首頁 > 關于我們 > 新聞動態 > 深度解讀

等級保護2.0系列問答(五)

發布時間 2019-05-20

第21問:網絡安全等級保護定級工作流程是什么?


等級保護定級流程可以大致分為五個步驟,分別是:


圖片1.png


● 確定定級對象;

● 初步確定等級;

● 專家評審(安全保護等級初步確定為第二級及以上的等級保護對象,其網絡運營者依據定級指南組織進行專家評審、主管部門核準和備案審核,最終確定其安全保護等級);

● 主管部門審核(使用單位應將初步定級結果上報行業主管部門或上級主管部門進行審核);

● 公安機關備案審查(使用單位應將初步定級結果10日內提交公安機關進行備案審查,審查不通過,其使用單位應組織重新定級;審查通過后最終確定定級對象的安全保護等級 );

當網絡和信息系統安全等級發生變更(業務狀態和系統服務范圍發生變化),應根據標準要求重新確定定級對象和安全保護等級。


第22問:網絡安全等級保護定級對象的變化情況?


在等級1.0時代定級對象以信息系統為主,定級對象涵蓋信息系統基本要素,避免將某個單一的系統組件,如終端、服務器或網絡設備作為定級對象。

進入等保2.0時代,定級對象發生了較大變化,可分為通信網絡設施、信息系統和數據資源三類。

1) 當確定通信網絡設施為等級保護對象時:

● 對于電信網、廣播電視傳輸網等通信網絡設施,宜根據安全責任主體、服務類型或服務地域等因素將其劃分為不同的定級對象。 

● 跨省的行業或單位的專用通信網可作為一個整體對象定級,或分區域劃分為若干個定級對象。

2) 當確定數據資源為等級保護對象時:

● 當安全責任主體相同時,大數據、大數據平臺/系統宜作為一個整體對象定級;

● 當安全責任主體不同時,大數據應獨立定級。

3) 當確定信息信息系統為等級保護對象時,信息系統在等保1.0的基礎上,覆蓋了“云物移工”新應用新技術場景,等保2.0時代,信息系統包含下列內容:


圖片2.png


第23問:網絡安全等級保護定級對象有哪些特征?


網絡安全等級保護中,被確定為定級對象的網絡和信息系統應具有如下特征:

1) 具有確定的主要安全責任主體;

2) 承載相對獨立的業務應用;

3) 包含相互關聯的多個資源。

如:對于電信網、廣播電視傳輸網等通信網絡設施,宜根據安全責任主體、服務類型或服務地域等因素將其劃分為不同的定級對象。

跨省的行業或單位的專用通信網可作為一個整體對象定級,或分區域劃分為若干個定級對象。


第24問:網絡安全等級保護云計算系統/平臺如何確定定級對象?


在GB/T 22240-2020《信息安全技術 網絡安全等級保護定級指南》中規定:

● 云計算環境中,云服務客戶側的等級保護對象和云服務商側的云計算平臺/系統需分別作為單獨的定級對象定級,并根據不同服務模式將云計算平臺/系統劃分為不同的定級對象。

● 對于大型云計算平臺,宜將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象。

在開展云計算等級保護定級工作時,確定云計算定級對象,需基于云計算形態、云安全責任邊界以及云計算的架構,大致可以分為以下三類:

1) 云計算平臺 ,即云服務商提供的云基礎設施及其上的服務層軟件的組合;

2) 云服務客戶業務應用系統;

3) 云計算技術構建的業務應用系統。


第25問:網絡安全等級保護工業控制系統如何確定定級對象?


在GB/T 22240-2020《信息安全技術 網絡安全等級保護定級指南》中明確指出對于工業控制系統,將現場、過程控制要素作為一個整體定級,而生產管理要素單獨再作為一個定級對象。也就是一個工業控制系統,最終會分為兩個對象定級備案。


工業控制系統主要包括現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中,現場采集/執行、現場控制和過程控制等要素需作為一個整體對象定級,各要素不單獨定級;生產管理要素宜單獨定級;對于大型工業控制系統,可根據系統功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。


相關鏈接:

等級保護2.0系列問答(一)

等級保護2.0系列問答(二)

等級保護2.0系列問答(三)

等級保護2.0系列問答(四)


上一篇 下一篇