时代新威专业等级保护测评机构为您解读：2020年最新《定级指南》

新版《GB/T 22240-2020 信息安全技术网络安全等级保护定级指南》正式发布，新的国标将于2020年11月1日正式实施，有哪些需要注意到的改变？

一、等级保护对象范围扩大了

等保保护定级对象主要包括：信息系统、通信网络设施和数据资源等；信息系统就是我们在1.0时候的定级对象，指的是各类信息系统；通信网络设施指的是为信息流通、网络运行等起基础支撑作用的网络设备设施，主要包括电信网、广播电视传输网和行业或单位的专用通信网等，所以大家得注意了自己单位的专网得定级，特别是承载了重要信息系统或者专网规模较大的网络；数据资源指的是具有或预期具有价值的数据集合，数据资源主要是拥有大量各类有价值的数据，那么这些单位需要保护好这些数据资源，自然需要对该数据资源进行定级，我们可以想象的这类数据有：人社数据、医保数据、公积金数据、个人财产数据（银行、房产、保险等）等信息；这里注意一点：当安全责任主体相同时，大数据、大数据平台/系统宜作为一个整体对象定级；当安全责任主体不同时，大数据应独立定级；涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于三级；不是所有的这类数据都需要独立去定级，日常中主要存在数据进行集中化后的场景，例如一些地方的大数据局或者政务中心将各行业的一些数据要过来后进行相关应用或使用时应当对这些数据进行独立定级。

公民、法人和其他组织最高依然为二级。当公民、法人和其他组织的合法权益造成特别严重损害时依然定为二级。

根据2.0的定级指南中定级要数与安全保护等级的关系表我们发现当公民、法人和其他组织的合法权益造成特别严重损害时依然为二级，这块在征求意见稿中是第三级，前段时间一个培训会议上看到有主管部门将这里写为第三级，需要大家注意并修正。

二、等保定级需要进行专家评审

等保2.0的定级指南中定级工作一般流程如下图：

020年最新发布《网络安全等级保护定级指南》专业解读"

从图中可以看到，定级需要进行专家评审，那么至此等保定级再也不是1.0的自主定级了，而是需要规范进行定级。对于初步确定为第一级的等级保护对象，可不进行专家家评审、主管部门核准和备案审核，所以一级系统不需要去公安网安部门进行备案，但是这里时代新威需要提醒的是哪些是一级系统，通俗点说就是这个系统哪怕是坏了对别人的影响都非常小的系统才是一级系统。定一级前，你们对照自己的系统看看是不是这样的，但凡不是这样的，那么你的系统肯定是二级起步了。那么安全保护等级初步确定为第二级及以上的等级保护对象，就需要组织专家评审、主管部门核准和备案审核，最终确定其安全等级。对于有主管部门的就去主管部门进行核准，没有主管部门的可以忽略，这里的主管部门需要明确的是上级行业主管部门而非地方上管理部门。主管部门核准在实践中时代新威建议大家根据实际情况灵活开展。为什么这样说，因为有的时候备案单位上级主管部门不清不楚或者你以为的主管部门他们不认为是你们的主管部门，实际工作中普遍存在：理论上的行业上级主管部门不是非常垂直的上下级管理关系，对下级单位即不管钱也不管人，平时工作上联系也不够紧密，如果这时还非要求上级行业主管部门进行审批，可能这个事就走不下去。

专家评审如何开展？

专家评审如何开展是等保2.0定级一个绕不开的问题。哪些是专家？谁来认定这些专家？这个在定级指南里没有说明，也不好说明，那么大家在实际开展工作中也是各不相同，比如北京要求有测评师参与评审，有些地方自己组织认定了一批评审专家，有些地方套用政府采购评审专家，有些地方也没有明确专家大家自由选择。

那么哪些人对等保定级工作了解呢？

第一、公安网安主管部门工作人员，他们从事这项工作，每年对大量新系统进行了定级审核，他们自然对等保定级工作了解，他们可以当专家，有些人会认为不能自己既当专家又进行最终审核，一般情况下为了避嫌，是异地网安人员参与评审；

第二、测评机构持证工作人员，他们长年在一线进行等保工作，他们接触了很多系统，对标准对系统情况比较熟悉，他们适合当等保定级专家，这里一哥建议测评机构的评审专家资质应为：中、高级测评师，他们的工作经验相对初级测评师来说较为丰富；

第三、相关网络安全专家，这里就比较广泛，比如各个单位信息中心或者网络安全的负责人，行业主管部门负责网络安全的人员，高校负责网络安全、计算机等教学人员，这些专家也都行，他们长年从事信息化特别是网络安全工作，经验也较为丰富，如果自身负责过或指导过本单位等保工作开展的那就更好。

