本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
本节主要讲定级与备案的相关内容,涵盖一些流程以及具体定级和备案表格的填写知识。
级别
在给等保对象定级之前,先要知道等保有几个级别,等保2.0和1.0保持一致的,还是五个级别,一般情况下都是2级或者3级的系统为主,4级和5级一般情况碰不到,1级自主管理不做要求,所以只要做等保就是2级和3级为主,每个级别的描述根据GB 17859-1999标准的描述整理为表格如下:
| 等保级别 | 监管强度 | 常见等保对象 |
|---|---|---|
| 第一级:用户自主保护级 | 自主保护 | 中小企业非业务系统:网站 |
| 第二级:系统审计保护级 | 指导保护 | 市级非核心系统 |
| 第三级:安全标记保护级 | 监督保护(实际上是做抽查) | 省级系统、市级核心业务系统、行业规定的系统,如证券、银行 |
| 第四级:结构化保护级 | 强制保护 | 国家级核心系统:电网、通信等 |
| 第五级:访问验证保护级 | 专控保护 | 国防、军队系统 |
具体定级还要参考行业或者上级部门的相关规定或者标准,例如,之前有一个光伏发电厂,一看拓扑结构,各种复杂,本以为是三级系统,但是按行业规定多少KW以下的电厂应该定二级,结果就是按二级来定。另外责任主体如果对专家给定级别有意见的可以重新定,这个情况比较少见,但是不能说没有。
定级一定要按定级的矩阵正确给出相应的级别,很多定级报告封面定二级,然后矩阵里面对应三级,前后矛盾,这是要返工的。
定级矩阵很容易记,是三个受侵害客体与三个侵害程度做两两的组合,得到一个3×3的矩阵
| 受侵害客体 | 对客体侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 1 | 2 | 2 |
| 社会秩序、公共利益 | 2 | 3 | 4 |
| 国家安全 | 3 | 4 | 5 |
以下内容来自中级测评师培训教程,是关于客体和侵害程度的说明,比较主观,没有量化,了解一下即可。
受侵害的客体
根据《中华人和国国家安全法》侵害国家安全的事项主要包括以下方面:
影响国家政权稳固同和领土主权,海洋权益完整
影响国家统统一、民族团结和社会稳定;
影响国家社会主义市场经济秩序和文化实力;
其他影响国家安全的事项。
根据《中华人民共和国治安管理处罚法》,侵害社会秩序的事项主要包括以下方面:
影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
影响公共场所的活动秩序、公共交通秩序;
影响人民群众的生活秩序;
其他影响社会秩序的事项。
公共利益通常是指不特定的社会成员所享有的,受法律法规保护的长远利益,侵害公共利益的事项主要包括以下方面:
影响社会成员使用公共设施;
影响社会成员获取公开信息资源;
影响社会成员接受公共服务等方面;
其他影响公共利益的事项。
公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等,如财产、企业信誉和个人名誉等。
侵害程度
三种侵害程度的定性描述如下,行业和地方标准可以结合实际情况进一步细化和量化:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;
特别严重损害:工作职能受到特严重影响或丧行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
流程
流程之前画过,直接贴过来:
这里注意:
1.在上述过程中,专家评审、主管部门核准或备案审核不通过的,定级对象的运营者应重新开展定级工作(如上图虚线箭头所示)。
2.安全保护等级初步确定为第一级的等级保护对象,其运营者应依据标准要求自行确定安全保护等级。除了一级以外,都应该按照上图的流程走到位。
确定定级对象
这块之前写过,不重复,常规定级对象可以看这里。对于工控、云平台、物联网、移动互联技术、通信网络设施、大数据这些比较特殊的系统而言,有自己的划分原则,这里简单总结下:
| 对象类型 | 定级原则 | 特例 |
|---|---|---|
| 工业控制系统 | 工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素,这些要素应作为一个整体对象定级,各要素不单独定级;但生产管理要素可单独定级。 | 对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。 |
| 云计算平台 | 在云计算环境中,应将云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统分别作为单独的定级对象定级,并根据不同服务模式(SaaS、PaaS、laaS)将云计算平台/系统划分为不同的定级对象。(注意:这里是中级大题常见考点) | 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。 |
| 物联网 | 物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不应单独定级。 | |
| 采用移动互联技术的系统 | 采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。 | |
| 通信网络设施 | 对于电信网、广播电视传输网等通信网络设施,应分别依据安全责任主体、服务类型和服务地域等因素将其划分为不同的定级对象。 | 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。 |
| 数据资源 | 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。 | 对于大数据和大数据平台,原则上其安全保护等级不低于第三级。 |
初步确定等级
一般根据同类系统可用估出来自己系统的级别,但是要正确的反映到定级报告,具体而言就是要准确的将级别对应到上面那个矩阵,但是那个矩阵中的定级对象的安全又分为业务信息安全和系统服务安全,所以矩阵分解为:
| 业务信息安全被破坏时所侵害的客体 | 对客体侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 1 | 2 | 2 |
| 社会秩序、公共利益 | 2 | 3 | 4 |
| 国家安全 | 3 | 4 | 5 |
| 系统服务安全被破坏时所侵害的客体 | 对客体侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 1 | 2 | 2 |
| 社会秩序、公共利益 | 2 | 3 | 4 |
| 国家安全 | 3 | 4 | 5 |
注意,这里两个矩阵可能对应的结果不一样,最后结果取二者的最大值。但是对应等保基本要求的时候要分别按二者的等级对应相应的安全要求标准。先挖坑,讲GB/T 22239再细说。
级别定好就可以填两个表:定级报告和备案表。二级和三级不太一样,三级内容多些,本地公共机关网站上有下载,一般这个事也是测评机构代劳,不展开。
主要准备好公司的简介、系统的业务介绍、网络拓扑图、安全设备列表即可。
专家评审和定级核准
这个步骤中,专家评审是等保2.0新提出来的要求,之前1.0当然也有专家进行评审,但这个评审不是规定动作,按标准而言,初步确定为二级以上的定级对象的运营者应组织网络安全等级保护专家对初步定级结果的合理性进行评审;有行业主管(监管)部门的,还应将初步定级结果报请行业主管(监管)部门核准(没有可省略该步骤)。
通俗的说,请专家一般都是要额外花钱的,一般企业都是能省就省,所以请专家的事情都是交给市委主管部门(经信委)负责请专家评审。
评审时应将准备提交到公安机关的材料弄一份,然后加一份专家评审意见表,表格内容大概包含:
填表时间、信息系统运营/使用单位名称、信息系统运营/使用单位地址、项目负责人、联系电话、邮件地址、定级对象名称(可有多个)、初定的安全级别(可有多个)、专家评审建议级别(可有多个)、评审专家组意见和签名。
备案审核
最后,定级对象的运营者应按照相关管理规定,将初步定级结果提交公安机关进行备案审核,通过后最终确定其安全保护等级。这里会获得一个备案证明,各个地方不一样,有纸质版,也有电子版的,最重要的是那个备案号,要根据这个号来生成测评报告编号。
三级以上系统复测无需重新备案。