等保2.0相关标准要求:网络运营者梳理出定级对象并合理确定其安全保护等级、安全责任单位和具体责任人,开展网络定级备案工作,落实相关管理和技术措施,履行保护义务。
一、定级工作流程
等级保护对象定级工作的一般流程为:摸底调查,掌握网络底数;运营方确定网络安全等级保护对象;初步确定保护对象等级;邀请相关专家评审;报主管部门审核;到公安机关备案审查;最终确定保护对象的安全等级。网络安全定级流程如图所示:
需要说明的是:已经投入运行的网络、新建网络都要定级。新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步运行网络安全设施,落实安全保护措施。网络运营者或主管部门在初步确定网络的安全保护等级后,为了保证定级合理、准确,应聘请网络安全等级保护专家进行评审,出具评审意见。
二、网络安全定级方法
网络安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同。因此,网络定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的网络的安全保护等级称为业务信息安全等级。从系统服务安全角度反映的网络的安全保护等级称为系统服务安全等级。定级方法流程图如下图所示:
依据表2业务信息安全保护等级矩阵表、表3系统服务安全保护等级矩阵表,即可得到业务信息和系统服务安全保护等级。最终由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
三、行业对网络安全定级的要求
目前关于定级工作的主要标准有国标GB/T 22240 《信息安全技术 网络安全等级保护定级指南》和公共安全标准GA/T 1389-2017《信息安全技术 网络安全等级保护定级指南》。一些行业根据2008年发布的《定级指南》也都制定了行业相关的定级指南或定级指引,今天就介绍一下各行业网络安全等级保护定级工作相关的标准规范要求。
例1:交通运输部办公厅关于印发《网络平台道路货物运输经营服务指南》等三个指南的通知中,对有关网络平台道路货物运输经营服务企业的网络安全建议:省级检测系统的安全保护等级不低于三级;省级交通运输主管部门应委托有关专业机构对省级监测系统进行安全测评,及时完善安全保护措施,取得三级及以上信息系统安全等级保护备案证明及相关材料。
例2:卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院:核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如规定的核心业务信息系统是HIS、LIS和RIS。
例3:信息安全等级保护被P2P网贷行业监管层写进P2P网贷监管实施细则里。行业也基本达成共识,网贷平台必须通过等保三级测评。上海市金融办协同公安部门对P2P网贷平台开展信息安全等级保护三级评测工作进行了指导和部署,要求P2P网贷平台信息安全等级定级为三级,并按照国家标准测评,评测分值不低于90分。
另:行业等级保护定级工作参考依据:
《交通运输行业信息系统安全等级保护定级指南》JT/T 904-2014
《广播电视相关信息系统安全等级保护定级指南》GD/J 037-2011
《林业网络安全等级保护定级指南》LY/T 2929-2017
《烟草行业信息系统安全等级保护 与信息安全事件的定级准则》YC/T 389-2011
《电力行业信息系统安全等级保护定级指导意见》
《电力行业重要信息系统安全等级保护定级建议》(电监会发 )
《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)
《烟草行业信息系统安全等级保护与信息安全事件的定级准则》YC/T 389-2011
《广播电视相关信息系统安全等级保护定级指南 》GD/J 037-2011
《税务信息系统安全等级保护定级工作指南》
《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函[2014]74 号)
655
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