如果每次专家评审至少有这三类人参与的话，这个定级一定相对更加规范合理，也建议各地还没有对专家范围进行认定的可以让各家单位按照这个要求来找专家，总结下就是：定级评审专家至少3人，人员中包括：异地网安人员、测评机构中高级测评师及其他网络安专家。专家找好了，评审就顺其自然的开展下去了，网络运营者肯定要对自己的信息系统进行介绍，各位专家对定级资料进行评审，提出相关疑问，网络运营者解答，最终专家对该系统的定级情况做一个认定，出具专家评审意见并进行签字，这样专家评审环节就完成了。

三、关于云平台定级需要了解的

对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。对于大型云计算平台（比如阿里云、腾讯云、京东云以及一些IDC云计算平台）基础设施可单独定一个网络系统，有关辅助服务系统另外再定一个系统。另外对于云租户，其相应的信息系统也需要开展等保工作，这块工作原则上是由云租户自己开展，切不可以为系统上云了，安全责任就不归自己了，出了事依然还是自己的事。对于通信网络设施、云计算平台/系统等定级对象，原则上等级不低于其承担的等级保护对象的安全保护等级。不能存在云计算平台是二级，平台上的系统是三级情况。

四、受侵害的客体表现形式有哪些

业务信息安全和系统服务安全受到破坏后，产生的侵害后果有以下表现形式：

很多人对受侵害的客体及受到破坏后造成的影响认识不清，比较模糊，比较抽象，根据以上描述，让大家对此有一个相对比较具体的认知。

五、等级变更时需重新进行定级

当等级保护对象所处理的业务信息和系统服务范围发生变化，可能导致业务信息安全和系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时，需根据本标准重新确定定级对象和安全保护等级。也就是等级需要变更时需要按照定级指南重新开展定级，该请专家评审的请专家评审，该请行业主管部门审核的请行业主管部门审核，再也不能随意进行等级的变更了。

时代新威专业等级保护测评机构为您解读：2020年最新《定级指南》相关推荐

e 讯 | 启用推荐证书编号，取消地域、行业限制，公安部发布最新《全国等级保护测评机构推荐目录》
网络安全等级保护测评工作是网络安全等级保护工作的重要环节,是专门机构针对网络开展的一种专业性.服务性的检测活动. 等级测评机构--是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护 ...
全国等级保护测评机构推荐目录
转自:http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41 ...
网络安全等级保护测评机构简介
加强公安等级保护测评工作,推动等级等级保护2.0学习全国测评机构联系名单. 全国等级保护测评机构推荐目录下载地址链接:https://pan.baidu.com/s/10_WPRLXn13052TO ...
杭州市等级保护测评机构名录-2023年
等级保护测评机构并不是一成不变的,因为有年审不符合条件被撤销的,也有符合条件新增的,所以需要不定时查看的.这里小编就给大家汇总了2023年杭州市等级保护测评机构名录. 杭州市等级保护测评机构名录-20 ...
知道等级保护测评都有哪些工作内容吗？
网络安全等级保护是当今发达国家保护关键信息基础设施.保障信息安全的通行做法,也是我国多年来网络安全工作实践和经验的总结.开展网络安全等级保护工作的主要目的就是要保护国家关键信息基础设施安全.维护国家安 ...
关于等级保护测评，这些你都知道吗
信息安全等级保护测评简称等保测评.所谓等保测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估 ...
网络、信息系统安全等级保护测评机构定级报告及定级备案表
网络.信息系统安全等级保护测评机构.公司定级备案材料,重要定级报告. <信息系统安全等级保护定级报告> 一.XXX信息系统描述简述确定该系统为定级对象的理由.从三方面进行说明:一是描述承 ...
【等级保护测评常常见高风险和降风险措施】
等级保护测评高风险判例和降风险措施提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档等级保护测评常见高风险和降风险措施前言随着网络安全行业的发展,等级保护测评作为最常见的合规检查 ...
干货 | 等级保护测评图鉴
各位老铁,周二好呀~~ 现在的北京天高云淡,碧空如洗,秋意正浓老舍先生曾说过:"北平之秋就是人间的天堂,也许比天堂更繁荣一点呢!" 职场有句金句:文不如表,表不如图,确实,图片 ...

时代新威专业等级保护测评机构为您解读：2020年最新《定级指南》

时代新威专业等级保护测评机构为您解读：2020年最新《定级指南》

时代新威专业等级保护测评机构为您解读：2020年最新《定级指南》相关推荐

最新文章

热门文章