2025新形势新定级新变化

admin 2025年3月24日19:57:06评论14 views字数 2925阅读9分45秒阅读模式
国家网络安全等级保护工作协调小组办公室《关于进一步做好网络安全等级保护有关工作的函》一纸发函在互联网上流转后,引发了网络安全圈极大的轰动,从发函中,我们看到几点要求值得我们关注:深入开展系统备案更新、数据资源摸底、风险隐患排查以及问题隐患整改。等级保护2.0时代迎来了新的政策调整。
这是继2007年《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安2007〕861 号)又一次全面的基本情况大摸底工作,所以各行业主管部门指导下级单位要组织开展对所属网络的摸底调查,全面掌握信网络数量、分布、业务类型、应用或服务范围、系统结构、承载数据、安全责任等基本情况,鉴于等级保护依据《信息安全等级保护管理办法》《网络安全等级保护定级指南》开展多年,行业主管在参照《办法》和指南的基础上结合最新定级备案要求,可以根据行业特点提出指导本行业定级工作的具体意见。
2025新形势新定级新变化
我们知道的等级保护工作五个规定动作,分别是:定级、备案、建设整改、等级测评、监督检查。五个规定动作,将各方拉到同一个目标下,共同解决我国网络安全基础问题,共筑我国网络安全坚强之盾。此次发函,是又一次网络安全基础情况大摸底,同时摸底除了传统的定级内容,增设了数据资源摸底工作要求,也就是数据自此纳入等级保护体系,而网络安全等级保护工作要求三同步原则,自然也适用于数据安全。无非数据安全需要兼顾存量网络的数据安全问题罢了。
从发函里看到,要求各行业主管部门要统筹部署加强指导,组织本行业全面开展系统梳理,严格按流程开展备案更新工作。既然谈到备案更新,其前置条件是等级保护定级工作,同时是重点在“更新”,顾名思义各个行业主管部门需要督导行业依据新的定级报告模板开展定级工作,并到属地公安机关提交新的备案资料,更新备案;前面探讨,本次工作是又一次全面基础情况摸底,既然是摸底还涉及全面定级备案的问题。另外,《信息安全等级保护管理办法》规定了已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。也就是从法理上看,社会上不存在未定级备案的网络(含信息系统)。所以对于行业主管部门与责任单位来说,需要完成已备案网络安全更新与存量未备案的提交。
结合最新《网络安全等级保护定级报告模版(2025版)》,我们看到新的定级报告分为定级对象描述、安全保护等级确定两大部分内容;定级对象描述有分为主体责任、定级对象构成、承载业务、承载数据、安全责任等内容。
定级对象描述方面,增加了承载数据和细化了安全责任描述,要求对定级对象所承载的数据,包括数据类别、数据级别、数据处理环节等描述,与其他系统存在数据交换的,还应说明数据流转情况数据的重要程度,是根据《数据安全技术数据分类分级规则》来认定,是否存在重要数据和核心数据,是否涉及数据流转等各类情况。基于当下,各个行业数据分类分级工作,开展并不理想的情况下,数据的重要程度是一个确实。数据分类分级工作迫在眉睫,如果数据分类分级不及时不科学不准确,将对等级保护定级工作的准确性产生极大的不确定性。

在安全责任方面,要求明确备案单位的安全保护义务,以及日常安全落实负责部门,最重要的是要去单位负责人填写身份证号码,并且明确为直接责任人。根据《等级保护备案表》的说明,单位负责人为“是指分管本单位网络安全工作的领导”,但实际执行中有些地方一直以来要求是单位的一把手,这是此前理解存在一些偏差。因为在旧版的备案表中,也一直是要求分管领导负责。当然,这背后并不是说一把手就没有网络安全责任,只是作为主要领导负主要责任,分管领导负直接责任罢了。

