对于即将出台的等保系列标准,听听主笔人怎么说
编者按
《中华人民共和国网络安全法》第21条明确规定了“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
为了进一步构建完善等级保护技术标准体系,自2014年4月起,公安部网络安全保卫局组织包括公安部一所、三所、浙江大学、阿里、鼎普科技等多家单位在内的检测机构、科研院所、安全厂商、互联网企业,对云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用安全问题进行了深入、广泛的调研,对2008年发布的《信息安全技术 信息安全等级保护基本要求》(GB/T 22239)进行修订,并在此基础上,根据各领域的技术特点研究起草了网络安全等级保护系列标准。同时,为进一步规范、指导新技术条件下等级保护定级工作的开展,对2008年发布的《信息安全技术 信息安全等级保护定级指南规范》(GB/T 22240)进行修订,增加了云计算平台、大数据、物联网、工业控制系统环境下信息系统定级对象、定级方法的描述,形成了《信息安全等级保护定级指南》。
为确保等级保护系列标准草案的科学性、合规性,公安部网络安全保卫局组织专家、学者及有关技术单位、一线实战部门召开了多次标准专题研讨会和专家评审会,对标准草案进行研究、讨论、评审、把关,该批标准将于近日颁布出台并作为等保合规性技术文件全面使用。
从今天开始,我们将邀请上述技术标准的第一起草者,与我们共同分享他们在编制过程中所思所想,希望能给大家今后的工作带来帮助。
等级保护技术标准解读(一)
——为什么要修订《网络安全等级保护定级指南》?
——————————————————
作为国家等级保护标准体系的核心标准之一,GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》(简称08版标准)规定了信息系统安全等级保护的定级原理与方法,用以规范和指导信息系统的运营、使用单位的定级活动,通过合理地划分定级对象和准确的确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定了良好的基础,有力推动了等级保护工作的开展。
近年来,随着信息技术的高速发展和网络安全监管需求的不断提升,以传统信息系统为关注对象的《定级指南》也在实际工作中遇到一些问题,反映出一定的局限性,不能满足新形势下等级保护定级工作的需要。
/主要体现在/
安全的内涵由早期面向数据的信息安全,过渡到面向信息系统的信息保障(信息系统安全),并进一步演进为面向网络空间的网络安全。《网络安全法》在总则的第一条中明确指出,本法的立法宗旨是“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益”。安全内涵的演进必然带来等级保护对象和工作内容的变化。
随着互联网融入社会生活的方方面面,信息技术产品和系统的重要性不断提高,其作用和地位已经由最初的辅助、支撑,逐步成为不可或缺的信息基础设施。习近平总书记在中央网信领导小组第一次会议上的讲话中指出:“当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会和军事等领域发展产生了深刻影响。”信息技术产品和系统在国家安全和社会生活中重要性和地位的提升,对安全保护等级的定义也带来了显著影响。
云计算、物联网、大数据和移动互联网等新技术新应用在给社会和公众带来巨大便利的同时,也对等级保护工作,特别是定级工作提出了新的挑战。例如,云计算服务带来了“云主机”等虚拟计算资源,也将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任,导致云环境下的定级工作更加复杂和困难。
《定级指南》在实际工作中发现个别内容描述不够全面和严谨,如定级流程仅描述了系统划分和单位自定级等活动,需要进一步加以完善和明确。
为更好地指导备案单位科学、合理地开展定级工作,公安部信息安全等级保护评估中心在部网络安全保卫局指导下,牵头启动了对GB/T 22240-2008的修订工作,主要包括修订了标准名称,扩充了等级保护对象,订正了安全保护等级的定义,并完善了定级流程和定级方法,以满足新形势下等级保护定级工作对标准的需求。
作者 公安部信息安全等级保护评估中心 李明 曲洁