在安全责任方面,要求明确备案单位的安全保护义务,以及日常安全落实负责部门,最重要的是要去单位负责人填写身份证号码,并且明确为直接责任人。根据《等级保护备案表》的说明,单位负责人为“是指分管本单位网络安全工作的领导”,但实际执行中有些地方一直以来要求是单位的一把手,这是此前理解存在一些偏差。因为在旧版的备案表中,也一直是要求分管领导负责。当然,这背后并不是说一把手就没有网络安全责任,只是作为主要领导负主要责任,分管领导负直接责任罢了。
注:数据资源可以作为定级对象,其实在《网络安全等级保护定级指南》中早已明确过,只是到今天所有定级系统里都需要对数据资源进行判定,也就是数据资源才正式纳入全面纳入定级范畴内,需要针对数据资源做描述,预示着数据安全基础性工作与等级保护体系融合,结合重要数据、核心数据的概念,融合了《数据安全法》特定表达术语。
安全保护等级确定与《定级指南》保持大类的一致性,分别从业务信息安全保护和系统服务安全保护两个层面展开,当确定了业务信息与系统服务两个层面的各自级别后,二者取其高的原则不变。业务信息安全保护等级矩阵表,较定级指南有了新变化。
首先,是客体变化,在《定级指南》《定级报告模板》中的三个客体对比如下:
通过表格对比,我们发现在新版的定级报告模板中,客体增加了“区域安全、国计民生”的概念,这里就与关键信息基础设施做了对齐,我们一般认为事关国计民生的重要信息系统是关键信息基础设施。
再者,在新版定级报告模板的业务信息安全保护等级矩阵表的说明中,谈及了重要数据至少为第三级以上,核心数据至少为第四级以上。
三者,客体侵害程度,依然分为:一般损害、严重损害、特别严重损害;国家安全的一般损害安全保护级别要求从第四级开始,严重损害、特别严重损害安全保护等级要求为第五级。
从公民、法人和其他组织的合法权益;社会秩序、公共利益两个维度去看,矩阵列表级别判定与原来保持了一直,一旦涉及国家安全,则必须上升为第四级。结合发函说明,要将第五级信息系统作为关键信息基础设施认定的重要因素,第五级信息系统原则上按照关键信息基础设施保护相关要求进行保护。
这样矩阵表结合说明,将以等级保护制度为基础,关键信息基础设施安全保护、数据安全保护纳到了等级保护制度体系之内。
系统服务安全保护,矩阵列表如下:
Ø第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;
Ø第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全或地区安全、国计民生;
Ø第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害;
Ø第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全或地区安全、经济安全造成一般危害;
Ø第五级,等级保护对象受到破坏后,会对国家安全或地区安全、国计民生造成特别严重危害或者特别严重损害。
各单位需要更新备案,因新的安全等级矩阵已经更新,很多单位原有级别会发生级别的变化,需要结合最新定级报告模板,撰写具体内容。因为客体范围的增大以及客体损害程度对应级别的变化,原来很多第三级网络可能升格为第四级网络,而第四级网络又需要国家级安全专家评审,这个工作难度与强度较2.0初期还是有非常大的变化的,而且在原来第三级里究竟要分化出多少个四级,各地并没有这方面的经验。这是各个责任单位需要注意的问题,级别判定过程中,已经有了非常大的变化。找专家评审时,注意两点,一则可能涉及国家安全或者地区安全、国计民生吗?如果涉及原来为第三级的需要升格第四级,第四级则不能由本地专家库专家评审;二则因为将所有网络都涉及数据资源的重要性判定,责任单位需要考虑分类分级国家标准和参考《信息安全技术 重要数据识别指南》(征求意见稿),特别一些行业已经发布了重要数据识别指南的,还需要参照分类分级的国家标准和行业标准文件先确定重要数据。
一点不成熟的感思,等级保护从提出到今天三十多年来,我国的网络安全和信息发展,发生了翻天覆地的变化。为我国网络安全基础工作提供了方法论,虽然在执行过程中,也存在不足,不过结合本次基础情况摸底,我感觉接下来将真正迎来等级保护2.0新时代。
首先,本次摸底给所有行业和单位机会,摸清自身网络资产,为自身安全运维与安全管理提供良好的基础支撑;其次,监管部门全面纳管;三是《网络安全等级保护条例》(征求意见稿)2018年已经发出,后期可能根据《网络安全法》《数据安全法》等法律法规,进行修订再次征求意见,进而发布,那么本次摸底后原则上社会上不再存在未定级备案网络,一旦法规发布可能迎来更加严格的执法,到时很多单位将没有理由逃避监管,定级备案可能明确在法规里,同时明确在法律责任里,未开展定级备案将受到处罚。当然,未按照对应安全级别开展建设整改、等级测评一样会受到更加严格的处罚,公安的监管是网络全生存周期的监管。
定级备案本身是公安机关将网络纳管的第一步,如同我们人口管理的身份证。那么本次普查后法理原则上不再存在未定级备案网络,就像国家人口管理一样,经过多轮次的纳管,原则上现在的成年人不存在没有身份证的人,没有身份证寸步难行!有时也像准生证明,有了证明才能去生孩子,十月怀胎后出生,然后出生后要体检。然后,就进入社会,全面被社会和政府管理着长大、工作生活、老去。
这篇文字,探讨了一点新形势下的定级变化,明天我们探讨备案的一些不成熟的看法。期待更多交流,更多的碰撞,以便我们一起夯实等级保护工作,推进关基工作的持续前进与提升,最终做好数据安全,服务国家安全。
原文始发于微信公众号(祺印说信安):等保定级新模板新要求,2025定级工作新变化
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论