Bootstrap

阅读笔记《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》

  1. 等级保护对象:网络安全等级保护工作直接作用的对象。主要包括信息系统、通信设施和数据资源等。
  2. 定级流程:确定定级对象、初步确定等级、专家评审、主管部门核准、备案审核
  3. 作为定级对象的信息系统应具有如下基本特征:(1)具有确定的主要安全责任主体;(2)承载相对独立的业务系统;(3)包含相互关联的多个资源。注:(1)主要安全责任主体包含但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;(2)避免将某一个单一的系统组件,如服务器、终端或网络设备作为定级对象。
  4. 云计算平台(系统):在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台(系统)需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台(系统)划分为不同的定级对象。对于大型云计算平台。宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
  5. 物联网:物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
  6. 工业控制系统:工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
  7. 采用移动互联技术的系统:采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
  8. 通信网络设施:对于电信网、广播电视传输等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
  9. 数据资源:数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
  10. 定级对象的安全主要包括业务信息安全和系统服务安全。将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
  11. 确定受侵害者客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
  12. 等级变更:当等级保护对象所处理的业务信息及系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需要根据本标准重新确定定级对象和安全保护等级。
;