如何规范开展等级保护定级和备案工作
发布时间: 2022-06-22 丨 阅读次数: 22471
前言
最近《关键信息基础设施安全保护条例》(以下简称《条例》)正式公布并将于2021年9月1日起正式实施。业界形容《条例》开启了关键信息基础设施保护的新纪元,很是恰如其分。无论是《网络安全法》还是《条例》,都提出关键信息基础设施要在网络安全等级保护基础上,实行重点保护。保护关键信息基础设施安全,首在落实网络安全等级保护制度。笔者规划接下来将就如何保护关键信息基础设施安全进行系列分享,今天我们先来谈一谈如何规范开展等级保护定级和备案工作。
一、网络安全等级保护对象
在我们开始谈等级保护对象定级和备案开始之前,我们先来谈一下网络安全等级保护对象是什么。
在等保1.0时代,等级保护对象很明确是信息系统。等保进入2.0时代后,等级保护对象已不再局限为信息系统,而是表述为“网络安全等级保护工作直接作用的对象,主要包括信息系统、通信网络设施和数据资源等”(见GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》)。在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中,对于等级保护对象,则给出了更为详细的解释:
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。
二、定级备案的主要工作要求
规范开展网络安全等级保护定级和备案工作,应明确其主要工作要求。其主要工作要求包括:
(1)运营者(运营或使用单位)应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。
(2)运营者(运营或使用单位)应当在规划设计阶段确定网络安全保护等级(根据三同步原则)。
(3)对于确定为关键信息基础设施(非涉密)的等级保护对象,原则上其安全保护等级不低于第三级。
(4)运营者(运营或使用单位)应按照国家相关法规和标准和本单位实际情况,自主确定等级保护对象的安全保护等级,自行组织实施安全保护。
(5)运营者(运营或使用单位)应根据等级保护对象的重要程度、业务特点,通过划分不同安全保护等级的等级保护对象,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的等级保护对象。
(6)跨省或者全国统一联网运行的等级保护对象由行业主管部门统一拟定安全保护等级,统一组织定级评审。
(7)当业务功能、服务范围、服务对象和处理的数据等发生重大变化,安全保护等级需要变更的,运营者(运营或使用单位)应当依法依规变更网络安全保护等级,根据其安全保护等级的调整情况,重新实施相应级别的安全保护措施。
(8)如委托外部机构协助开展定级和备案工作的,应与外部机构签订保密协议。
三、网络安全保护级别及其安全保护能力
等级保护对象定级涉及“有几级、怎么定”,我们先来谈“有几级”。
3.1 网络安全保护等级的划分
等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,由低到高分为五个安全保护等级。
等保级别 | 监管强度 | 保护级别要素 | 等保对象实例 |
第一级 | 自主保护 | 等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益 | 中小企业非业务系统 |
第二级 | 指导保护 | 等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全 | 市(区、县)级非核心业务系统 |
第三级 | 监督保护 | 等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害 | 省级系统、市(区、县)级核心业务系统、证券、银保监会等行业规定的系统 |
第四级 | 强制保护 | 等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害 | / |
第五级 | 专控保护 | 等级保护对象受到破坏后,会对国家安全造成特别严重危害 | / |
3.2 不同级别的安全保护能力
那么在确定保护等级后,不同保护等级要达到的基本安全保护能力是怎样要求的呢。
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》规定不同级别等级保护对象应具备的基本安全保护能力如下:
等保级别 | 基本安全保护能力要求 |
第一级 | 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。 |
第二级 | 应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。 |
第三级 | 应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。 |
第四级 | 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。 |
第五级 | 略 |
注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以本文中不再描述。
四、网络安全等级保护的定级要素
4.1 定级要素
