定级总体变化
定级要求
- 重新对部分内容的顺序作了调整,从整体显得更加的合理。
- 增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、信息系统(工业控制系统、 云 计算平台、物联网、采用移动互联技术的信息系统、其他信息系统)、大数据等;新增加的流 程为 “定级工作一般流程”。
1.0要求
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
定级一般流程;
2.0要求
第三级,等级保护对象受到破坏后,会 对公民、法人和其他组织的合法权益产 生特别严重损害,或者对社> 会秩序和公 共利益造成严重损害,或者对国家安全 造成损害;
新增“定级工作一般流程”。
原标准
新标准
等级的概念
- 重要等级变化
第二级信息系统- 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级信息系统
- 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 等级之间的关系变化
定级流程变化
- 确定定级对象:包括基础信息网络、信息系统、大数据等。
- 初步确认等级:包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。
- 专家评审:定级对象的运营、使用单位应组织信息安全专家和业务专家, 对初步定级结果的合理性进行评审,出具专家评审意见。
- 主管部门审核:定级对象的运营、使用单位应将初步定级结果上报行业主管 部门或上级主管部门进行审核。
- 公安机关备案审查 最终确定的等级:定级对象的运营、使用单位应按照相关管理规定,将初步定 级结果提交公安机关进行备案审查,审查不通过,其运营使 用单位应组织重新定级;审查通过后最终确定定级对象的安 全保护等级。
定级对象的变化
重新对定级对象进行调整,并进行相应的介绍。2.0定级对象分为基础信息网络、信息系统和大数据,其中信息系统再细分为工业控制系统、物联网、其他信息系统、移动互联以及云计算平台。
1.0要求
信息系统
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优> 化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等> 级的定级对象。
2.0要求
- 基础信息网络
- 云计算平台
- 物联网
- 工业控制系统
- 采用移动互联技术的信息系统
- 其他信息系统 大数据
定级对象变化
基础信息网络
- 对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。
- 跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象
云计算平台
- 在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
- 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
采用移动互联技术的信息系统
- 采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。
物联网
- 物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。
工业控制系统
- 工业控制系统主要由现场设备层、现场控制层、过程监控层和生产管理层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。
- 对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
其他信息系统
作为定级对象的其他信息系统应具有如下基本特征:
- 具有确定的主要安全责任单位
作为定级对象的信息系统应能够明确其主要安全责任单位; - 承载相对独立的业务应用
作为定级对象的信息系统应承载相对独立的业务应用, 完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象; - 具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、 设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。
大数据
- 应将具有统一安全责任单位的大数据作为一个整体对象定级, 或将其与责 任 主体相同的相关支撑平台统一定级。
定级注意事项
- 应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级
- 国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级
- 在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级
- 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象
我的微信
微信扫一扫
评论