GB/T 22240-2020 信息安全技術 網絡安全等級保護定級指南5.1 信息系統
5.1.1 定級對象的基本特征
作為定級對象的信息系統應具有如下基本特征:
a)具有確定的主要安全責任主體;
b)承載相對獨立的業務應用;
c)包含相互關聯的多個資源。
注1:主要安全責任主體包括但不限于企業、機關和事業單位等法人,以及不具備法人資格的社會團體等其他組織。
注2:避免將某個單一的系統組件,如服務器、終端或網絡設備作為定級對象。
在確定定級對象時,云計算平臺/系統、物聯網、工業控制系統以及采用移動互聯技術的系統在滿足以上基本特征的基礎上,還需分別遵循5.1.2、5.1.3、5.1.4、5.1.5的相關要求。
5.1.2 云計算平臺/系統
在云計算環境中,云服務客戶側的等級保護對象和云服務商側的云計算平臺/系統需分別作為單獨的定級對象定級,并根據不同服務模式將云計算平臺/系統劃分為不同的定級對象。
對于大型云計算平臺,宜將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象。
5.1.3 物聯網
物聯網主要包括感知、網絡傳輸和處理應用等特征要素,需將以上要素作為一個整體對象定級,各要素不單獨定級。
5.1.4 工業控制系統
工業控制系統主要包括現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中,現場采集/執行、現場控制和過程控制等要素需作為一個整體對象定級,各要素不單獨定級;生產管理要素宜單獨定級。
對于大型工業控制系統,可根據系統功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。
5.1.5 采用移動互聯技術的系統
采用移動互聯技術的系統主要包括移動終端、移動應用和無線網絡等特征要素,可作為一個整體獨立定級或與相關聯業務系統一起定級,各要素不單獨定級。
推薦文章: