全站搜索

等保云课堂(第4期)— 等保对象如何定

分类:行业资讯 143

网络运营者开展网络定级前,弄清楚网络支撑业务类型、应用服务范围、网络结构、数据信息等基本情况,为合理定级打好基础。那如何科学、合理确定定级对象是十分重要的问题。

在GB/T 22240-2020 《 信息安全技术 网络安全等级保护定级指南》发布的等级指南中提到了等级保护对象,既然是某对象要进行等级保护,那当然要先定级,这时就变成了定级对象,所以可理解为:

等级保护对象=定级对象

 

 

新版《定级指南》扩大了等级保护对象的范围,主要包括:信息系统、通信网络设施和数据资源等,同时又细化了定级对象的类型,其中信息系统包括:工业控制系统、云计算平台、物联网、采用移动互联技术的系统。

定级对象应具备3个基本特征:

  • 具有确定的主要安全责任主体;
  • 承载相对独立的业务应用;
  • 包含相互关联的多个资源。

从这几个特征来看,基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。另外,要避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。

 

● 云计算平台/系统

《定级指南》规定:在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。

即云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。就是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。

 

● 物联网

《定级指南》规定:物联网主要包括感知、网络传输和处理应用等特征要素,需要将以上要素作为一个整体对象定级,各要素不单独定级。

即对于物联网,通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象。

 

● 工业控制系统

《定级指南》规定:工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分多个定级对象。

不同于其他行业,《定级指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。

 

● 采用移动互联技术的系统

《定级指南》指明:采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。

 

 

● 通信网络设施

《定级指南》规定:对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。当安全责任主体相同时,跨省的行业或单位的专用通信网可作为一个整体对象定级;当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。

通信网络设施,主要是通信和广电行业的核心网络,基本可以算得上关键信息基础设施了,也是国家重点关注的行业之一。《定级指南》建议可根据安全责任主体、服务类型或服务地域划分不同的定级对象。根据以往经验,基本都是采取责任主体或地域划分居多,也便于管理。

 

 

 

 

● 数据资源

《定级指南》规定:数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。

数据资源可以独立定级,定级是基于大数据、大数据平台安全责任主体相同与否。如果涉及到大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。

 

上一篇: 下一篇: