网络安全-等级保护(等保) 2-7-1 GB/T 25058—2019 第5章 等级保护对象定级与备案
################################################################################
本章节主要是为了确定等级保护对象,通用要求下的等级保护对象和云大物移工的等级保护对象。
在GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》中给出定义:
等级保护对象 target of classified protection:网络安全等级保护工作直接作用的对象。
注:主要包括信息系统、通信网络设施和数据资源等。
信息系统 information system:应用、服务、信息技术资产或其他信息处理组件。
注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等
通信网络设施 network infrastructure:为信息流通、网络运行等起基础支撑作用的网络设备设施。
注:主要包括电信网、广播电视传输网和行业或单位的专用通信网等
数据资源 data resources:具有或预期具有价值的数据集合。
注:数据资源多以电子形式存在。
在 GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》中给出定义:
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。
在 GB/T 25058—2019 《信息安全技术 网络安全等级保护实施指南》中,指出云大物移工系统整体定级和单独定级的要求,详细查看5.3节。
5 等级保护对象定级与备案
5.1 定级与备案阶段的工作流程
5.2 行业/领域定级工作
5.3 等级保护对象分析
5.4 安全保护等级确定
5.5 定级结果备案
################################################################################
5 等级保护对象定级与备案
5.1 定级与备案阶段的工作流程
等级保护对象定级阶段的目标是运营、使用单位按照国家有关管理规范和定级标准,确定等级保护对象及其安全保护等级,并经过专家评审。
运营、使用单位有主管部门的,应经主管部门审核、批准,并报公安机关备案审查。
等级保护对象定级与备案阶段的工作流程见图2。
GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》
5.2 行业/领域定级工作
################################################################################
个人见解说明:行业/领域定级工作,主要是各个行业/领域的主管部门制定,比如电力、金融等行业都有单独发布等级保护的要求,和通用等级保护要求有一定差异,会根据本行业的业务特性进行制定。
不同行业的工作人员,在满足基础要求的基础上,需单独解析行业要求,进行调整。
################################################################################
活动目标:
行业/领域主管部门在必要时可组织梳理行业/领域的主要社会功能/职能及作用,分析履行主要社会功能/职能所依赖的主要业务及服务范围,最后依据分析和整理的内容形成行业/领域的业务总体描述性文档。
参与角色:主管部门,网络安全服务机构。
活动输入:行业介绍文档,GB/T 22240 。# GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》
活动描述:
本活动主要包括以下子活动内容:
a) 识别、分析行业/领域重要性
主管部门可组织梳理本行业/领域的行业特征、业务范围、主要社会功能/职能和生产产值等信息, 分析主要社会功能/职能在保障国家安全、经济发展、社会秩序、公共服务等方面发挥的重要作用。
b) 识别行业/领域的主要业务
主管部门可组织梳理本行业/领域内主要依靠信息化处理的业务情况,并按照业务承载的社会功能/职能的重要程度、其他行业对其的依赖程度等方面确定本行业/领域内的主要业务。
c) 定级指导
主管部门可组织分析本行业/领域内的主要业务,并根据业务信息重要性和业务服务重要性分析各主要业务的安全保护要求,结合行业/领域自身情况,形成针对主要业务的行业/领域定级指导意见。
跨省或者全国统一联网运行的等级保护对象可以由主管部门统一确定安全保护等级。
################################################################################
这里提到了业务信息重要性和业务服务重要性,在GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》中提到的是业务信息安全和系统服务安全。定义如下:
业务信息安全是指确保定级对象中信息的保密性、完整性和可用性 等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。
################################################################################
d) 定级工作部署
主管部门可制定本行业/领域的定级指导意见,并统一部署全行业/领域的定级工作。
行业/领域主管部门应对下属单位的定级结果进行审核、批准。
活动输出:行业/领域的业务总体描述文件,行业/领域定级指导意见,行业/领域定级工作部署文件。
5.3 等级保护对象分析
5.3.1 对象重要性分析
活动目标:
通过收集了解有关等级保护对象的信息,并对信息进行综合分析和整理,分析单位的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的等级保护对象,整理等级保护对象处理的业务及服务范围,最后依据分析和整理的内容,有行业/领域定级指导意见的还应依据行业/领域定级指导意见,形成单位内等级保护对象的总体描述性文档。
参与角色:运营、使用单位,网络安全服务机构。
活动输入:单位情况说明文档,等级保护对象的立项、建设和管理文档,行业/领域定级指导意见。
活动描述:
本活动主要包括以下子活动内容:
a) 识别单位的基本信息
调查了解等级保护对象所属单位的业务范围、主要社会功能/职能和生产产值等信息,分析主要社会功能/职能在保障国家安全、经济发展、社会秩序、公共服务等方面发挥的重要作用。
b) 识别单位的等级保护对象基本信息
了解单位内主要依靠信息化处理的业务情况,这些业务各自的社会属性和业务内容,确定单位的等级保护对象。
并确定等级保护对象的业务范围、地理位置以及其他基本情况,获得等级保护对象的背景信息和联络方式。
c) 识别等级保护对象的管理框架
了解等级保护对象的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支撑等级保护对象业务运营的管理特征和管理框架方面的信息,从而明确等级保护对象的安全责任主体。
d) 识别等级保护对象的网络及设备部署
了解等级保护对象的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确等级保护对象的边界,即确定等级保护对象及其范围。
e) 识别等级保护对象的业务特性
了解单位内主要依靠信息化处理的各种业务及业务流程,从中明确支撑单位业务运营的等级保护对象的业务特性。
f) 识别等级保护对象处理的信息资产
了解等级保护对象处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
g) 识别用户范围和用户类型
根据用户或用户群的分布范围了解等级保护对象的服务范围、作用以及业务连续性方面的要求等。
h) 等级保护对象描述
对收集的信息进行整理、分析,形成对等级保护对象的总体描述文件。
一个典型的等级保护对象的 总体描述文件应包含以下内容:
- 1) 等级保护对象概述;
- 2) 等级保护对象重要性分析;
- 3) 等级保护对象边界描述;
- 4) 网络拓扑;
- 5) 设备部署;
- 6) 支撑的业务应用的种类和特性;
- 7) 处理的信息资产;
- 8) 用户的范围和用户类型;
- 9) 等级保护对象的管理框架。
依据上述信息整理《等保项目预调研情况汇总表》,对于客户环境可通过该表进行前期调研,减少沟通成本。
可联系作者付费获取。
活动输出:等级保护对象总体描述文件。
5.3.2 定级对象确定
活动目标:
依据单位的等级保护对象总体描述文件(有行业/领域定级指导意见的还应依据行业/领域定级指导意见),在综合分析的基础上将单位内运行的等级保护对象进行合理分解,确定所包含的定级对象及其个数。
参与角色:运营、使用单位,网络安全服务机构。
活动输入:行业/领域定级指导意见,行业/领域定级工作部署文件,等级保护对象总体描述文件, GB/T 22240。
活动描述:
本活动主要包括以下子活动内容:
a) 划分方法的选择
为了突出重点保护的等级保护原则,运营、使用单位应对大型等级保护对象进行划分,划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,运营、使用单位应根据本单位的具体情况 确定等级保护对象的分解原则。
b) 等级保护对象划分
依据选择的等级保护对象划分原则,参考行业/领域定级指导意见(若有行业/领域定级指导意见), 运营、使用单位应将大型等级保护对象进行划分,划分出相对独立的对象作为定级对象,应保证每个相 对独立的对象具备定级对象的基本特征。
在等级保护对象划分的过程中,应首先考虑组织管理的要素, 然后考虑业务类型、物理区域等要素。
承载比较单一的业务应用或者承载相对独立的业务应用的对象 应作为单独的定级对象。
对于电信网、广播电视传输网等通信网络设施,应分别依据安全责任主体、服务类型或服务地域等 因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
在云计算环境中,应将云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
对于工业控制系统,其一般包含现场采集/执行、现场控制、过程控制和生产管理等特征要素。
其中,现场采集/执行、现场控制、过程控制等要素应作为一个整体对象定级,各要素不单独定级;
生产管理要素宜单独定级。
对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素 划分为多个定级对象。
采用移动互联技术的等级保护对象主要包括移动终端、移动应用和无线网络等特征要素,可作为一 个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
c) 定级对象详细描述
在对等级保护对象进行划分并确定定级对象后,应在等级保护对象总体描述文件的基础上,进一步 增加定级对象的描述,准确描述一个大型等级保护对象中包括的定级对象的个数。