定级要素即确定网络安全保护等级的决定性因素。
等级保护对象的定级要素包括受侵害的客体和对客体的侵害程度。其中:
(1)受侵害的客体
受侵害的客体指受法律保护的、等级保护对象受到破坏时所侵害的社会关系。等级保护对象受到破坏时所侵害的客体包括以下三个方面:
1)公民、法人和其他组织的合法权益;
2)社会秩序、公共利益;
3)国家安全
(2)对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
1)造成一般损害;
2)造成严重损害;
3)造成特别严重损害。
4.2 定级要素与安全保护等级的关系
明确了定级要素有哪些之后,如何通过定级要素判断等级保护对象应该初步确定为几级呢?定级要素与安全保护等级的关系即为回答这个问题。
业界将定级要素与安全保护等级的关系也称之为“定级矩阵”。通过三个受侵害客体与三个侵害程度做两两的组合,得到一个3×3的矩阵。定级要素与安全保护等级的关系如下表:
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
也可以简化为:
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 1 | 2 | 2 |
社会秩序、公共利益 | 2 | 3 | 4 |
国家安全 | 3 | 4 | 5 |
按矩阵行列为:122、234、345,按矩阵竖列为:123、234、245,如此将“等级矩阵”简化为口诀后,是不是恍然间觉得原来看起来很复杂的“定级要素与安全保护等级的关系”似乎也没有很高的专业门槛。
五、定级备案的主要流程
在前面笔者向大家介绍了关于定级备案的一些要求和专业储备知识后,接下来我们来重点谈一下等级备案通常的主要流程。
定级备案的主要流程如下:
5.1 确定定级对象
首先我们打破一个误区:等级保护对象≠定级对象。一个等级保护对象可能包含多个定级对象。GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》给出了确定定级对象的方法论。笔者在此结合实践,来谈谈如何确定定级对象。
(1)起支撑、传输作用的信息基础设施(网络设施、信息系统)可以作为定级对象,但不是将整个信息基础设施作为一个定级对象,而是要根据实际情况将信息基础设施划分成若干安全域或保护单元去定级(实施等级保护时,通常落实到每一个安全域中,宜将相同安全等级的应用业务系统部署在相同的安全域)。
(2)用于办公、生产、管理等的业务系统,宜分别单独确定为定级对象,如门户网站、邮件要作为独立的定级对象。通常后台数据库管理系统安全级别较高,也要作为独立的定级对象。
(3)对于云计算平台/系统、工业控制系统、物联网、移动互联网等,按照GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》合理确定定级对象。本文中通过表格简单做描述。
对象类型 | 定级原则 | 特例 |
工业控制系统 | 工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。 | 对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。 |
云计算平台 | 在云计算环境中,应将云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。 | 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。 |
物联网 | 物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。 | |
采用移动互联技术的系统 | 采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。 | |
通信网络设施 | 对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象 | 当安全责任主体相同时,跨省的行业或单位的专用通信网可作为一个整体对象定级;当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。 |
数据资源 | 数据资源可独立定级 | 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。 |
(4)不宜将如服务器、终端、网络设备等单一对象作为定级对象。
5.2 初步确定等级
按照GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》“6.1 定级方法概述”,初步确定定级对象的安全保护等级。对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,还应按照以下要求确定安全保护等级:
(1)对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
(2)对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
5.3 专家评审
安全保护等级初步确定为第二级及以上的,运营者(运营或使用单位)需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。
