网络运营者依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,确定等级保护对象,明确定级对象,梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。
具体的定级流程如下:
在定级指南中明确作为定级对象的等级保护对象需具有以下基本特征:
● 具有确定的主要安全责任主体;
● 承载相对独立的业务应用;
● 包含相互关联的多个资源。
对于不同的等级保护对象,在确定为定级对象时,应注意下列几点:
a. 针对等级保护对象为通信网络设施时,在确定定级对象时,应明确:
● 对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
● 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
b. 针对等级保护对象为数据资源时,在确定定级对象时,应明确:
● 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;
● 当安全责任主体不同时,大数据应独立定级。
c. 针对“云大物移”新应用新技术的等级保护对象,在确定定级对象时,应注意:
在确定定级对象后,在等级确定方面由责任主体根据业务实际运行状况,自主定级。具体的定级方法如下:
根据下列矩阵表分别确定等级保护对象业务信息等级和系统服务等级:
在分别确定业务信息安全的安全等级和系统服务的安全等级后,由二者中较高级别确定等级保护对象的安全级别,如:
● 业务信息安全:第二级,系统服务:第三级,最终等级保护级别为:第三级;
● 业务信息安全:第四级,系统服务:第三级,最终等级保护级别为:第四级;
● 业务信息安全:第三级,系统服务:第三级,最终等级保护级别为:第三级。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号