【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 解析:11月1日實施的《信息安全技術網絡安全等級保護定級指南》有哪些變化? – 【四維創智】

                    解析:11月1日實施的《信息安全技術網絡安全等級保護定級指南》有哪些變化?

                    11月 7,2020by admin

                    近日,國家市場監督管理總局和國家標準化管理委員會發布了《GBT 22240-2020信息安全技術網絡安全等級保護定級指南》新的國家標準,新的國標將于2020年11月1日正式實施。
                     

                     
                    新版定級指南有哪些變化呢?指南前言中指出:
                     

                     
                    01、定級流程有變化
                     
                    第二級及以上等級保護對象定級流程新增專家評審環節,不再自主定級,需要聘請專家認定等級保護對象的級別。
                     
                    02、定級對象有變化
                     
                    定級對象的范圍相比舊標準變化較多,本次《指南》包含了云計算、物聯網、工業控制系統、采用移動互聯技術的系統、通信網絡設施以及數據資源。
                     
                    通用定級對象基本特征明確,共計三點:
                     
                    具有確定的主要安全責任體;
                     
                    承載相對獨立的業務應用;
                     
                    包含相互關聯的多個資源。
                     
                    從這幾個特征來看,基本互聯網上的系統差不多都要定級備案?!吨改稀方o出了有關安全責任主體的解釋:包括但不限于企業、機關和事業單位等法人,以及不具備法人資格的社會團體等其他組織。
                     
                    以前很多人一直有個疑問,我們的系統很小,沒多少數據,就不需要定級了?,F在官方給出了解釋,企事業單位、機關基本都是具有法人的,那么這些單位的系統必須都要定級備案。其他團體(包括公益組織)和中小私營企業原則上也都要對系統進行定級備案。
                     
                    哪些系統屬于強制定級備案范疇?
                     
                    ?云計算平臺/系統
                     
                    《指南》明確表示,云上租戶和云服務商的等級保護對象要分開定級,根據云上服務模式再分別定級。就是說,云服務商的平臺對外提供SaaS、PaaS、IaaS三種服務模式,那么就分為三個對象來分別定級。
                     
                    對于大型云計算平臺,除了服務模式之外還可能根據基礎設施和輔助服務系統再次分別定級。
                     
                    ?物聯網
                     
                    通常是以系統為單位,將所有邊緣設備和應用統一起來,作為一個整體來定級。(比如某些智能家居系統,就要以整體平臺作為定級對象,不能以不同家庭或不同區域作為定級對象)
                     
                    ?工業控制系統
                     
                    不同于其他行業,《指南》要求對于工業控制系統,將現場、過程控制要素作為一個整體定級,而生產管理要素單獨再作為一個定級對象。也就是一個工業控制系統,最終會分成兩個對象定級備案。
                     
                    對于大型工控系統,類似大型云計算平臺要求,根據功能、主體、控制對象和生產廠商等因素劃分多個定級對象。這里《指南》并不是建議,而是要求,也就是說大型工控系統會進行拆分定級。
                     
                    ?采用移動互聯技術的系統
                     
                    《指南》為這類系統進行了簡要描述,即包括移動終端(手機、平板、筆記本)、移動應用和無線網絡等特征要素的系統。將所有移動技術整合,作為一個整體來定級。
                     
                    ?通信網絡設施
                     
                    主要是通信和廣電行業的核心網絡,基本可以算得上關鍵信息基礎設施了,也是國家重點關注的行業之一?!吨改稀方ㄗh(用了“宜”)可根據安全責任主體、服務類型或服務地域劃分不同的定級對象。
                     
                    而對于運營商網絡(骨干網、接入網),多以地市為單位作為定級對象?!吨改稀方ㄗh跨省行業或單位專用通信網可作為一個整體對象定級,這對于運營商企業來說算是一個利好了。
                     
                    ?數據資源
                     
                    這是新版《指南》提出的一個新要素。數據資源可以獨立定級。定級是基于大數據、大數據平臺安全責任主體相同與否。舉個例子,比如某些電商平臺,數據分布在多個平臺,每個平臺都有獨立法人,這種情況就應該屬于安全責任主體不同,這時就要把數據資源單獨作為定級對象,電商平臺作為另一個定級對象。
                     
                    03、確定受侵害的客體方面有變化
                     
                    1.侵害國家安全事項方面:
                     
                    新增影響海洋權益完整的侵害;
                     
                    新增影響國家社會主義經濟秩序和文化實力的侵害。
                     
                    2.侵害社會秩序事項方面:
                     
                    明確提出影響企事業單位、社會團體生產秩序、醫療衛生秩序的侵害;
                     
                    新增影響公共交通秩序的侵害;
                     
                    新增影響人民群眾生活的侵害;
                     
                    隨著我國信息化進程的全面加快,全社會特別是重要行業、重要領域對基礎信息網絡和重要信息系統的依賴程度越來越高,網絡安全等級保護制度作為我國網絡安全領域的基本國策、基本制度,嚴格落實網絡安全等級保護測評工作已經逐漸成為各行業必備。

                    国产小视频精品_国产小视频网站_国产小视频在线播放