网络安全等级保护定级及备案实践

09/19 18:23
阅读数 59

前面介绍了国家为什么要施行网络安全等级保护制度,让大家都有所了解国家的安全监管要求,接下来主要讲解企业如何进行网络安全等级保护定级及备案实践的相关内容。
网络安全等级保护实施,他有五个规定动作,分别是定级、备案、整改建设、等级测评和监督检查(51CTO学院搜索:网络安全等级保护2.0实践体系课程(https://edu.51cto.com/course/17518.html)。这节课主要是讲定级及备案两个动作,内容讲述如下:
(一)系统如何定级? 先看最新的网络安全等级保护定级指南
依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》内容,具体如下:
1、安全保护等级
目前需要进行定级备案,分别是二级、三级和四级,五级在等保基本要求未进行内容描述,一级不需要定级备案。相关安全保护等级如下:
在这里插入图片描述
2、定级要素
定级要素包括两个方面,分别为:
受qinhai的客体:(1)公民、法人和其他组织的合法权益;(2)社会秩序、公共利益;(3)国家安全。
对客体qinhai的程度:(1)造成一般损坏;(2)造成严重损坏;(3)造成特别严重损坏。
在这里插入图片描述在这里插入图片描述
3、定级流程
等级保护对象一般定级流程,如下:
在这里插入图片描述
保护等级初步定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核、最终确定其安全保护等级。(注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者依据本标准自行确定安全保护定级,可不进行专家评审、主管部门核准和备案审核。)
4、确定等级对象
1)作为定级对象的信息系统具有如下基本特征(三个):
a)具有确定的主要安全责任体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
2)哪些系统属于强制定级备案范畴?
一类:云计算平台/系统**
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式(IASS、PASS和SAAS)将云计算平台/系统划分为不同的定级对象。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分不同的定级对象。

二类:物联网
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)。

三类:工业控制系统
不同于其他行业,《指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。对于大型工控系统,类似大型云计算平台要求,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议,而是要求,也就是说大型工控系统会进行拆分定级。

四类:采用移动互联技术的系统
这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。

五类:通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据案情责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网科作为一个整体对象定级,或分区域划分为若干个定级对象。

六类: 数据资源**
数据资源可以独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级






















5、定级方法描述
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受qinhai客体和对客体的qinhai程度可能不同,因此,安全保护等级由业务信息安全(机密性和完整性)和系统服务安全(可用性)两方面确定。定级方法流程图如下:
在这里插入图片描述
确定受qinhai的客体时,首先判断是否qinhai害国家安全(三级),然后判断是否qinhai社会秩序或公共利益(看严重程度定级级别),最后判断是否侵害公民、法人和其他组织的合法权益(一级或二级)。qinhai客体的影响分类如下:
一类:侵害国家安全的事项影响包括:
a)影响国家zhengquan稳固和lingtuzhuq、海洋权益完整;
b)影响国家统一、民族团结和社会稳定;
c)影响国家社会主义市场经济秩序和文化实力;
d)其他影响国家安全的事项。
二类:侵害社会秩序的事项包括以下方面:
a)影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
b)影响公共场所的活动秩序、公共交通秩序;
c)影响人们群众的生活秩序;
d)其他影响社会秩序的事项。
三类:侵害公共利益的事项包括以下方面:
a)影响社会成员使用公共设施;
b)影响社会成员获取公开数据资源;
c)影响社会成员接受公共服务等方面;
d)其他影响公共利益的事项。
业务信息安全和系统服务安全受到pohai后,可能产生以下qinhai后果:
a)影响行使工作职能;
b)导致业务能力下降;
c)引起法律纠纷;
d)导致财产损失;
e)造成社会不良影响;
f)对其他组织和个人造成损失;
g)其他影响。

























不同侵害后果的三种侵害程度描述如下:
a)一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
b)严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能的执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
c)特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且功能无法执行,出现极其严重的法律问题,极高的财产损失,较大范围的社会不良影响,对其他组织和个人造成非常高损害;
6、初步确定等级
根据业务信息安全被破坏时所侵害的客体以及对应的侵害程度,可得到业务信息安全保护等级:
在这里插入图片描述根据系统服务安全被破坏时所侵害的客体以及对应的侵害程度,可得到系统服务安全保护等级:





在这里插入图片描述
定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

8、确定安全保护等级
初步定为第二级及以上的对象,网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果给行业主管(监管)部门核准,并出具核准意见。然后把定级报告、备案表相关材料报送公安机关进行备案审核(目前广州市可以在线申请备案)。公安机关审核通过会颁发备案证,不同过,网络运营者需组织重新定级。
9、等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据《定级指南》重新确定定级对象和安全保护等级。如机房位置发生变化、线下系统迁移到云平台、业务或功能发生较大变化等都需要重新确定等级。
10、定级及备案实践
目前广州市都是网上受理等保备案材料,地址:http://gaj.gz.gov.cn/wlaqjc/各单位在网上注册、上传材料即可,备案的时候需要提供哪些材料如下
一类:二级系统需提供以下材料
a)信息系统安全等级保护备案表(一份,里面有总体内容和分项内容填写)
b)信息系统安全等级保护定级报告(一个信息系统一份)
c)授权经办人身份证复印件(一份)
d)授权委托证明书(一份)









二类:三级及三级以上的系统需提供以下材料
除了二级所提供的材料之外,还需要提供以下材料:
在这里插入图片描述备案相关材料需购买视频之后才能提供,请谅解,学习视频(51CTO学院搜索:网络安全等级保护2.0实践体系课程(https://edu.51cto.com/course/17518.html)。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部