2025年3月8日,公安部网安局发布了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号),对网络安全等级保护工作提出了新要求。
2025年4月27日,公安部网安局发布了《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025〕1846号)文件,对3月8日部署的网络安全等级保护工作进一步说明,要求各级单位深化系统备案更新、数据资源摸底及风险整改,并对部分关键问题进行了指导说明。
在《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)中,要求“严格按流程开展备案更新工作”,其中附件部分,给出了三个附件,分别指向定级、备案、测评报告。
其中,要求填报《网络安全等级保护备案表》中的《数据摸底调查表》,摸清数据基本信息、数据使用和数据流动等情况,落实数据安全管理部门、联系人和每类数据的安全责任部门。这里,也就将等级保护与数据安全保护从基础上做好了衔接。在填报《网络安全等级保护备案表》之前,需要网络运营者开展定级工作。
|
系统服务被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
|
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
|
国家安全 |
第三级 |
第四级 |
第五级 |
定级工作,流程可以根据《信息安全技术 网络安全等级保护定级指南》,而关于级别的定义则需要参照《网络安全等级保护定级报告模版(2025版)》,在新的定级保模板中,可以看到矩阵表与《定级指南》中的矩阵表已经有所不同。详见上下,两个矩阵表。
|
系统服务安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
|
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
|
国家安全或地区安全、国计民生 |
第四级 |
第五级 |
第五级 |
同时,我们看到在定级模板中,要求填写“承载数据”,想要填写承载数据,需要提前知道数据的类别与级别,与《数据安全法》要求对齐。至少需要根据国家标准《数据安全技术 数据分类分级规则》,对系统的数据进行分类分级,分类分级需要明确数据属于一般数据、重要数据、核心数据中的哪一级。数据分级结果直接影响等级保护定级结果。
如果,未开展数据分类分级工作。自然无从知道数据类别与级别。这里完成数据分类分级,为等级保护级别判定提供支撑。
定级报告模板说明已经给出了:重要数据至少为第三级以上,核心数据至少为第四级以上。所以,数据分类分级决定着数据的安全保护等级。同时,重要数据的界定,很多行业文件都与数据量挂钩。比如,原来可能是一般数据的信息系统,在几年发展中可能是定义为重要数据,那么等级保护级别可以随之调整。
正式因为数据量的不断增多,数据级别可能面临调级。那么,等级保护安全级别也受影响。这样等级保护的备案设定更新周期,也有他的存在意义了。
话说回来,是不是没有重要数据就不需要定级为第三级?这个肯定是不对的,以工业控制为例,其产生存储的数据或者历史站中的数据其价值并不是那么高,但是其业务系统一旦出现问题,其影响的客体并不以泄露数据来衡量其重要性。不如,控制系统中断,可能引发生产安全等等。所以,数据级别对于等级保护定级,是充分而不必要的关系。数据级别高,等级保护级别一定高;反之,不一定。
所以,在开展等级保护定级工作之前,有关单位需要开展数据分类分级,分类分级也是基于国家标准开展。所以,在开展等级保护定级过程中,两个国家标准是我们必须熟练运用的。
-
数据安全技术 数据分类分级规则
-
信息安全技术 网络安全等级保护定级指南
最后,如果你是网络运营者,你们开展等级保护定级前数据分类分级开展了吗?如果你是第三方安全咨询服务机构,你协助客户开展数据分类分级了吗?你具备数据分类分级的能力和水平吗?这些都和等级保护定级工作息息相关,期待大家一起加强加强再加强。
— 欢迎关注
原文始发于微信公众号(祺印说信安):欲等保定级先数据分类分级
原文始发于微信公众号(祺印说信安):欲等保定级先数据分类分级
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论