解读GBT 22240-2020 《信息安全技术 网络安全等级保护定级指南》
💡
原文中文,约3000字,阅读约需8分钟。
📝
内容提要
为配合《网络安全法》,修订了GB/T 22240-2008标准,发布了新的定级指南GB/T 22240-2020,明确了网络安全保护的五个等级及定级流程,涵盖受侵害对象及其侵害程度。
🎯
关键要点
- 为配合《网络安全法》,修订了GB/T 22240-2008标准,发布了GB/T 22240-2020新定级指南。
- 网络安全保护等级分为五个级别:第一级至第五级,依次为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。
- 定级要素包括受侵害的客体(公民、法人、社会秩序、公共利益、国家安全)和对客体的侵害程度(一般损害、严重损害、特别严重损害)。
- 定级流程包括确定定级对象、初步确定等级、专家评审、主管部门核准和备案审核五个步骤。
- 定级对象需具备主要安全责任主体、承载独立业务应用和包含多个资源的特征。
- 云计算、物联网、工业控制系统等需根据特定要求进行定级,不能将单一组件作为定级对象。
- 安全保护等级的初步确定需考虑业务信息安全和系统服务安全,最终等级由两者中较高者决定。
- 等级变更需在业务信息和系统服务范围变化时重新确定定级对象和安全保护等级。
➡️
