等保2.0定級指南正式實施
等級保護對象范圍擴大了
等保保護定級對象主要包括:信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等;信息系統(tǒng)就是我們在1.0時候的定級對象,指的是各類信息系統(tǒng);通信網(wǎng)絡(luò)設(shè)施指的是為信息流通、網(wǎng)絡(luò)運行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施,主要包括電信網(wǎng)、廣播電視傳輸網(wǎng)和行業(yè)或單位的專用通信網(wǎng)等,所以大家得注意了自己單位的專網(wǎng)得定級,特別是承載了重要信息系統(tǒng)或者專網(wǎng)規(guī)模較大的網(wǎng)絡(luò);數(shù)據(jù)資源指的是具有或預期具有價值的數(shù)據(jù)集合,數(shù)據(jù)資源主要是擁有大量各類有價值的數(shù)據(jù),那么這些單位需要保護好這些數(shù)據(jù)資源,自然需要對該數(shù)據(jù)資源進行定級,我們可以想象的這類數(shù)據(jù)有:人社數(shù)據(jù)、醫(yī)保數(shù)據(jù)、公積金數(shù)據(jù)、個人財產(chǎn)數(shù)據(jù)(銀行、房產(chǎn)、保險等)等信息;這里注意一點:當安全責任主體相同時,大數(shù)據(jù)、大數(shù)據(jù)平臺/系統(tǒng)宜作為一個整體對象定級;當安全責任主體不同時,大數(shù)據(jù)應獨立定級;涉及到大量公民個人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺/系統(tǒng),原則上其安全保護等級不低于三級;不是所有的這類數(shù)據(jù)都需要獨立去定級,日常中主要存在數(shù)據(jù)進行集中化后的場景,例如一些地方的大數(shù)據(jù)局或者政務(wù)中心將各行業(yè)的一些數(shù)據(jù)要過來后進行相關(guān)應用或使用時應當對這些數(shù)據(jù)進行獨立定級。
公民、法人和其他組織最高依然為二級
當公民、法人和其他組織的合法權(quán)益造成特別嚴重損害時依然定為二級。
根據(jù)2.0的定級指南中定級要數(shù)與安全保護等級的關(guān)系表我們發(fā)現(xiàn)當公民、法人和其他組織的合法權(quán)益造成特別嚴重損害時依然為二級,這塊在征求意見稿中是第三級,前段時間一哥在一個培訓會議上依然看到有主管部門將這里寫為第三級,需要大家注意并修正。
等保定級需要進行專家評審
從圖中可以看到,定級需要進行專家評審,那么至此等保定級再也不是1.0的自主定級了,而是需要規(guī)范進行定級。對于初步確定為第一級的等級保護對象,可不進行專家家評審、主管部門核準和備案審核,所以一級系統(tǒng)不需要去公安網(wǎng)安部門進行備案,但是這里一哥需要提醒的是哪些是一級系統(tǒng),通俗點說就是這個系統(tǒng)哪怕是壞了對別人的影響都非常小的系統(tǒng)才是一級系統(tǒng)。定一級前,你們對照自己的系統(tǒng)看看是不是這樣的,但凡不是這樣的,那么你的系統(tǒng)肯定是二級起步了。那么安全保護等級初步確定為第二級及以上的等級保護對象,就需要組織專家評審、主管部門核準和備案審核,最終確定其安全等級。對于有主管部門的就去主管部門進行核準,沒有主管部門的可以忽略,這里的主管部門需要明確的是上級行業(yè)主管部門而非地方上管理部門。主管部門核準在實踐中一哥建議大家根據(jù)實際情況靈活開展。為什么這樣說,因為有的時候備案單位上級主管部門不清不楚或者你以為的主管部門他們不認為是你們的主管部門,實際工作中普遍存在:理論上的行業(yè)上級主管部門不是非常垂直的上下級管理關(guān)系,對下級單位即不管錢也不管人,平時工作上聯(lián)系也不夠緊密,如果這時還非要求上級行業(yè)主管部門進行審批,可能這個事就走不下去。
專家評審如何開展?
