网络安全等级保护定级指南之标准解读

哪些企业需要开展等级保护定级工作？

定级的流程是什么样的？

哪些系统/平台可以定二级？哪些需要定三级？

上海知虎科技有限公司高级测评师将从专业测评机构的角度，系统讲解GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》。

2020年4月28日，国家市场监督管理总局和国家标准化管理委员会发布了GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》（以下简称《定级指南》），将于2020年11月1日正式实施，该标准代替GB/T 22240-2008《信息安全技术 信息系统安全等级定级指南》。新版的《定级指南》在2008版的基础上，对等级保护对象进行重新定义，增加了特定定级对象的定级说明，明确了定级流程，为网络运营者开展非涉及国家秘密等级保护对象的定级工作提供了依据。

01 定级要素与安全保护等级的关系

根据受侵害的客体和对客体的侵害程度，我们可以得到相应的安全保护等级，如一个系统遭受到破坏后对社会秩序和公共利益造成严重损害，那么这个系统应当定为第三级。在征求意见稿中，当对公民、法人和其他组织的合法权益造成特别严重损害时，对应的是第三级，但在正式发布的《定级指南》中，该项对应的是第二级。受侵害的客体和侵害程度在标准中也比较客观的给出了描述。

02 定级流程

《定级指南》提到安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。这样的定级流程更加严谨，避免系统定级过高或过低的问题，让网络运营者更好的履行其安全义务。定级流程如下图：

需要注意的是，网络运营者在初步确定等级保护对象的安全保护等级后，为了保证定级的合理性和准确性，应聘请行业专家对定级结果进行评审，并出具专家评审意见。深圳市早年就建立了专家库，定级要求也比较明确，定级时需要3名专家进行评审（3名专家不能全为同一专家组成员单位）,广东省其他地市的专家库也正在筹备建立。

03 定级对象

《定级指南》指出，主要安全责任主体包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。另外，要避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。2008版《定级指南》中描述的对象为信息系统，而新版《定级指南》扩大了等级保护对象的范围，主要包括：信息系统、通信网络设施和数据资源等，同时又细化了定级对象的类型，其中信息系统包括：工业控制系统、云计算平台、物联网、采用移动互联技术的系统。《定级指南》中还对各类系统的基本特征进行了描述。

04 确定安全保护等级

安全保护等级初步确定为第二级及以上的定级对象，网络运营者组织专家评审、主管部门核准和备案审核，最终确定安全保护等级。

对于通信网络设施、云计算平台/系统等定级对象，需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上不低于其承载的等级保护对象的安全保护等级。而对于电信网、广播电视传输网等通信网络设施，宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级，或分区域划分为若干个定级对象。

数据资源可独立定级。当安全责任主体相同时，大数据、大数据平台/系统宜作为一个整体对象定级；当安全责任主体不同时，大数据应独立定级。涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于第三级。

对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

物联网主要包括感知层、网络传输层和处理应用层等，需将以上要素作为一个整体对象进行定级，各要素不建议单独定级。

工业控制系统中现场采集/执行、现场控制和过程控制等要素需作为一个整体对象进行定级，各要素也不建议单独定级，但是生产管理要素建议单独定级。而对于大型工业控制系统，可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

总体而言，新版的《定级指南》相比旧版更加细致，网络运营者在开展定级工作时，应当明确定级对象的基本特征，若属于工控、云计算、物联网、大数据等特定领域的，在系统建设、运维、管理中还应符合其领域相关的要求。安全保护等级确定为第二级及以上的定级对象，应及时到当地网监进行备案，并依据《网络安全法》及其配套法规的规定履行相应的等级保护测评义务。

上海知虎科技有限公司作为国内专业的第三方网络安全服务提供商，拥有权威的网络安全等级保护测评资质，以及经验丰富的测评服务团队，迄今为止，我司已为上千家企事业单位提供网络安全服务，为客户建设符合等级要求的安全技术和管理体系，未来，网安检测公司将一如既往秉承客户第一、口碑第一的服务宗旨，竭诚为客户提供最优质的服务。