原创丨何威风

出品丨北京一等一技术咨询有限公司

在《信息安全等级保护管理办法》(以下简称“管理办法”)中,第三章等级保护的实施与管理的第九条要求信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。当然,如今《网络安全等级保护实施指南》已经代替《信息系统安全等级保护实施指南》,但《管理办法》这条要求可以理解成并未改变,只是需要与时俱进,参考新版标准。那么进入《网络安全等级保护实施指南》,我们看到安全等级保护工作实施的基本流程图,第一部分就是等级保护定级与备案,然后依次是总体安全规划、安全设计与实施、安全运行与维护、定级对象终止,这么一个生命周期。

我们回到定级与备案环节谈定级工作开展流程,从流程图在定级与备案环节,等级保护对象理论上处于一个“不存在”的状态,此时就需要开展定级与备案工作,那么定级工作是不是无稽之谈呢?又需要哪些步骤,哪些材料,有何依据呢?

依据《管理办法》《网络安全等级保护实施指南》(以下简称“实施指南”)、《网络安全等级保护定级指南》(以下简称“定级指南”),如何依据政策和标准文件开展定级工作?实施指南中等级保护对象定级与备案给出了一个阶段性的工作流程图,如下:

在行业/领域定级工作环节,活动目标是行业/领域主管部门在必要时组织梳理行业/领域的主要社会功能/职能及作用,分析履行主要社会功能/职能所依赖的主要业务及服务范围,最后依据分析和整理的内容形成行业/领域的业务总体描述性文档。其参与角色包括主管部门、网络安全服务机构、输入文档则是行业介绍文档、《定级指南》,通过开展识别、分析行业/领域重要性、主要业务、定级指导、定级工作部署等工作,最终输出行业/领域的业务描述文件,行业/领域定级指导意见,行业/领域定级工作部署文件等。

如最近中国新闻技术工作者联合会发布的《报业网络安全等级保护定级参考指南》,就是属于这类文件。但是,这里对于运营、使用单位,直接引用相关指导文件即可,只需要考虑行业指导文件的有无,进而参考开展工作,因为有些行业/领域并未开展这个阶段工作,制定出指导性文件。

然后,在进入等级保护对象分析阶段,其一则是对象重要性分析,在此过程中活动目标则是通过收集了有关等级保护对象的信息,并对信息进行综合分析和整理。分析单位的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的等级保护对象。整理等级保护对象处理的业务及服务范围,最后依据分析和整理的内容,参照有行业/领域定级指导意见,形成单位内等级保护对象的总体描述性文档。

这个时候我们参与角色有运营、使用单位,网络安全服务机构。而输入的文档则是单位情况说明文档、等级保护对象的立项、建设和管理文档,行业/领域定级指导意见等。通过识别单位的基本信息、等级保护对象基本信息、管理框架、网络及设备部署、业务特性、处理的信息资产、用户范围和用户类型、等级保护对象描述等,输出包含等级保护对象概述、等级保护对象重要性分析、等级保护对象边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理的信息资产、用户的范围和用户类型、等级保护对象的管理框架等内容的等级保护对象总体描述文件。

到此,你看到的等级保护对象还处于“纸上谈兵”阶段,带着这个问题我们进入定级对象确定环节。

定级对象确定环节的目标是依据单位的等级保护对象总体描述文件(有行业/领域定级指导意见的还应依据行业/领域定级指导意见),在综合分析的基础上将单位内运行的等级保护对象进行合理分解,确定所包含的定级对象及其个数。在这个环节中,参与角色包括运营、使用单位,网络安全服务机构。而输入的文档则是行业/领域定级指导意见,行业/领域定级工作部署文件,上个环节形成的等级保护对象总体描述文件,《定级指南》。通过等级划分方法的选择、等级保护对象划分、定级对象详细描述,输出相对独立的定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型等内容的定级对象详细描述文件。

带着以上文件,然后进入安全保护等级确定环节,这个环节分为定级、审核和批准以及形成定级报告两部分。这个环节,基本上进入了《定级指南》所囊括的细节中。

定级对象确定环节的目标是按照国家有关管理规范和定级标准,确定定级对象的安全保护等级,并对定级结果进行评审、审核和审查,保证定级结果的准确性。在这个阶段参与角色包括主管部门,运营、使用单位,网络安全服务机构等,输入文件则包含上面产生的行业/领域定级指导意见、等级保护对象总体描述文件、定级对象详细描述文件。依据这些文件,进入定级对象安全保护等级初步确定,这时主要根据国家有关管理规范、行业/领域定级指导意见(若有则作为依据)以及定级方法,运营、使用单位对每个定级对象确定初步的安全保护等级。然后,进入定级结果评审阶段,运营、使用单位初步确定了安全保护等级后,根据《定级指南》规定,组织网络安全专家和业务专家对初步定级结果的合理性进行评审.并出具专家评审意见。专家评审结束后,则进入定级审核批准环节,运营、使用单位初步确定了安全保护等级后,有明确主管部门的,应将初步定级结果上报行业/领域主管部门或上级主管部门进行审核、批准。行业/领域主管部门或上级主管部门应对初步定级结果的合理性进行审核,出具审核意见,到此才能产出定级结果。这部分工作,还是以《定级指南》作为依据,不过直到此时作为等级保护对象,我们其实还未看到《等级保护备案表》、定级报告以及实际的网络设备、安全设备等等,还是纸上谈兵,未落到实处。然而,接下来,就进入形成定级报告环节,从这里可以看到定级报告时间理应晚于专家评审意见出具时间,在专家评审意见和定级报告形成之间,还有主管部门的审核,必然要耗费一点点时间的。

定级对象确定环节目标是通过对定级过程中产生的文档进行整理,最终形成包含单位信息化现状概述、管理模式、定级对象列表、每个定级对象的概述、边界、设备部署、支撑的业务应用、定级对象列表、安全保护等级以及保护要求组合等内容的等级保护对象定级结果报告。到此,定级工作才算真正结束,定级工作结束后就需要根据《管理办法》要求,到属地公安机关网安部门进行备案。

回顾定级工作大致时间线:

行业/领域主管部门出具行业指导意见——依据的是行业介绍文档、《定级指南》;

等级保护对象分析——依据的是单位情况说明文档、等级保护对象的立项、建设和管理文档,行业/领域定级指导意见等;

定级对象确定——依据的是行业/领域定级指导意见,行业/领域定级工作部署文件,等级保护对象总体描述文件,《定级指南》等;

定级、审核和批准——依据的是行业/领域定级指导意见、等级保护对象总体描述文件、定级对象详细描述文件;

形成定级报告——依据的是定级对象详细描述文件、专家评审意见、定级结果。

以上定级工作流程,是一个理想化的定级工作开展参考,在各地开展定级工作中,自然会出现大同小异的地方,但不影响等级保护工作的整体推进。定级工作是落实等级保护制度的开始,而好的开始恰恰正是成功的一半!

参考文献:

《信息安全等级保护管理办法》

《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019

《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020

声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。