分类
技術分析 是什麼

云平台背景下的网络安全等级保护测评策略

当前位置:首页 - 企业动态 - 企业新闻

云平台背景下的网络安全等级保护测评策略

当前位置:首页 - 企业动态 - 企业新闻

解读《网络安全等级保护定级指南》2020版本8大变化

2020年4月28日,国家市场监督管理总局、国家标准化管理委员会发布了GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》。该标准历时3年研制,将于2020年11月1日正式实施(代替GB/T 22240—2008)。GB/T 22240-2020是网络安全等级保护2.0体系的重要组成部分,作为等级保护测评五大环节之首,对整个等保测评工作的实施开展意义重大。

2008年颁布的国家标准GB/T 22240-2008《信息安全技术 信息安全等级保护定级指南》落地实施已有十年时间。近年来,随着大数据、人工智能、云计算、物联网、移动互联等新技术新应用,企业信息系统架构复杂化、前端多样化、系统边界模糊化等特点,给企业网络安全合规建设带来挑战。为促进网络安全等级保护2.0时代的顺利发展,国家需要出台新的技术规范,方便企业对其进行准确的定级,以便更好地推动等级保护各项工作的开展。

对比GB/T 22240-2008版本,2020版本体现出八大变化

序号

变化点

修订内容

条款解读

标准名称

标准的名称由原来的GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》改为“信息安全技术 网络安全等级保护定级指南”。

为适应《 网络安全法》 ,配合落实“网络安全等级保护制度”进行同步调整。

术语定义

新增 了网络安全、通信网络设施、数据资源和受侵害的客体术语定义,修订了等级保护对象等术语定义,等级保护对象主要包括信息系统、通信网络设施和数据资源等。

等级保护对象从信息系统,扩展到信息系统、通信网络设施和数据资源等,内容更 广泛

定级流程

明确要求 第二级及以上 的定级,需组织专家评审,提供主管部门核准意见。第一级的等级保护,自行确定,可不进行专家评审。

定级对象确定方法

除保留原有的定级对象确定方法外, 增加 了对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源定级对象的确定方法。

对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为 不同的定级对象 ;物联网、移动互联技术各要素, 不单独定级 ;数据资源可 独立定级 等。

确定安全保护等级方法

增加 了对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源定级对象的安全保护等级方法的特别说明。

确定了定级方法流程 的 五个 步骤,描述了定级方法的 七步 步骤,为企业定级提供详细的方法依据。

确定通信网络设施、云计算平台/系统等级方法

对于 高级别 的云租户系统不能部署到 低级别 的云平台上;对于已过等保或计划过等保测评的云租户,不应部署在 未过等保测评 的云计算平台上。

确定数据资源等级方法

大数据将作为定级对象, 独立定级 ,尤其是涉及公民个人信息的大数据平台/系统,要求开展等级保护测评工作。

明确定级流程

明确了定级工作的流程,即:确定定级对象→初步确定等级 → 专家评审 → 主管部门核准 → 公安机关备案审查。

从企业“ 自主定级 ”向“ 初步定级 ”的转变,强调的专家评审和主管部门核准的重要性。

GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》的发布,详细描述了等级保护对象的安全保护等级定级方法和定级流程。但在实践层面,网络运营者在处理等级保护对象的定级工作中仍然存在较多困惑,比如:

国家网络安全等级保护测评体系标准应用实践

公安部第三研究所(以下简称“公安部三所”)积极承担等级保护测评体系建设任务,为确保工作顺利推进,自2006年起,公安部三所先后完成了国家“863”计划《等级保护体系模型、测评方法与支撑工具研究》、国家发展改革委信息安全专项《信息安全等级保护专业化服务》等项目课题研究,经过充分的科研技术储备和实践成果积累,主持编制GB/T 36959—2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》,以此为基础,充分发挥标准在“政策配套衔接、队伍能力建设、实施应用指导、机制健全完善、工具平台支撑、实战能力检验、服务标准规范”等各个环节的应用指导作用,历经多年的建设和完善,等级保护测评体系已经成为我国网络安全领域第一个成功建设、持续运行、并被各级主管单位、重要行业部门以及社会各界广泛认可的服务支撑体系。

2 标准实施机制

3 标准具体应用

3.1 等级测评标准体系构成分析

图1 网络安全等级测评机构能力评估流程图

等级测评体系标准始终是以测评体系建设为主线,即以GB 17859—1999《计算机信息系统安全保护等级划分准则》为基础、能力建设类标准GB/T 36959—2018为核心,通过“测评过程类标准”“安全要求类标准”和“分析方法类标准”来指导测评活动各个环节,最终实现测评体系建设目标,主要有以下标准:

● GB/T 36959—2018《信息安全技术 网络安全等级测评机构能力要求和评估规范》—能力建设核心标准;

● GB 17859—1999《计算机信息系统安全保护等级划分准则》——等级保护基础标准;

● GB/T 28449—2018《信息安全技术 网络安全等级保护测评过程指南》——测评过程类标准;

● GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》——安全要求类标准;

● GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》——安全评价要求类标准;

● GB/T 20984—2007《信息安全技术 信息安全风险评估规范》——分析方法类标准。

3.2 测评体系核心标准的能力域构建

图2 网络安全等级测评机构能力域图

3.云平台背景下的网络安全等级保护测评策略 3 标准融合推动测评体系建设

表1 GB/T 36959—2018与其他标准能力域融合一览表(以Ⅲ级机构与第三级保护对象为例)

