等級保護定級什么時候實施

2020年11月1日，GB/T 22240-2020《信息安全技術 網絡安全等級保護定級指南》已正式實施。

1.等級保護對象范圍擴大了

等保2.0保護定級對象主要包括：信息系統、通信網絡設施和數據資源等。

信息系統即等保1.0時的定級對象，指的是各類信息系統；

通信網絡設施指的是為信息流通、網絡運行等起基礎支撐作用的網絡設備設施，主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等（這里需要注意——單位的專網，特別是承載了重要信息系統或者專網規模較大的網絡得定級）；

數據資源指的是具有或預期具有價值的數據集合，擁有大量各類有價值的數據的單位為做好保護工作需要對數據資源定級（這類數據包括人社數據、醫保數據、公積金數據、個人財產數據（銀行、房產、保險等）等信息）。

另外，當安全責任主體相同時，大數據、大數據平臺/系統宜作為一個整體對象定級；

當安全責任主體不同時，大數據應獨立定級；

涉及到大量公民個人信息以及為公民提供公共服務的大數據平臺/系統，原則上其安全保護等級不低于三級；

日常中主要存在數據進行集中化后的場景，例如一些地方的大數據局或者政務中心將各行業的一些數據集中進行相關應用或使用時應當對這些數據進行獨立定級。

2.公民、法人和其他組織最高依然為二級

當公民、法人和其他組織的合法權益造成特別嚴重損害時依然定為二級。

雖然在征求意見稿中，當公民、法人和其他組織的合法權益造成特別嚴重損害時定為第三級，但根據2.0的定級指南中定級要數與安全保護等級的關系表可以發現它依然為二級。

3.等保2.0的定級指南中定級工作一般流程如下圖：

從圖中可以看到，與等保1.0的自主定級不同，2.0定級需要進行專家評審。安全保護等級初步確定為第二級及以上的等級保護對象，需要組織專家評審、主管部門核準和備案審核，最終確定其安全等級。

對于有主管部門的就去主管部門進行核準，沒有主管部門的可以忽略，這里的主管部門需要明確的是上級行業主管部門而非地方上管理部門。

專家評審如何開展？

在進行專家評審時，定級評審專家至少3人，人員中包括：異地網安人員、測評機構中高級測評師及其他網絡安專家。評審時，網絡運營者對自己的信息系統進行介紹，各位專家對定級資料進行評審，提出相關疑問，網絡運營者解答，最終專家對該系統的定級情況做一個認定，出具專家評審意見并進行簽字，這樣專家評審環節就完成了。

4.關于云平臺定級需要了解的

對于大型云計算平臺，宜將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象。對于大型云計算平臺（比如阿里云、騰訊云、京東云以及一些IDC云計算平臺）基礎設施可單獨定一個網絡系統，有關輔助服務系統另外再定一個系統。

對于云租戶來說，其相應的信息系統也需要開展等保工作，認為系統上云了，安全責任就不歸自己的想法是錯誤的。對于通信網絡設施、云計算平臺/系統等定級對象，原則上等級不低于其承擔的等級保護對象的安全保護等級。不能存在云計算平臺是二級，平臺上的系統是三級情況。

5.受侵害的客體表現形式有哪些

業務信息安全和系統服務安全受到破壞后，產生的侵害后果有以下表現形式：

6.等級變更時需重新進行定級

當等級保護對象所處理的業務信息和系統服務范圍發生變化，可能導致業務信息安全和系統服務安全受到破壞后的受侵害客體和對客體的侵害程度發生變化時，需根據本標準重新確定定級對象和安全保護等級。也就是說等級變更時需要按照定級指南重新開展定級。

等保2.0定級指南正式開始實施，各網絡運營者規范開展網絡安全等級保護工作也就有據可依了。

回答所涉及的環境：聯想天逸510S、Windows 10。