哪些企業(yè)需要開展等級(jí)保護(hù)定級(jí)工作？

定級(jí)的流程是什么樣的？

哪些系統(tǒng)/平臺(tái)可以定二級(jí)？哪些需要定三級(jí)？

安徽等保測(cè)評(píng)機(jī)構(gòu)高級(jí)測(cè)評(píng)師將從專業(yè)測(cè)評(píng)機(jī)構(gòu)的角度，系統(tǒng)講解GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。

2020年4月28日，國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了GB/T 22240-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（以下簡(jiǎn)稱《定級(jí)指南》），將于2020年11月1日正式實(shí)施，該標(biāo)準(zhǔn)代替GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)定級(jí)指南》。新版的《定級(jí)指南》在2008版的基礎(chǔ)上，對(duì)等級(jí)保護(hù)對(duì)象進(jìn)行重新定義，增加了特定定級(jí)對(duì)象的定級(jí)說明，明確了定級(jí)流程，為網(wǎng)絡(luò)運(yùn)營(yíng)者開展非涉及國(guó)家秘密等級(jí)保護(hù)對(duì)象的定級(jí)工作提供了依據(jù)。01 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

根據(jù)受侵害的客體和對(duì)客體的侵害程度，我們可以得到相應(yīng)的安全保護(hù)等級(jí)，如一個(gè)系統(tǒng)遭受到破壞后對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，那么這個(gè)系統(tǒng)應(yīng)當(dāng)定為第三級(jí)。在征求意見稿中，當(dāng)對(duì)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害時(shí)，對(duì)應(yīng)的是第三級(jí)，但在正式發(fā)布的《定級(jí)指南》中，該項(xiàng)對(duì)應(yīng)的是第二級(jí)。受侵害的客體和侵害程度在標(biāo)準(zhǔn)中也比較客觀的給出了描述。

02 定級(jí)流程

《定級(jí)指南》提到安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的等級(jí)保護(hù)對(duì)象，其網(wǎng)絡(luò)運(yùn)營(yíng)者依據(jù)本標(biāo)準(zhǔn)組織進(jìn)行專家評(píng)審、主管部門核準(zhǔn)和備案審核，最終確定其安全保護(hù)等級(jí)。這樣的定級(jí)流程更加嚴(yán)謹(jǐn)，避免系統(tǒng)定級(jí)過高或過低的問題，讓網(wǎng)絡(luò)運(yùn)營(yíng)者更好的履行其安全義務(wù)。定級(jí)流程如下圖：

需要注意的是，網(wǎng)絡(luò)運(yùn)營(yíng)者在初步確定等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)后，為了保證定級(jí)的合理性和準(zhǔn)確性，應(yīng)聘請(qǐng)行業(yè)專家對(duì)定級(jí)結(jié)果進(jìn)行評(píng)審，并出具專家評(píng)審意見。深圳市早年就建立了專家?guī)?，定?jí)要求也比較明確，定級(jí)時(shí)需要3名專家進(jìn)行評(píng)審（3名專家不能全為同一專家組成員單位）。

03 定級(jí)對(duì)象

《定級(jí)指南》指出，主要安全責(zé)任主體包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會(huì)團(tuán)體等其他組織。另外，要避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備作為定級(jí)對(duì)象。2008版《定級(jí)指南》中描述的對(duì)象為信息系統(tǒng)，而新版《定級(jí)指南》擴(kuò)大了等級(jí)保護(hù)對(duì)象的范圍，主要包括：信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等，同時(shí)又細(xì)化了定級(jí)對(duì)象的類型，其中信息系統(tǒng)包括：工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)。《定級(jí)指南》中還對(duì)各類系統(tǒng)的基本特征進(jìn)行了描述。

04 確定安全保護(hù)等級(jí)

安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的定級(jí)對(duì)象，網(wǎng)絡(luò)運(yùn)營(yíng)者組織專家評(píng)審、主管部門核準(zhǔn)和備案審核，最終確定安全保護(hù)等級(jí)。

對(duì)于通信網(wǎng)絡(luò)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)等定級(jí)對(duì)象，需根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí)，原則上不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。而對(duì)于電信網(wǎng)、廣播電視傳輸網(wǎng)等通信網(wǎng)絡(luò)設(shè)施，宜根據(jù)安全責(zé)任主體、服務(wù)類型或服務(wù)地域等因素將其劃分為不同的定級(jí)對(duì)象?？缡〉男袠I(yè)或單位的專用通信網(wǎng)可作為一個(gè)整體對(duì)象定級(jí)，或分區(qū)域劃分為若干個(gè)定級(jí)對(duì)象。

數(shù)據(jù)資源可獨(dú)立定級(jí)。當(dāng)安全責(zé)任主體相同時(shí)，大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng)宜作為一個(gè)整體對(duì)象定級(jí)；當(dāng)安全責(zé)任主體不同時(shí)，大數(shù)據(jù)應(yīng)獨(dú)立定級(jí)。涉及到大量公民個(gè)人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺(tái)/系統(tǒng)，原則上其安全保護(hù)等級(jí)不低于第三級(jí)。

對(duì)于大型云計(jì)算平臺(tái)，宜將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。

物聯(lián)網(wǎng)主要包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層等，需將以上要素作為一個(gè)整體對(duì)象進(jìn)行定級(jí)，各要素不建議單獨(dú)定級(jí)。

工業(yè)控制系統(tǒng)中現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制和過程控制等要素需作為一個(gè)整體對(duì)象進(jìn)行定級(jí)，各要素也不建議單獨(dú)定級(jí)，但是生產(chǎn)管理要素建議單獨(dú)定級(jí)。而對(duì)于大型工業(yè)控制系統(tǒng)，可根據(jù)系統(tǒng)功能、責(zé)任主體、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定級(jí)對(duì)象。

總體而言，新版的《定級(jí)指南》相比舊版更加細(xì)致，網(wǎng)絡(luò)運(yùn)營(yíng)者在開展定級(jí)工作時(shí)，應(yīng)當(dāng)明確定級(jí)對(duì)象的基本特征，若屬于工控、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等特定領(lǐng)域的，在系統(tǒng)建設(shè)、運(yùn)維、管理中還應(yīng)符合其領(lǐng)域相關(guān)的要求。安全保護(hù)等級(jí)確定為第二級(jí)及以上的定級(jí)對(duì)象，應(yīng)及時(shí)到當(dāng)?shù)鼐W(wǎng)監(jiān)進(jìn)行備案，并依據(jù)《網(wǎng)絡(luò)安全法》及其配套法規(guī)的規(guī)定履行相應(yīng)的等級(jí)保護(hù)測(cè)評(píng)義務(wù)。

安徽等保測(cè)評(píng)機(jī)構(gòu)作為國(guó)內(nèi)專業(yè)的等級(jí)保護(hù)測(cè)評(píng)服務(wù)提供商，擁有權(quán)威的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)資質(zhì)，以及經(jīng)驗(yàn)豐富的測(cè)評(píng)服務(wù)團(tuán)隊(duì)，迄今為止，我司已為上千家企事業(yè)單位提供網(wǎng)絡(luò)安全服務(wù)，為客戶建設(shè)符合等級(jí)要求的安全技術(shù)和管理體系，未來，安徽等保測(cè)評(píng)機(jī)構(gòu)將一如既往秉承客戶第一、口碑第一的服務(wù)宗旨，竭誠(chéng)為客戶提供最優(yōu)質(zhì)的服務(wù)。