【等保专题】等保定级关键点总结

admin 2023年2月2日13:31:54评论59 views字数 2643阅读8分48秒阅读模式

【等保专题】等保定级关键点总结


【等保专题】等保定级关键点总结

【等保专题】等保定级关键点总结

一、等保定级概述


网络安全等级保护(以下简称“等保”)制度是国家网络安全的基本制度、基本国策。各企业单位网络安全责任人需要按照等保建设流程来完善内部网络安全建设,提高系统安全性。等保建设分为定级、备案、建设整改、等级测评、监督检查五个流程。第一环节便是定级,它是等保建设的首要环节和关键环节,是开展等保工作的基础。等保定级不准,后续工作都会失去基础,系统安全就没有保证。

哪些系统需要定级?定级参考基准是什么?专家评审哪些内容?哪些系统需要主管部门核准?备案需要准备哪些资料?本文将按照等保定级流程为大家解答这些问题。
【等保专题】等保定级关键点总结

二、等保定级五个级别


根据等保对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破环、丧失功能或者数据被纂改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等保对象的安全保护等级分为五个等级。


表 1 定级要素与安全保护等级的关系

【等保专题】等保定级关键点总结

【等保专题】等保定级关键点总结

三、等保定级关键要素总结


等保定级主要由两个关键要素决定:一是,受侵害客体;二是,对客体的侵害程度。


1、受侵害客体,分三个方面。即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。


表 2 受侵害客体安全事项

【等保专题】等保定级关键点总结

2、对客体的侵害程度,分三种程度。即:造成一般损害;造成严重损害;造成特别严重损害。


表 3 对客体侵害程度与侵害后果关系

【等保专题】等保定级关键点总结

【等保专题】等保定级关键点总结

四、等保定级一般流程及关键点


等保定级工作流程一般为:确定定级对象→初步确定等级→专家评审→主管部门核准→备案审核。


01

【等保专题】等保定级关键点总结

确定定级对象关键点梳理



随着计算机、通信和物联网技术的飞速发展,工业互联网正在变得越来越普及,将工业企业的生产、管理、销售和服务过程相互联网,实现数据、信息和资源进行共享,提高企业的核心竞争力。企业中应用有云计算系统、物联网系统、工业控制系统、移动应用系统以及数据资源等重要业务,此时系统运营者如何划分定级对象呢?


合理的划分定级对象,且必须具备以下特征:1)具有确定的主要安全责任主体;2)承载相对独立的业务应用;3)包含相互关联的多个资源。


注意:切勿将单一系统组件做为定级对象。如:服务器、终端、网络设备。


在确定定级对象时,仍有一些关键点需要注意:


1) 信息网和工控网绝对不能混为一谈,必须单独划分定级对象;


2) 当系统应用有云计算平台/系统时,我们作为云服务使用者,同样需要进行定级对象确定,而不是云服务商通过等保测评就可以。注意:云服务使用者的定级等级原则上不能高于云服务商的等级;


3) 物联网系统,各感知、网络传输和处理应用之间紧密耦合,数据交互频繁,应作为一个整体定级对象;


4) 工业控制系统,现场采集/执行、现场控制和过程控制同样紧密耦合,数据交互频繁,应作为一个整体定级对象;对于大型的工业控制系统,很多系统功能、控制对象相对比较独立、耦合性低,此时可以划分多个定级对象。比如:某化工企业工业网具有DCS系统、SIS系统、FGS系统,其中DCS系统使用有和利时、浙江中控、霍尼韦尔自动化厂商,此时定级对象可划分为:和利时DCS系统、浙江中控DCS系统、霍尼韦尔DCS系统、SIS系统、FGS系统;


5) 采用移动互联技术的系统,各移动终端、移动应用和无线网络以及相关联业务系统紧密耦合,数据交互频繁,应作为一个整体定级对象;


6)对于大数据、大数据平台/系统等此类的数据资源,应根据安全责任主体进行定级对象划分。注意:当数据资源涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。


  • 02

    【等保专题】等保定级关键点总结

    初步确定等级关键点梳理



根据等保定级责任主体和等保定级要素初步确认定级对象的安全保护等级,并起草定级报告


定级对象的安全主要包括业务信息安全和系统服务安全,均参考表 1 定级要素与安全保护等级的关系进行定级,最终安全等级较高者确认为定级对象的安全保护等级。


【等保专题】等保定级关键点总结

图 1 定级方法流程示意图

若行业、集团或企业已发布有相关的定级指南,则需按照相关文件进行等级确认,如:国家能源局《附件7:电力监控系统安全防护评估规范》、国家广电电视总局《广播电视网络安全等级保护定级指南》、中国民用航空局《民用航空网络安全等级保护定级指南》等。

表 4  等保定级推荐表

【等保专题】等保定级关键点总结

03

【等保专题】等保定级关键点总结

专家评审关键点梳理



系统运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。注意:对于认定为一级的系统也应该在专家评审意见中写明原因,不能只写二级及以上的评审意见。


系统运营使用单位或主管部门参照评审意见最后确定定级等级,形成定级报告。当专家评审意见与系统运营者或其主管部门意见不一致时,由系统运营者或主管部门自主决定信息系统安全保护等级。


04

【等保专题】等保定级关键点总结

主管部门核准关键点梳理



有行业主管(监管)部门的系统运营者,需将定级结果报请行业主管(监管)部门核准,并出具核准意见。


05

【等保专题】等保定级关键点总结

备案审核关键点梳理



定级对象的运营、使用单位应将初步定级结果提交公安机关进行备案审查(当前部分城市已开通线上资料审查),审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。定级备案涉及材料如下表所示。


表 5 备案材料表

【等保专题】等保定级关键点总结

注意:当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需重新确定定级对象和安全保护等级。如:智能工厂扩增产线,新能源电厂总装机容量扩建、控制系统国产化改造等。


【等保专题】等保定级关键点总结
威努特简介
【等保专题】等保定级关键点总结

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!

【等保专题】等保定级关键点总结

【等保专题】等保定级关键点总结
【等保专题】等保定级关键点总结
【等保专题】等保定级关键点总结
【等保专题】等保定级关键点总结
渠道合作咨询   陈女士 15611262709
稿件合作   微信:shushu12121

原文始发于微信公众号(威努特工控安全):【等保专题】等保定级关键点总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月2日13:31:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【等保专题】等保定级关键点总结https://cn-sec.com/archives/1533138.html

发表评论

匿名网友 填写信息