进一步的定级对象详细描述文件应包含以下内容:
- 1)相对独立的定级对象列表;
- 2) 每个定级对象的概述;
- 3) 每个定级对象的边界;
- 4) 每个定级对象的设备部署;
- 5) 每个定级对象支撑的业务应用及其处理的信息资产类型;
- 6) 每个定级对象的服务范围和用户类型;
- 7) 其他内容。
活动输出:定级对象详细描述文件。
5.4 安全保护等级确定
5.4.1 定级、审核和批准
活动目标:
按照国家有关管理规范和定级标准,确定定级对象的安全保护等级,并对定级结果进行评审、审核 和审查,保证定级结果的准确性。
参与角色:主管部门,运营、使用单位,网络安全服务机构。
活动输入:行业/领域定级指导意见,等级保护对象总体描述文件,定级对象详细描述文件。
活动描述:
本活动主要包括以下子活动内容:
a) 定级对象安全保护等级初步确定
根据国家有关管理规范、行业/领域定级指导意见(若有则作为依据)以及定级方法,运营、使用单位对每个定级对象确定初步的安全保护等级。
b) 定级结果评审
运营、使用单位初步确定了安全保护等级后,必要时可以组织网络安全专家和业务专家对初步定级结果的合理性进行评审,并出具专家评审意见。
c) 定级结果审核、批准
运营、使用单位初步确定了安全保护等级后,有明确主管部门的,应将初步定级结果上报行业/领域 主管部门或上级主管部门进行审核、批准。
行业/领域主管部门或上级主管部门应对初步定级结果的合理性进行审核,出具审核意见。
运营、使用单位应定期自查等级保护对象等级变化情况以及新建系统定级情况,并及时上报主管部 门进行审核、批准。
活动输出:定级结果,主管部门审批意见。
5.4.2 形成定级报告
活动目标:
对定级过程中产生的文档进行整理,形成等级保护对象定级结果报告。
参与角色:主管部门,运营、使用单位。
活动输入:定级对象详细描述文件,定级结果。
活动描述:
对等级保护对象的总体描述文档、详细描述文件、定级结果等内容进行整理,形成文件化的定级结 果报告。
定级结果报告可以包含以下内容:
-
- a) 单位信息化现状概述;
- b) 管理模式;
- c) 定级对象列表;
- d) 每个定级对象的概述;
- e) 每个定级对象的边界;
- f) 每个定级对象的设备部署;
- g) 每个定级对象支撑的业务应用;
- h) 定级对象列表、安全保护等级以及保护要求组合;
- i) 其他内容。
活动输出:安全保护等级定级报告。
5.5 定级结果备案
活动目标:
根据等级保护管理部门对备案的要求,整理相关备案材料,并向受理备案的单位提交备案材料。
参与角色:主管部门,运营、使用单位,等级保护管理部门。
活动输入:定级报告,主管部门审核意见,等级保护对象安全总体方案,安全详细设计方案,安全等级测评报告(第三级及以上等级系统需要提供)。
活动描述:
本活动主要包括以下子活动内容:
a) 备案材料整理
运营、使用单位在等级保护对象建设之初根据其将要承载的业务信息及系统服务的重要性确定等 级保护对象的安全保护等级,并针对备案材料的要求,整理、填写备案材料。
b) 备案材料提交
根据等级保护管理部门的要求办理定级备案手续,提交备案材料(新建等级保护对象可在等级测评 实施完毕补充提交等级测评报告);
等级保护管理部门接收备案材料,出具备案证明。
活动输出:备案材料,备案证明。
###################################################################################
愿各位在进步中安心。
2025.05.19 禾木
- ———GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
2. 等保2.0标准执行之高风险判定
3. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)
5. GBT 36958—2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
6. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)
7. 等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)
- ———GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
2. 等保2.0标准执行之高风险判定
3. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)
5. GBT 36958—2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
6. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)
7. 等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)
部分材料下载链接:
1、等保二级高风险项核对表下载链接:
2、GBT 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接:
###################################################################################
浙公网安备 33010602011771号