雪鹰领主,完美世界国际版下载,完美世界txt全集下载

干貨丨《GB/T 22240-2020信息安全技術網絡安全等級保護定級指南》的變化

日期： 2020-07-30

來源： e安在線

關鍵詞： 信息安全網絡安全等級保護定級指南

小編這邊拿到官方最新定級指南《GB/T 22240-2020 信息安全技術網絡安全等級保護定級指南》標準，這里跟大家分享。

　　補充說明一下，2020年4月底網上曾經流傳過一個版本，該版本與官方發布的正式版本略有差距，本篇文章是以官網發布的正式版本為準。

微信圖片_20200730134435.png

　　一、標準更新背景及影響

　　2020年4月28日，國家市場監督管理總局、國家標準化管理委員會正式發布《GB/T 22240-2020信息安全技術網絡安全等級保護定級指南》，并于2020年11月1日正式實施。

　　相比于2008年發布的版本，定級指南2020版隨著信息技術的發展在不斷完善、更新以及充實，以此來保證標準的適用性。

　　二、標準更新內容

　　新標準代替《GB/T 22240-2008信息安全技術信息系統安全等級保護定級指南》，與GB/T 22240-2008相比，主要技術變化如下：

　　1、標準的命名變更：

　　定級指南2008版本命名為：《GB/T 22240-2008 信息安全技術信息系統安全保護等級定級指南》，而定級指南2020版本命名為《GB/T 22240-2020信息安全技術網絡安全等級保護定級指南》。

　　標準目錄結構對比：

微信圖片_20200730134502.png

　　2、定級原理變化

　　從新老標準定級原理對比來看，有2處細微變化，從這2處變化我們可以新標準在用詞上非常嚴謹，調整如下：

　　由原來的“信息系統”調整為“等級保護對象”

　　由原來的“公民”調整為“相關公民”

微信圖片_20200730134517.png

　　3、條款內容的變化對比：

　　a、等級保護對象的變化

微信圖片_20200730134534.png

　　b、定級要素與安全保護等級的關系

　　需注意：當公民、法人和其他組織的合法權益造成特別嚴重損害時安全保護等級為二級，在征求意見稿中安全保護等級為三級。

　　c、定級方法流程變化：

　　新標準定級流程增加了專家評審、主管部門審批環節，如下圖

微信圖片_20200730134549.png

　　說明：

　　安全保護等級初步確定為第二級及以上的等級保護對象，其網絡運營者依據《GB/T 22240-2020信息安全技術網絡安全等級保護定級指南》標準進行專家評審、主管部門審核和備案審核，最終確定其安全保護等級。

　　安全保護等級初步確定為第一級的等級保護對象，其網絡運營者依據《GB/T 22240-2020信息安全技術網絡安全等級保護定級指南》標準自行確定最終安全保護等級，可不進行專家評審、主管部門審核和備案審核。

　　4、受害客體表現形式的變化對比：

微信圖片_20200730134621.png

微信圖片_20200730134637.png

微信圖片_20200730134641.png

　　補充：

　　一、哪些企業和機構需要定級備案？

　　定級對象的范圍相比舊標準變化較多，本次《定級指南》包含了云計算、物聯網、工業控制系統、采用移動互聯技術的系統、通信網絡設施以及數據資源，我們來具體看下，作為定級對象的信息系統應具有如下三點基本特征

　　a.具有確定的主要安全責任體；

　　b.承載相對獨立的業務應用；

　　c.包含相互關聯的多個資源。

　　從這幾個特征來看，基本互聯網上的系統差不多都要定級備案。《定級指南》給出了有關安全責任主體的解釋：包括但不限于企業、機關和事業單位等法人，以及不具備法人資格的社會團體等其他組織。

　　以前很多人一直有個疑問，我們的系統很小，沒多少數據，就不需要定級了。現在官方給出了明確解釋，企業、機關和事業單位以及社會團體等其他組織只要符合上述三個基本特征均需要進行定級備案。

　　二、哪些系統屬于強制定級備案范疇？

　　云計算平臺/系統

　　《定級指南》明確表示，云上租戶和云服務商的等級保護對象要分開定級，根據云上服務模式再分別定級。就是說，云服務商的平臺對外提供SaaS、PaaS、IaaS三種服務模式，那么就分為三個對象來分別定級。對于大型云計算平臺，除了服務模式之外還可能根據基礎設施和輔助服務系統再次分別定級。不過這里《定級指南》中用了“宜”這個字，以我們的觀點來看，應該是建議而非強制要求。另外，對于騰訊云這種大型云計算平臺的要求，同樣也適用于搭建私有云和混合云的大中型企業。

　　物聯網

　　通常是以系統為單位，將所有邊緣設備和應用統一起來，作為一個整體來定級。（比如某些智能家居系統，就要以整體平臺作為定級對象，不能以不同家庭或不同區域作為定級對象）。

　　工業控制系統

　　不同于其他行業，《定級指南》要求對于工業控制系統，將現場、過程控制要素作為一個整體定級，而生產管理要素單獨再作為一個定級對象。也就是一個工業控制系統，最終會分成兩個對象定級備案。對于大型工控系統，根據功能、主體、控制對象和生產廠商等因素劃分多個定級對象，也就是說大型工控系統可拆分定級。

　　采用移動互聯技術的系統

　　《定級指南》為這類系統進行了簡要描述，即包括移動終端（手機、平板、筆記本）、移動應用和無線網絡等特征要素的系統，將所有移動技術整合，作為一個整體來定級。

　　通信網絡設施

　　主要是通信和廣電行業的核心網絡，基本可以算得上關鍵信息基礎設施了，也是國家重點關注的行業之一。《定級指南》建議，可根據安全責任主體、服務類型或服務地域劃分不同的定級對象。根據以往經驗，基本都是采取責任主體或地域劃分居多，也便于管理。而對于運營商網絡（骨干網、接入網），多以地市為單位作為定級對象，《定級指南》建議跨省行業或單位專用通信網可作為一個整體對象定級。

　　數據資源

　　這是新版《定制指南》提出的一個新要素，數據資源可以獨立定級。定級是基于大數據、大數據平臺安全責任主體相同與否。舉個例子，比如某些電商平臺，數據分布在多個平臺，每個平臺都有獨立法人，這種情況就應該屬于安全責任主體不同，這時就要把數據資源單獨作為定級對象，電商平臺作為另一個定級對象。

版權聲明：本站內容除特別聲明的原創文章之外，轉載內容只為傳遞更多信息，并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題，請及時通過電子郵件或電話通知我們，以便迅速采取適當措施，避免給雙方造成不必要的經濟損失。聯系電話：010-82306118；郵箱：aet@chinaaet.com。

干貨丨《GB/T 22240-2020信息安全技術 網絡安全等級保護定級指南》的變化

日期： 2020-07-30

來源： e安在線

相關內容

干貨丨《GB/T 22240-2020信息安全技術網絡安全等級保護定級指南》的變化