《电子技术应用》
欢迎订阅(电子2025)
欢迎订阅(网数2025)
您所在的位置:首页 > 其他 > 业界动态 > 干货丨《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》的变化
NI-LabVIEW 2025

干货丨《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》的变化

2020-07-30
来源: e安在线
关键词: 信息安全 网络安全 等级保护定级指南

     小编这边拿到官方最新定级指南《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》标准,这里跟大家分享。

  补充说明一下,2020年4月底网上曾经流传过一个版本,该版本与官方发布的正式版本略有差距,本篇文章是以官网发布的正式版本为准。

微信图片_20200730134435.png

  一、标准更新背景及影响

  2020年4月28日,国家市场监督管理总局、国家标准化管理委员会正式发布《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》,并于2020年11月1日正式实施。

  相比于2008年发布的版本,定级指南2020版随着信息技术的发展在不断完善、更新以及充实,以此来保证标准的适用性。

  二、标准更新内容

  新标准代替《GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南》,与GB/T 22240-2008相比,主要技术变化如下:

  1、标准的命名变更:

  定级指南2008版本命名为:《GB/T 22240-2008  信息安全技术 信息系统安全保护等级定级指南》,而定级指南2020版本命名为《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》。

  标准目录结构对比:

微信图片_20200730134502.png

  2、定级原理变化

  从新老标准定级原理对比来看,有2处细微变化,从这2处变化我们可以新标准在用词上非常严谨,调整如下:

  由原来的“信息系统”调整为“等级保护对象”

  由原来的“公民”调整为“相关公民”

微信图片_20200730134517.png

  3、条款内容的变化对比:

  a、等级保护对象的变化

微信图片_20200730134534.png

  b、 定级要素与安全保护等级的关系

  需注意:当公民、法人和其他组织的合法权益造成特别严重损害时安全保护等级为二级,在征求意见稿中安全保护等级为三级。

  c、定级方法流程变化:

  新标准定级流程增加了专家评审、主管部门审批环节,如下图

微信图片_20200730134549.png

  说明:

  安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》标准进行专家评审、主管部门审核和备案审核,最终确定其安全保护等级。

  安全保护等级初步确定为第一级的等级保护对象,其网络运营者依据《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》标准自行确定最终安全保护等级,可不进行专家评审、主管部门审核和备案审核

  4、受害客体表现形式的变化对比

微信图片_20200730134621.png

微信图片_20200730134637.png

微信图片_20200730134641.png

  补充:

  一、哪些企业和机构需要定级备案?

  定级对象的范围相比旧标准变化较多,本次《定级指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源,我们来具体看下,作为定级对象的信息系统应具有如下三点基本特征

  a.具有确定的主要安全责任体;

  b.承载相对独立的业务应用;

  c.包含相互关联的多个资源。

  从这几个特征来看,基本互联网上的系统差不多都要定级备案。《定级指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。

  以前很多人一直有个疑问,我们的系统很小,没多少数据,就不需要定级了。现在官方给出了明确解释,企业、机关和事业单位以及社会团体等其他组织只要符合上述三个基本特征均需要进行定级备案。

  二、哪些系统属于强制定级备案范畴?

  云计算平台/系统

  《定级指南》明确表示,云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。就是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。对于大型云计算平台,除了服务模式之外还可能根据基础设施和辅助服务系统再次分别定级。不过这里《定级指南》中用了“宜”这个字,以我们的观点来看,应该是建议而非强制要求。另外,对于腾讯云这种大型云计算平台的要求,同样也适用于搭建私有云和混合云的大中型企业。

  物联网

  通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)。

  工业控制系统

  不同于其他行业,《定级指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。对于大型工控系统,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象,也就是说大型工控系统可拆分定级。

  采用移动互联技术的系统

  《定级指南》为这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统,将所有移动技术整合,作为一个整体来定级。

  通信网络设施

  主要是通信和广电行业的核心网络,基本可以算得上关键信息基础设施了,也是国家重点关注的行业之一。《定级指南》建议,可根据安全责任主体、服务类型或服务地域划分不同的定级对象。根据以往经验,基本都是采取责任主体或地域划分居多,也便于管理。而对于运营商网络(骨干网、接入网),多以地市为单位作为定级对象,《定级指南》建议跨省行业或单位专用通信网可作为一个整体对象定级。

  数据资源

  这是新版《定制指南》提出的一个新要素,数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子,比如某些电商平台,数据分布在多个平台,每个平台都有独立法人,这种情况就应该属于安全责任主体不同,这时就要把数据资源单独作为定级对象,电商平台作为另一个定级对象。

  


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容