在安全责任方面,要求明确备案单位的安全保护义务,以及日常安全落实负责部门,最重要的是要去单位负责人填写身份证号码,并且明确为直接责任人。根据《等级保护备案表》的说明,单位负责人为“是指分管本单位网络安全工作的领导”,但实际执行中有些地方一直以来要求是单位的一把手,这是此前理解存在一些偏差。因为在旧版的备案表中,也一直是要求分管领导负责。当然,这背后并不是说一把手就没有网络安全责任,只是作为主要领导负主要责任,分管领导负直接责任罢了。
安全保护等级确定与《定级指南》保持大类的一致性,分别从业务信息安全保护和系统服务安全保护两个层面展开,当确定了业务信息与系统服务两个层面的各自级别后,二者取其高的原则不变。业务信息安全保护等级矩阵表,较定级指南有了新变化。
首先,是客体变化,在《定级指南》《定级报告模板》中的三个客体对比如下:
通过表格对比,我们发现在新版的定级报告模板中,客体增加了“区域安全、国计民生”的概念,这里就与关键信息基础设施做了对齐,我们一般认为事关国计民生的重要信息系统是关键信息基础设施。
再者,在新版定级报告模板的业务信息安全保护等级矩阵表的说明中,谈及了重要数据至少为第三级以上,核心数据至少为第四级以上。
三者,客体侵害程度,依然分为:一般损害、严重损害、特别严重损害;国家安全的一般损害安全保护级别要求从第四级开始,严重损害、特别严重损害安全保护等级要求为第五级。
从公民、法人和其他组织的合法权益;社会秩序、公共利益两个维度去看,矩阵列表级别判定与原来保持了一直,一旦涉及国家安全,则必须上升为第四级。结合发函说明,要将第五级信息系统作为关键信息基础设施认定的重要因素,第五级信息系统原则上按照关键信息基础设施保护相关要求进行保护。
这样矩阵表结合说明,将以等级保护制度为基础,关键信息基础设施安全保护、数据安全保护纳到了等级保护制度体系之内。
系统服务安全保护,矩阵列表如下:
各单位需要更新备案,自然会发生级别的变化,需要结合最新定级报告模板,撰写具体内容。这是各个责任单位需要注意的问题,级别判定过程中,已经有了非常大的变化。找专家评审时,需要考虑分类分级国家标准和参考《信息安全技术 重要数据识别指南》(征求意见稿),特别一些行业已经发布了重要数据识别指南的,还需要参照行业文件先确定重要数据。
一点不成熟的感思,等级保护从提出到今天三十多年来,我国的网络安全和信息发展,发生了翻天覆地的变化。为我国网络安全基础工作提供了方法论,虽然在执行过程中,也存在不足,不过结合本次基础情况摸底,我感觉接下来将真正迎来等级保护2.0新时代。首先,本次普查给所有行业和单位机会,摸清自身网络资产,为自身运维与安全提供良好的支撑;其次,监管部门全面纳管;三是《网络安全等级保护条例》(征求意见稿)2018年已经发出,后期可能根据《网络安全法》《数据安全法》等法律法规,进行修订再次征求意见,进而发布,那么本次普查后原则上社会上不在存在未定级备案网络,一旦法规发布可能迎来更加严格的执法,到时很多单位将没有理由逃避监管,定级备案可能明确在法规里,同时明确在法律责任里,未开展定级备案将受到处罚。当然,未按照对应安全级别开展建设整改、等级测评一样会受到更加严格的处罚,公安的监管是网络全生命周期的监管。
这篇文字,探讨了一点新形势下的定级变化,明天我们探讨备案的一些不成熟的看法。期待更多交流,更多的碰撞,以便我们一起夯实等级保护工作,推进关基工作的持续前进与提升,最终做好数据安全,服务国家安全。
原文始发于微信公众号(河南等级保护测评):2025新形势新定级新变化
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论