小編這邊拿到官方最新定級指南《GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》標(biāo)準(zhǔn)，這里跟大家分享。

　　補(bǔ)充說明一下，2020年4月底網(wǎng)上曾經(jīng)流傳過一個版本，該版本與官方發(fā)布的正式版本略有差距，本篇文章是以官網(wǎng)發(fā)布的正式版本為準(zhǔn)。

　　一、標(biāo)準(zhǔn)更新背景及影響

　　2020年4月28日，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》，并于2020年11月1日正式實施。

　　相比于2008年發(fā)布的版本，定級指南2020版隨著信息技術(shù)的發(fā)展在不斷完善、更新以及充實，以此來保證標(biāo)準(zhǔn)的適用性。

　　二、標(biāo)準(zhǔn)更新內(nèi)容

　　新標(biāo)準(zhǔn)代替《GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》，與GB/T 22240-2008相比，主要技術(shù)變化如下：

　　1、標(biāo)準(zhǔn)的命名變更：

　　定級指南2008版本命名為：《GB/T 22240-2008  信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級定級指南》，而定級指南2020版本命名為《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》。

　　標(biāo)準(zhǔn)目錄結(jié)構(gòu)對比：

　　2、定級原理變化

　　從新老標(biāo)準(zhǔn)定級原理對比來看，有2處細(xì)微變化，從這2處變化我們可以新標(biāo)準(zhǔn)在用詞上非常嚴(yán)謹(jǐn)，調(diào)整如下：

　　由原來的“信息系統(tǒng)”調(diào)整為“等級保護(hù)對象”

　　由原來的“公民”調(diào)整為“相關(guān)公民”

　　3、條款內(nèi)容的變化對比：

　　a、等級保護(hù)對象的變化

　　b、 定級要素與安全保護(hù)等級的關(guān)系

　　需注意：當(dāng)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害時安全保護(hù)等級為二級，在征求意見稿中安全保護(hù)等級為三級。

　　c、定級方法流程變化：

　　新標(biāo)準(zhǔn)定級流程增加了專家評審、主管部門審批環(huán)節(jié)，如下圖

　　說明：

　　安全保護(hù)等級初步確定為第二級及以上的等級保護(hù)對象，其網(wǎng)絡(luò)運營者依據(jù)《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》標(biāo)準(zhǔn)進(jìn)行專家評審、主管部門審核和備案審核，最終確定其安全保護(hù)等級。

　　安全保護(hù)等級初步確定為第一級的等級保護(hù)對象，其網(wǎng)絡(luò)運營者依據(jù)《GB/T 22240-2020信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》標(biāo)準(zhǔn)自行確定最終安全保護(hù)等級，可不進(jìn)行專家評審、主管部門審核和備案審核。

　　4、受害客體表現(xiàn)形式的變化對比：

　　補(bǔ)充：

　　一、哪些企業(yè)和機(jī)構(gòu)需要定級備案？

　　定級對象的范圍相比舊標(biāo)準(zhǔn)變化較多，本次《定級指南》包含了云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施以及數(shù)據(jù)資源，我們來具體看下，作為定級對象的信息系統(tǒng)應(yīng)具有如下三點基本特征

　　a.具有確定的主要安全責(zé)任體；

　　b.承載相對獨立的業(yè)務(wù)應(yīng)用；

　　c.包含相互關(guān)聯(lián)的多個資源。

　　從這幾個特征來看，基本互聯(lián)網(wǎng)上的系統(tǒng)差不多都要定級備案?！抖壷改稀方o出了有關(guān)安全責(zé)任主體的解釋：包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會團(tuán)體等其他組織。

　　以前很多人一直有個疑問，我們的系統(tǒng)很小，沒多少數(shù)據(jù)，就不需要定級了。現(xiàn)在官方給出了明確解釋，企業(yè)、機(jī)關(guān)和事業(yè)單位以及社會團(tuán)體等其他組織只要符合上述三個基本特征均需要進(jìn)行定級備案。

　　二、哪些系統(tǒng)屬于強(qiáng)制定級備案范疇？

　　云計算平臺/系統(tǒng)

　　《定級指南》明確表示，云上租戶和云服務(wù)商的等級保護(hù)對象要分開定級，根據(jù)云上服務(wù)模式再分別定級。就是說，云服務(wù)商的平臺對外提供SaaS、PaaS、IaaS三種服務(wù)模式，那么就分為三個對象來分別定級。對于大型云計算平臺，除了服務(wù)模式之外還可能根據(jù)基礎(chǔ)設(shè)施和輔助服務(wù)系統(tǒng)再次分別定級。不過這里《定級指南》中用了“宜”這個字，以我們的觀點來看，應(yīng)該是建議而非強(qiáng)制要求。另外，對于騰訊云這種大型云計算平臺的要求，同樣也適用于搭建私有云和混合云的大中型企業(yè)。

　　物聯(lián)網(wǎng)

　　通常是以系統(tǒng)為單位，將所有邊緣設(shè)備和應(yīng)用統(tǒng)一起來，作為一個整體來定級。（比如某些智能家居系統(tǒng)，就要以整體平臺作為定級對象，不能以不同家庭或不同區(qū)域作為定級對象）。

　　工業(yè)控制系統(tǒng)

　　不同于其他行業(yè)，《定級指南》要求對于工業(yè)控制系統(tǒng)，將現(xiàn)場、過程控制要素作為一個整體定級，而生產(chǎn)管理要素單獨再作為一個定級對象。也就是一個工業(yè)控制系統(tǒng)，最終會分成兩個對象定級備案。對于大型工控系統(tǒng)，根據(jù)功能、主體、控制對象和生產(chǎn)廠商等因素劃分多個定級對象，也就是說大型工控系統(tǒng)可拆分定級。

　　采用移動互聯(lián)技術(shù)的系統(tǒng)

　　《定級指南》為這類系統(tǒng)進(jìn)行了簡要描述，即包括移動終端（手機(jī)、平板、筆記本）、移動應(yīng)用和無線網(wǎng)絡(luò)等特征要素的系統(tǒng)，將所有移動技術(shù)整合，作為一個整體來定級。

　　通信網(wǎng)絡(luò)設(shè)施

　　主要是通信和廣電行業(yè)的核心網(wǎng)絡(luò)，基本可以算得上關(guān)鍵信息基礎(chǔ)設(shè)施了，也是國家重點關(guān)注的行業(yè)之一。《定級指南》建議，可根據(jù)安全責(zé)任主體、服務(wù)類型或服務(wù)地域劃分不同的定級對象。根據(jù)以往經(jīng)驗，基本都是采取責(zé)任主體或地域劃分居多，也便于管理。而對于運營商網(wǎng)絡(luò)（骨干網(wǎng)、接入網(wǎng)），多以地市為單位作為定級對象，《定級指南》建議跨省行業(yè)或單位專用通信網(wǎng)可作為一個整體對象定級。

　　數(shù)據(jù)資源

　　這是新版《定制指南》提出的一個新要素，數(shù)據(jù)資源可以獨立定級。定級是基于大數(shù)據(jù)、大數(shù)據(jù)平臺安全責(zé)任主體相同與否。舉個例子，比如某些電商平臺，數(shù)據(jù)分布在多個平臺，每個平臺都有獨立法人，這種情況就應(yīng)該屬于安全責(zé)任主體不同，這時就要把數(shù)據(jù)資源單獨作為定級對象，電商平臺作為另一個定級對象。