...22240-2020 《信息安全技术 网络安全等级保护定级指南》【等级保护...
发布网友
发布时间:2024-10-04 14:10
共1个回答
热心网友
时间:2024-11-12 23:43
一、安全保护等级
定级指南中明确了网络安全保护等级分为五个级别,从低到高依次为:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。各级别的详细描述可参考GB 17859-1999《计算机信息系统 安全保护等级划分准则》。
二、定级要素
定级指南包含两个要素,即“受侵害的客体”与“对客体的侵害程度”。
1)受侵害的客体
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
2)对客体的侵害程度
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
三、定级流程
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者需依据定级指南组织专家评审、主管部门核准和备案审核,最终确定其安全保护等级。定级流程包括:1.确定定级对象;2.初步确定等级;3.专家评审;4.主管部门核准;5.备案审核。
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据定级指南自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
3.1 确定定级对象
在确定安全保护等级前,首先要明确定级对象。定级对象的基本特征如下:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
注:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
3.2 初步确定安全保护等级
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定,定级对象的定级方法按照以下流程进行:
a) 确定受到破坏时所侵害的客体
1) 确定业务信息受到破坏时所侵害的客体;
2) 确定系统服务受到侵害时所侵害的客体。
b) 确定对客体的侵害程度
1) 根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;
2) 根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
c) 确定安全保护等级
1) 确定业务信息安全保护等级;
2) 确定系统服务安全保护等级;
3) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
3.3 确定安全保护等级
1)安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。
2)有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。
3)最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
注:1)对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
2)对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。3)涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
3.4 等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据定级指南重新确定定级对象和安全保护等级。
小结:定级指南明确了网络安全保护等级为五个级别;并指出了定级的两个要素为“受侵害的客体”与“对客体的侵害程度”;并规定了定级流程为1.确定定级对象2.初步确定等级3.专家评审4.主管部门核准5.备案审核五个步骤。
