等保2.0定级对象有哪些?

2019-08-26 15:07:49 万方科技 54

  导读:等保2.0定级对象,不再局限于信息系统,针对当下网络信息技术的应用环境和场所,对等级对象进行了拓展。尤其是把一些新技术纳入了测评范围,如最近很热的云计算平台、大数据等。

  等级保护定级指南2.0标准(GB/T22240)细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。

  等保2.0中修改定级对象三大基本特征为:a)具有确定的主要安全责任主体;b)承载相对独立的业务应用;c)包含相互关联的多个资源。基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据在满足以上三个基本特征的基础上,还遵循如下要求:

  基础信息网络:对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。

  物联网:虽然包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。

  工业控制系统:应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级;对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

  云计算平台:应区分为服务提供方与租户方,各自分别作为定级对象;对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

  采用移动互联技术的网络:应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。

  大数据:除安全责任主体相同的平台和应用可以整体定级外,应单独定级。

  在定级原则上,《等保条例》放弃了《管理办法》中的“自主定级、自主保护”原则,采取了以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。更重要是,除上述系统,还做了对关键信息基础设施,定级原则上不低于三级的规定。

  定级对象需要在哪里进行定级呢?

  等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。

  定级流程看起来很简单,但是在定级期间需要填写定级备案表,以及编写定级报告,还需要组织专家评审,这些事情,如果没有做过,实际做起来也是挺让人头疼的。如果您不知道怎么开展等保定级工作,可以到第三方等级保护服务机构或者具备等级测评服务资格的服务公司,进行相关咨询。让专业人办专业的事情,能够节省宝贵的时间,可以少走弯路,有时候也是开支的节省。

标签: 等保2.0