等级保护对象的定级与保护
定级,是网络安全保护工作五个规定动作的第一个动作。第一个动作标准不标准,对后续工作的影响是非常大的。第一个动作做好了,后面的工作开展就有了正确的依据,方向也就容易把握了。如果第一个动作错了,后面工作都将偏离轨道。
定级工作,需要从定级工作原则谈起,当然此部分内容属于国家有关规定,故遵从权威性,我们主要采用援引方式,来加强大家对国家标准的理解和领悟。
本期讨论暂不涉及如何确定定级对象,拟定网络安全保护等级、网络安全保护等级的专家评审和网络安全保护等级的核准以及公安机关审核网络的安全保护等级等内容。相关内容,待下期和大家探讨。
安全保护等级的划分与保护
定级工作原则
网络的定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。
定级工作的主要内容包括确定定级对象、拟定网络的安全保护等级、组织专家评审、主管部门核准、公安机关审核,我们可以参考《网络安全等级保护定级指南》(GB/T 22240-2020)这个标准。网络运营者是网络安全等级保护的责任主体,根据所属网络的重要程度和遭到破坏后的危害程度,科学合理确定网络的安全保护等级。
在等级保护工作中,遵循“谁主管谁负责,谁运营谁负责”的原则,接受网络安全监管部门的监管。
网络基础设施安全的责任人,对所属网络自身安全负有直接责任;公安、保密、密码部门对网络运营者和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
摄像:何威风,2017年网络安全法启动仪式
安全保护等级
网络安全等级保护制度将网络划分为五个安全保护等级,从第一级到第五级逐级增高,如下表所示。
网络安全保护等级的定级要素
网络的安全保护等级由两个定级要素决定,分别是等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1.受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
一是公民、法人和其他组织的合法权益;
二是社会秩序、公共利益;
三是国家安全。
2.对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度有三种:
一是造成一般损害;
二是造成严重损害;
三是造成特别严重损害。
五级保护和监管
定级要素与网络的安全保护等级的关系如表所示。
定级工作的主要步骤
网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。
网络是广义的概念,包括起支撑、传输作用的基础信息网络、各类应用系统和数据资源。网络的安全级别如果确定不准,网络备案、建设整改、等级测评等后续工作都会失去意义,网络安全就没有保证。
定级工作步骤
1.定级工作流程
摸底调查,掌握网络底数;确定定级对象;初步确定网络的安全保护等级;专家评审;主管部门核准;公安机关备案;公安机关审核。
2.定级范围
已经投入运行的网络、新建网络都要定级。
新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步使用网络安全设施,落实安全保护措施。
3.等级确定
第一级、第二级网络为一般网络,第三级、第四级、第五级网络为重要网络。
网络的安全保护等级是网络的客观属性。在定级时,应站在维护国家网络安全的高度,综合考虑网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的影响,确定网络的安全保护等级。
4.定级工作指导
行业主管部门可以根据定级指南,结合行业特点和网络的实际情况,出台定级指导意见,保证本行业网络在不同地区的安全保护等级的一致性,指导本行业网络的定级工作。
参考文件:
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
《网络安全法与网络安全等级保护制度》
《中华人民共和国网络安全法》
本文授权转载自:“祺印说信安”公众号,如需转载,请联系原作者。