网络安全等保定级_新的网络安全等级保护定级指南来了

网络安全等级保护2.0国家标准于2019年12月1日正式实施，才刚刚过去了5个月，新的网络安全等级保护定级指南(GBT 22240-2020 )发布~

国家市场监督管理总局、国家标准化管理委员会制定《 信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)，于2020年4月28日发布，2020年11月1日实施。

较旧版《指南》重要变化如下：

1. 重新确定定级对象范围，增加云平台、物联网、工业控制系统、采用移动互联网的系统，以及通信网络设施和数据资源;

2. 明确定级流程，确定定级对象->初步确定等级->专家评审->主管部门核准->备案审核;

3.(对比此前使用的GA/T1389-2017)“对公民、法人和其他组织合法权益造成特别严重损害”等级重新回到“二级”;

另外，在定级备案过程中需要特别注意的地方：对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。

对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。

关于等保2.0新的定级指南中与原先征求意见稿或老的标准不同点以及一些重要知识点不得不等总结如下，供各位朋友参考。

1、等级保护对象有哪些？

主要包括：信息系统、通信网络设施和数据资源等；

数据资源：具有或预期具有价值的数据集合。

2、定级要数与安全保护等级的关系

这里需要注意的是当公民、法人和其他组织的合法权益造成特别严重损害时是二级，原先在征求意见稿中是第三级。

3、定级工作一般流程如下图：

4、安全保护等级初步确定为第二级及以上的等级保护对象，其网络运营者依据本标准组织专家评审、主管部门核准和备案审核，最终确定其安全等级。初步确定为第一级的等级保护对象，可不进行专家家评审、主管部门核准和备案审核。

5、对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

6、工业控制系统中现场采集/执行、现场控制和过程控制等要素需作为一个整体进行系统定级，各要素不单独定级；生产管理要素宜单独定级。

7、对于电信网、广播电视传输网等通信网络设施，宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级，或分区域划分为若干个定级对象。

8、数据资源可独立定级。当安全责任主体相同时，大数据、大数据平台/系统宜作为一个整体对象定级；当安全责任主体不同时，大数据应独立定级。涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于三级。

9、受侵害的客体表现形式有哪些？