網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2020)是中國于2020年11月1日開始實(shí)施的一項(xiàng)國家標(biāo)準(zhǔn)���,旨在配合《中華人民共和國網(wǎng)絡(luò)安全法》的實(shí)施��,并適應(yīng)云計(jì)算�����、移動(dòng)互聯(lián)���、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)�����、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開展。以下是對(duì)該指南的詳細(xì)概述:
一���、標(biāo)準(zhǔn)基本信息
標(biāo)準(zhǔn)號(hào):GB/T 22240-2020
中文名:信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南
外文名:Information security technology—Classification guide for classified protection of cybersecurity
發(fā)布日期:2020年4月28日
實(shí)施日期:2020年11月1日
起草單位:公安部第三研究所����、阿里云計(jì)算有限公司���、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司���、啟明星辰信息技術(shù)集團(tuán)股份有限公司、亞信科技(成都)有限公司�、審計(jì)署計(jì)算機(jī)技術(shù)中心等
主要起草人:曲潔、尚旭光��、黃順京��、李明���、黎水林��、張振峰等
二�����、主要內(nèi)容
1. 網(wǎng)絡(luò)安全保護(hù)等級(jí)劃分
該指南明確了網(wǎng)絡(luò)安全保護(hù)等級(jí)為五個(gè)級(jí)別��,從低到高分別為:
(1)第一級(jí):用戶自主保護(hù)級(jí)
(2)第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)
(3)第三級(jí):安全標(biāo)記保護(hù)級(jí)
(4)第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)
(5)第五級(jí):訪問驗(yàn)證保護(hù)級(jí)
各級(jí)別的詳細(xì)定義和描述可參見GB 17859-1999《計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則》�����。
2. 定級(jí)要素
定級(jí)包含兩個(gè)要素:
(1)受侵害的客體:包括公民��、法人和其他組織的合法權(quán)益����;社會(huì)秩序、公共利益���;國家安全�����。
(2)對(duì)客體的侵害程度:分為造成一般損害����、造成嚴(yán)重?fù)p害、造成特別嚴(yán)重?fù)p害����。
3. 定級(jí)流程
定級(jí)流程包括五個(gè)步驟:
(1)確定定級(jí)對(duì)象:明確具有確定的主要安全責(zé)任主體���、承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用���、包含相互關(guān)聯(lián)的多個(gè)資源的對(duì)象作為定級(jí)對(duì)象。
(2)初步確定等級(jí):根據(jù)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面���,確定受侵害的客體和對(duì)客體的侵害程度���,從而初步確定安全保護(hù)等級(jí)。
(3)專家評(píng)審:組織信息安全專家和業(yè)務(wù)專家對(duì)定級(jí)結(jié)果的合理性進(jìn)行評(píng)審�,并出具專家評(píng)審意見。
(4)主管部門核準(zhǔn):有行業(yè)主管(監(jiān)管)部門的����,還需將定級(jí)結(jié)果報(bào)請(qǐng)行業(yè)主管(監(jiān)管)部門核準(zhǔn),并出具核準(zhǔn)意見�。
(5)備案審核:定級(jí)對(duì)象的網(wǎng)絡(luò)運(yùn)營者按照相關(guān)管理規(guī)定,將定級(jí)結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審核����。審核通過后����,最終確定定級(jí)對(duì)象的安全保護(hù)等級(jí)���。
三�、總結(jié)
《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2020)》為信息系統(tǒng)運(yùn)營者提供了明確的定級(jí)方法和流程����,有助于他們根據(jù)信息系統(tǒng)的實(shí)際情況和潛在威脅程度,合理確定安全保護(hù)等級(jí)��,并采取相應(yīng)的安全措施�。同時(shí),該指南的實(shí)施也促進(jìn)了網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的規(guī)范化和標(biāo)準(zhǔn)化����。
