等级保护定级指南意见稿五点重大变化

1月19日,全国信息安全标准化技术委员会秘书对外发布《信息安全技术 网络安全等级保护定级指南》征求意见稿,面向社会广泛征求意见。针对此次的定级指南,不得不等整理了5点定级指南内容的重大变化。

 

1、等级保护对象增加

网络安全等级保护工作的作用对象,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等。新增了等保2.0覆盖的新技术新应用形态。

2、明确了国家安全、社会秩序和公共利益的具体表现形式

侵害国家安全的事项包括以下方面:

——影响国家政权稳固和主权完整;

——影响国家统一、民族团结和社会稳定;

——影响国家经济秩序和文化实力;

——影响宗教活动秩序和反恐能力建设;

——其他影响国家安全的事项。

侵害社会秩序的事项包括以下方面:

——影响国家机关社会管理和公共服务的工作秩序;

——影响各种类型的经济活动秩序;

——影响各行业的科研、生产秩序;

——影响公众在法律约束和道德规范下的正常生活秩序等;

——其他影响社会秩序的事项。

侵害公共利益的事项包括以下方面:

——影响社会成员使用公共设施;

——影响社会成员获取公开信息资源;

——影响社会成员接受公共服务等方面;

——其他影响公共利益的事项。

侵害公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益等受到损害。

此次意见稿对侵害国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的具体内容进行了一定明确和认定。方便大家更准确合理地进行系统定级。

3、对不同损害程度做了一定的定性

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

a)    造成一般损害;

b)    造成严重损害;

c)    造成特别严重损害。

三种侵害程度的描述如下:

——一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;

——严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;

——特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。

什么是一般损害、严重损害和特别严重损害,意见稿中给出了更明确的说明。

4、对公民、法人和其他组织的合法权益造成特别严重损害定为三级

定级要素与安全保护等级的关系如表1所示。

熟悉原来定级标准的同仁们应该知道,以前公民、法人和其他组织的合法权益造成特别严重损害,系统定级为二级,此次意见稿该为三级,表明了对公民、法人和其他组织的合法权益的重视。

5、定级流程更加规范

等级保护对象定级工作的一般流程如下:

确定定级对象-->初步确定等级-->专家评审-->主管部门审核-->公安机关备案审查

其中“专家评审”

定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,出具专家评审意见。

“主管部门审核”

定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。

此次意见稿中将定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确,有意将系统等级定的低的情况将会越来越少,专家们和主管部门都要签字的,不得不等认为专家们签字的时候一定会慎重的,定级不合理的一定会提出修改意见的。所以将来的定级过程将变得更加复杂。以前定级叫“自主定级”,将来的定级不得不等称之为“规范定级”。规范定级带来的最大变化就是定级更加合理,更加准确。一个比较重要的省级行业用户连一个三级系统都没有,不得不等看过不止一次。这种情况未来一定会越来越少,直至没有。合理定级是开展等级保护工作最重要的一步。

等级保护测评公众号