能力域条款号标准名称
测评实施能力4.5.3.2.2 a) 安全技术测评实施能力GB 17859—1999《计算机信息系统安全保护等级划分准则》
GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》
GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》
4.5.3.2.2 b) 安全管理测评实施能力GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》
GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》
4.5.3.2.2 c) 安全测试与分析验证能力GB/T 28449—2018《信息安全技术 网络安全等级保护测评过程指南》
4.5.3.2.2 d) 整体测评实施能力GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》
4.5.3.2.2 e)风险分析能力GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》
GB/T 20984—2007《信息安全技术 信息安全风险评估规范》
4.5.3.2.6 a)测评准备阶段GB/T 28449—2018《信息安全技术 网络安全等级保护测评过程指南》
4.5.3.2.6 b)云平台背景下的网络安全等级保护测评策略 方案编制阶段
4.5.3.2.6 c)现场测评阶段
4.5.3.2.6 d)报告编制阶段
设施和设备安全与保障能力4.5.4.2测评机构应配备满足等级测评工作需要的测评设备和工具
4.5.4.3测评机构应具备符合相关要求的机房以及必要的软、硬件设备……
保证能力4.5.6.4测评记录的规范性
4.5.6.5测评报告的规范性
风险控制能力4.5.7风险控制能力

3.4 标准指导健全技术监督机制

(1)创立首个测评项目跟踪评议制度

从2018年下半年起,依据GB/T 22239—2008、GB/T 28448—2012、GB/T 28449—2012等标准,开展对测评机构首个项目进行跟踪评议,出具数十份评议报告,首个测评项目跟踪评议制度确保了测评体系整体服务质量始终保持在一个稳定水平。

(2)建立年度测评监督检查机制

(3)建立能力验证机制

能力验证是指利用检验检测机构间比对来判定技术能力的一项国际通行质量管理活动,是识别机构间差异、验证工作质量、开展人员培训、实施风险管理和质量改进的重要工具。能力验证提供者(按照等同 ISO/IEC 17043的GB/T 27043—2012《合格评定 能力验证的通用要求》等国际通行要求)开展的能力验证活动,也是认可机构加入和维持国际相互承认协议(MRA)的必要条件之一。为提高其质量管控和技术服务能力,按等级保护主管部门要求,自2021年起,等级测评体系全面纳入CNAS的能力验证计划,等级测评体系标准指标全面作为验证依据。

3.5 标准推动专业化平台与工具研发

4 标准实施应用取得的成效

4.1 等级测评工作成效显著

4.2 带动经济和社会效益双丰收

4.3 测评队伍成长为国家网络安全重要技术支撑力量

4.4 总体技术水平和标准化支撑能力不断提升

随着自身建设的深化与完善,测评体系整体技术水平显著提高,在网络安全领域的权威性和引领作用不断提升。等级保护2.0国家标准出台后,为加快标准落地实施,公安部三所和测评联盟积极全力推动标准的落地实施与应用,组织制定起草了T/ISEAA 001—2020《网络安全等级保护测评高风险判定指引》、T/ISEAA 002—2021《信息安全技术 网络安全等级保护大数据基本要求》、《信息安全技术 网络安全等级保护区块链安全基本要求》(云平台背景下的网络安全等级保护测评策略 在研)等系列团体标准,积极参与国家倡导的“标准采信团体标准机制”实践探索,切实提高网络安全领域标准化服务的技术支撑能力。

4.5 成为网络安全产业发展重要驱动力

5 标准实施经验总结及建议

5.1 注重效能,努力实现国家标准高效实施应用目标

5.2 完善发展,继续为国家网络安全保障体系提供有力支撑

5.3 建议

[1] 中国合规评定国家认可委员会.CNAS—CI01:2012检验机构能力认可准则[Z].北京:中国合规评定国家认可委员会,2012.

[2] 翟培军,田玲,葛曼丽,等.GB/T 27043—2012合格评定能力验证的通用要求[S].北京:中国标准出版社,2012.

[3] 金铭彦,罗峥,张笑笑,等.T/ISEAA 001—2020网络安全等级保护测评高风险判定指引[S].北京:中国标准出版社,2020.

[4] 袁静,任卫红,江雷,等.T/ISEAA 002—2021信息安全技术网络安全等级保护大数据基本要求[S].北京:中国标准出版社,2021.

云平台背景下的网络安全等级保护测评策略

贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见

层级:国家级 发文系统:公安 发文日期:2020-07-22 所在行业:信息传输、软件和信息技术服务业
企业规模: 企业需求: -->

湖南省人民政府门户网站 www.hunan.gov.cn 发布时间: 2020-07-22 15:58 【字体:大中小】

  • 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度解读 2020-12-18

主办单位:湖南省人民政府办公厅 承办单位:湖南省中小企业服务中心 协办单位:湖南日报社 备案号:湘ICP备05000618号 公安机关备案号:43010302000524 网站标识码:4300000001 联系电话:0731-82214480(仅受理网站建设维护相关事宜) 0731-82214480 省政府门户网站联系电话

信息安全等级保护工作十大误区

信息安全等级保护工作十大误区_信息系统

《卫生行业信息安全等级保护工作的指导意见》卫生信息安全工作目标 nbsp;nbsp;依据制度,遵循规范,在卫生行业开展等保定级备案,建设整改和等级评测。工作原则 nbsp;nbsp;遵循标准,重点保护 nbsp;.