单独定级;生产管理要素宜单独定级。
③对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
④数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于三级。