国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》新的国家标准,将于2020年11月1日正式实施。
重点地方和个人解读:
1、等级保护2.0 定级对象的范围扩展:云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源。
2、安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织专家评审、主管部门核准和备案审核,最终确定其安全等级。
3、安全保护等级初步确定为第一级的等级保护对象,可不进行专家家评审、主管部门核准和备案审核。
4、对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
5、工业控制系统中现场采集/执行、现场控制和过程控制等要素需作为一个整体进行系统定级,各要素不单独定级;生产管理要素宜单独定级。
6、对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
7、对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
个人解读:像阿里云、华为云的云平台,等级保护四级测评结论是基本符合,可以承载云租户的等级保护二级、三级系统。如果有的云平台,等级保护测评三级测评结论是不符合,建