安全保护等级初步确定为第一级的等级保护对象,其网络运营者(运营或使用单位)可参考GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》自行确定最终安全保护等级,可不进行专家评审。
5.4 主管部门审核
有行业主管(监管)部门的,运营者(运营或使用单位)还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。
安全保护等级初步确定为第一级的等级保护对象,其网络运营者(运营或使用单位)可参考GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》自行确定最终安全保护等级,无需主管部门核准。
5.5 公安机关备案审查
运营者(运营或使用单位)应按照相关管理规定和当地公安机关的要求,将定级结果提交公安机关进行备案审核。若审核不通过,运营者(运营或使用单位)需组织重新定级。
审核通过后最终确定定级对象的安全保护等级。
安全保护等级初步确定为第一级的等级保护对象,其网络运营者(运营或使用单位)可参考GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》自行确定最终安全保护等级,无需备案审核。
六、网络安全保护等级的变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,运营者(运营或使用单位)需重新确定定级对象和安全保护等级。
当安全保护等级发生变更时,针对每一次变更,运营者(运营或使用单位)应遵循同样的变更程序,即相同的文字报告、相同的管理办法、相同的监控过程。
七、网络安全等级保护的五个阶段
在本次分享的最后,笔者简单谈一下网络安全等级保护都会涉及哪些主要过程。
网络安全等级保护工作包括定级、备案、建设整改、等级测评和监督检查五个阶段。
7.1 定级
见本文第五章 “定级备案的主要流程”相关内容。
7.2 备案
见本文第五章 “定级备案的主要流程”相关内容。
注:关于到公安机关备案的工作日要求,以当地公安机关为准。
7.3 建设整改
等级保护对象的运营者(运营或使用单位)按照等级保护基本要求、行业基本要求等,分析安全建设整改需求,可委托网络安全服务机构进行;对于整改项目,还可委托测评机构通过等保测评、风险评估等方法分析整改需求。
等级保护对象的运营者(运营或使用单位)根据需求制定建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,满足系统等级需求的网络产品和服务,开展网络安全等级保护建设整改工作。
7.4 等级测评
等级保护对象的运营者(运营或使用单位)选择符合国家有关规定的测评机构,对已经完成等级保护建设的等级保护对象定期进行等级测评,确保等级保护对象的安全保护措施符合相应等级的安全要求。
对等级测评中发现的安全风险隐患,等级保护对象的运营者(运营或使用单位)返回上一阶段,制定整改方案,落实整改措施,消除风险隐患。
新建的第三级以上等级保护对象上线运行前应当委托测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
等级测评结束后,等级保护对象的运营者(运营或使用单位)将开展网络安全等级测评的测评情况及安全整改措施、整改结果向备案的公安机关报告。
7.5 监督检查
县级以上公安机关依据国家网络安全等级保护、行业监管要求等制定监督检查方案及表格,对等级保护对象的运营者(运营或使用单位)的网络安全工作情况进行监督检查。
等级保护对象的运营者(运营或使用单位)根据网络安全保护等级保护监督检查、行业监管的规范或标准,准备相应的监督检查所需材料,协助、配合,并按照公安机关要求如实提供相关数据信息。
等级保护对象的运营者(运营或使用单位)对于公安机关在监督检查中发现的网络安全风险隐患,应采取措施消除;不能立即消除的,应限期整改。
在网络安全等级保护工作的五个阶段中,涉及到四个不同的角色,分别是:运营者、网络产品和服务提供商、公安机关、测评机构。等级保护各工作阶段的角色分工如下:
流程/角色 | 运营者 | 网络产品和服务提供商 | 公安机关 | 测评机构 |
定级 | 确定安全保护等级,填写定级备案表、编写定级报告 | 协助运营者确认定级对象,辅导运营者准备定级报告,并组织专家评审(二级以上) | / | 承接运营者的定级咨询 |
备案 | 准备备案材料,到当地公安机关备案 | 辅导运营、使用单位准备备案材料和提交备案申请 | 审核受理备案材料,出具网络安全等级保护备案证明 | 可承接运营者的备案咨询 |
建设整改 | 建设或整改,使等级保护对象符合相应保护级别的要求 | 协助者进行需求分析、规划设计、建设整改等工作 | / | 承接运营者的备案咨询 测评过程中提出安全整改需求 |
等级测评 | 接受测评机构的等级测评 | 在测评阶段指导运营者配合测评机构开展等级测评工作 | / | 开展等级测评活动 |
监督检查 | 配合公安机关的监督检查以及安全整改 | 协助运营者配合公安机关的监督检查以及全整改 为公安机关监督检查提供技术支持 | 开展监督检查 | 为公安机关监督检查提供技术支持 |
小结
本文根据国家有关出台的相关规定以及等保2.0系列标准的相关规范性要求,结合实践,介绍了如何规范开展网络安全等级保护的定级和备案工作。