專家評審如何開展是等保2.0定級一個繞不開的問題。哪些是專家?誰來認定這些專家?這個在定級指南里沒有說明,也不好說明,那么大家在實際開展工作中也是各不相同,比如北京要求有測評師參與評審,有些地方自己組織認定了一批評審專家,有些地方套用政府采購評審專家,有些地方也沒有明確專家大家自由選擇。這些一哥認為都沒有錯,適合自己的就行,但是一哥覺得既然是等保定級的評審專家,那么他們應當要對等保定級這項工作了解才能更好地幫助網(wǎng)絡(luò)運營者進行準確定級。那么哪些人對等保定級工作了解呢?第一、公安網(wǎng)安主管部門工作人員,他們從事這項工作,每年對大量新系統(tǒng)進行了定級審核,他們自然對等保定級工作了解,他們可以當專家,有些人會認為不能自己既當專家又進行最終審核,這有點不合適。這確實不合適,但是一哥沒說自己管理的區(qū)域自己當評審專家啊,你可以去其他地市進行專家評審啊;第二,測評機構(gòu)持證工作人員,他們長年在一線進行等保工作,他們接觸了很多系統(tǒng),對標準對系統(tǒng)情況比較熟悉,他們適合當?shù)缺6墝<?,這里一哥建議測評機構(gòu)的評審專家資質(zhì)應為:中、高級測評師,他們的工作經(jīng)驗相對初級測評師來說較為豐富;第三,相關(guān)網(wǎng)絡(luò)安全專家,這里就比較廣泛,比如各個單位信息中心或者網(wǎng)絡(luò)安全的負責人,行業(yè)主管部門負責網(wǎng)絡(luò)安全的人員,高校負責網(wǎng)絡(luò)安全、計算機等教學人員,這些專家也都行,他們長年從事信息化特別是網(wǎng)絡(luò)安全工作,經(jīng)驗也較為豐富,如果自身負責過或指導過本單位等保工作開展的那就更好。如果每次專家評審至少有這三類人參與的話,一哥認為這個定級一定相對更加規(guī)范合理,因為這些人你想忽悠還真不容易,所以一哥也建議各地還沒有對專家范圍進行認定的可以讓各家單位按照這個要求來找專家,總結(jié)下就是:定級評審專家至少3人,人員中包括:異地網(wǎng)安人員、測評機構(gòu)中高級測評師及其他網(wǎng)絡(luò)安專家。專家找好了,評審就順其自然的開展下去了,網(wǎng)絡(luò)運營者肯定要對自己的信息系統(tǒng)進行介紹,各位專家對定級資料進行評審,提出相關(guān)疑問,網(wǎng)絡(luò)運營者解答,最終專家對該系統(tǒng)的定級情況做一個認定,出具專家評審意見并進行簽字,這樣專家評審環(huán)節(jié)就完成了。
關(guān)于云平臺定級需要了解的
對于大型云計算平臺,宜將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。對于大型云計算平臺(比如阿里云、騰訊云、京東云以及一些IDC云計算平臺)基礎(chǔ)設(shè)施可單獨定一個網(wǎng)絡(luò)系統(tǒng),有關(guān)輔助服務(wù)系統(tǒng)另外再定一個系統(tǒng)。另外對于云租戶,其相應的信息系統(tǒng)也需要開展等保工作,這塊工作原則上是由云租戶自己開展,切不可以為系統(tǒng)上云了,安全責任就不歸自己了,出了事依然還是自己的事。對于通信網(wǎng)絡(luò)設(shè)施、云計算平臺/系統(tǒng)等定級對象,原則上等級不低于其承擔的等級保護對象的安全保護等級。不能存在云計算平臺是二級,平臺上的系統(tǒng)是三級情況。
很多人對受侵害的客體及受到破壞后造成的影響認識不清,比較模糊,比較抽象,根據(jù)以上描述,讓大家對此有一個相對比較具體的認知。
等級變更時需重新進行定級
當?shù)燃壉Wo對象所處理的業(yè)務(wù)信息和系統(tǒng)服務(wù)范圍發(fā)生變化,可能導致業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后的受侵害客體和對客體的侵害程度發(fā)生變化時,需根據(jù)本標準重新確定定級對象和安全保護等級。也就是等級需要變更時需要按照定級指南重新開展定級,該請專家評審的請專家評審,該請行業(yè)主管部門審核的請行業(yè)主管部門審核,再也不能隨意進行等級的變更了。