2025新形势新定级新变化

安全保护等级确定《定级指南》保持大类的一致性,分别从业务信息安全保护和系统服务安全保护两个层面展开,当确定了业务信息与系统服务两个层面的各自级别后,二者取其高的原则不变。业务信息安全保护等级矩阵表,较定级指南有了新变化。

以下为两个文件业务信息安全保护等级矩阵表的对比情况:
《网络安全等级保护定级指南》内的矩阵表:
2025新形势新定级新变化
网络安全等级保护定级报告模版(2025版)》内的矩阵表:
2025新形势新定级新变化

首先,是客体变化,在《定级指南》《定级报告模板》中的三个客体对比如下:

2025新形势新定级新变化

通过表格对比,我们发现在新版的定级报告模板中,客体增加了“区域安全、国计民生”的概念,这里就与关键信息基础设施做了对齐,我们一般认为事关国计民生的重要信息系统是关键信息基础设施。2025新形势新定级新变化

再者,在新版定级报告模板的业务信息安全保护等级矩阵表的说明中,谈及了重要数据至少为第三级以上,核心数据至少为第四级以上。

三者,客体侵害程度,依然分为:一般损害、严重损害、特别严重损害;国家安全的一般损害安全保护级别要求从第四级开始,严重损害、特别严重损害安全保护等级要求为第五级。

公民、法人和其他组织的合法权益;社会秩序、公共利益两个维度去看,矩阵列表级别判定与原来保持了一直,一旦涉及国家安全,则必须上升为第四级。结合发函说明,要将第五级信息系统作为关键信息基础设施认定的重要因素,第五级信息系统原则上按照关键信息基础设施保护相关要求进行保护。

这样矩阵表结合说明,将以等级保护制度为基础,关键信息基础设施安全保护、数据安全保护纳到了等级保护制度体系之内。

系统服务安全保护,矩阵列表如下:

2025新形势新定级新变化
等级保护工作中的定级是备案的前置条件,定级流程则可以参考的文件是《网络安全等级保护定级指南》,定级指南的从确定定级对象、初步确定(拟订)等级、专家评审、主管部门核准、备案审核。
2025新形势新定级新变化

各单位需要更新备案,自然会发生级别的变化,需要结合最新定级报告模板,撰写具体内容。这是各个责任单位需要注意的问题,级别判定过程中,已经有了非常大的变化。找专家评审时,需要考虑分类分级国家标准和参考信息安全技术 重要数据识别指南》(征求意见稿),特别一些行业已经发布了重要数据识别指南的,还需要参照行业文件先确定重要数据。

点不成熟的感思,等级保护从提出到今天三十多年来,我国的网络安全和信息发展,发生了翻天覆地的变化。为我国网络安全基础工作提供了方法论,虽然在执行过程中,也存在不足,不过结合本次基础情况摸底,我感觉接下来将真正迎来等级保护2.0新时代。首先,本次普查给所有行业和单位机会,摸清自身网络资产,为自身运维与安全提供良好的支撑;其次,监管部门全面纳管;三是《网络安全等级保护条例》(征求意见稿)2018年已经发出,后期可能根据《网络安全法》《数据安全法》等法律法规,进行修订再次征求意见,进而发布,那么本次普查后原则上社会上不在存在未定级备案网络,一旦法规发布可能迎来更加严格的执法,到时很多单位将没有理由逃避监管,定级备案可能明确在法规里,同时明确在法律责任里,未开展定级备案将受到处罚。当然,未按照对应安全级别开展建设整改、等级测评一样会受到更加严格的处罚,公安的监管是网络全生命周期的监管。

这篇文字,探讨了一点新形势下的定级变化,明天我们探讨备案的一些不成熟的看法。期待更多交流,更多的碰撞,以便我们一起夯实等级保护工作,推进关基工作的持续前进与提升,最终做好数据安全,服务国家安全。

— 

原文始发于微信公众号(河南等级保护测评):2025新形势新定级新变化

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日19:57:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2025新形势新定级新变化https://cn-sec.com/archives/3875015.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息