2019年5月13日,网络安全等级保护系列标准:GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》、GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》正式发布,并于2019年12月1日正式实施,至此等级保护正式开启了2.0时代,标志着我国网络安全等级保护制度进入了全新时代。作为国家等级保护标准体系的GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(以下简称“定级指南”)于2020年4月28日发布,2020年11月1日(今天)正式实施。
新版定级指南的变化如下:
变化1:定级流程调整
4.4章节中明确规定
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
变化2:定级对象新增
第5章中明确规定
定级对象由单一的信息系统上新增了云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源等。
注:作为定级对象的信息系统应具有如下基本特征:
a)具有确定的主要安全责任主体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
变化3:新增确定受害客体
6.2章节中明确规定
侵害国家安全事项方面:新增影响海洋权益完整的侵害。
侵害社会秩序事项方面:新增影响公共交通秩序的侵害。
定级指南规定了非涉及国家秘密的等级保护对象的定级方法和流程,通过指导网络运营者合理划分定级对象和准确的确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定了良好的基础。