2020年新版《定級指南》有哪些改變？時代新威·等級保護小組POWERTIME引言2020年11月1日，GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》正式實施，也就是等保2.0的定級指南正式實施了。那么2.0的定級指南正式實施后，我們在開展相關工作中需要注意哪些點呢？今天就給大家做一個梳理，供大家參考。01等級保護對象范圍擴大等級保護對象范圍等保保護定級對象主要包括：信息系統(tǒng)、通信網絡設施和數(shù)據(jù)資源等；信息系統(tǒng)就是我們在1.0時候的定級對象，指的是各類信息系統(tǒng)；通信網絡設施指的是為信息流通、網絡運行等起基礎支撐作用的網絡設備設施，主要包括電信網、廣播電視傳輸網和行業(yè)或單位的專用通信網等，所以大家得注意了自己單位的專網得定級，特別是承載了重要信息系統(tǒng)或者專網規(guī)模較大的網絡；數(shù)據(jù)資源指的是具有或預期具有價值的數(shù)據(jù)集合，數(shù)據(jù)資源主要是擁有大量各類有價值的數(shù)據(jù)，那么這些單位需要保護好這些數(shù)據(jù)資源，自然需要對該數(shù)據(jù)資源進行定級，我們可以想象的這類數(shù)據(jù)有：人社數(shù)據(jù)、醫(yī)保數(shù)據(jù)、公積金數(shù)據(jù)、個人財產數(shù)據(jù)（銀行、房產、保險等）等信息；等級保護對象范圍這里注意：當安全責任主體相同時，大數(shù)據(jù)、大數(shù)據(jù)平臺/系統(tǒng)宜作為一個整體對象定級；當安全責任主體不同時，大數(shù)據(jù)應獨立定級；涉及到大量公民個人信息以及為公民提供公共服務的大數(shù)據(jù)平臺/系統(tǒng)，原則上其安全保護等級不低于三級；不是所有的這類數(shù)據(jù)都需要獨立去定級，日常中主要存在數(shù)據(jù)進行集中化后的場景，例如一些地方的大數(shù)據(jù)局或者政務中心將各行業(yè)的一些數(shù)據(jù)要過來后進行相關應用或使用時應當對這些數(shù)據(jù)進行獨立定級。等級保護對象范圍公民、法人和其他組織最高依然為二級，當公民、法人和其他組織的合法權益造成特別嚴重損害時依然定為二級。根據(jù)2.0的定級指南中定級要數(shù)與安全保護等級的關系表我們發(fā)現(xiàn)當公民、法人和其他組織的合法權益造成特別嚴重損害時依然為二級，這塊在征求意見稿中是第三級，前段時間在一個培訓會議上依然看到有主管部門將這里寫為第三級，需要大家注意并修正。等級保護對象范圍02等保定級需要進行專家評審等保定級需要進行專家評審等保定級需要進行專家評審從圖中可以看到，定級需要進行專家評審，那么至此等保定級再也不是1.0的自主定級了，而是需要規(guī)范進行定級。對于初步確定為第一級的等級保護對象，可不進行專家家評審、主管部門核準和備案審核，所以一級系統(tǒng)不需要去公安網安部門進行備案，但是這里需要提醒的是哪些是一級系統(tǒng)，通俗點說就是這個系統(tǒng)哪怕是壞了對別人的影響都非常小的系統(tǒng)才是一級系統(tǒng)。定一級前，你們對照自己的系統(tǒng)看看是不是這樣的，但凡不是這樣的，那么你的系統(tǒng)肯定是二級起步了。那么安全保護等級初步確定為第二級及以上的等級保護對象，就需要組織專家評審、主管部門核準和備案審核，最終確定其安全等級。專家評審如何開展？專家評審如何開展是等保2.0定級一個繞不開的問題。哪些是專家？誰來認定這些專家？這個在定級指南里沒有說明，也不好說明，那么大家在實際開展工作中也是各不相同，比如北京要求有測評師參與評審，有些地方自己組織認定了一批評審專家，有些地方套用政府采購評審專家，有些地方也沒有明確專家大家自由選擇。這些認為都沒有錯，適合自己的就行，但是覺得既然是等保定級的評審專家，那么他們應當要對等保定級這項工作了解才能更好地幫助網絡運營者進行準確定級。那么哪些人對等保定級工作了解呢？專家評審如何開展？第一、公安網安主管部門工作人員，一般情況下為了避嫌，是異地網安人員參與評審；第二，測評機構持證工作人員，他們長年在一線進行等保工作，他們接觸了很多系統(tǒng)，對標準對系統(tǒng)情況比較熟悉，他們適合當?shù)缺６墝＜?，這里建議測評機構的評審專家資質應為：中、高級測評師，他們的工作經驗相對初級測評師來說較為豐富；第三，相關網絡安全專家，這里就比較廣泛，比如各個單位信息中心或者網絡安全的負責人，行業(yè)主管部門負責網絡安全的人員，高校負責網絡安全、計算機等教學人員，這些專家也都行，他們長年從事信息化特別是網絡安全工作，經驗也較為豐富，如果自身負責過或指導過本單位等保工作開展的那就更好。專家評審如何開展？如果每次專家評審至少有這三類人參與的話，認為這個定級一定相對更加規(guī)范合理，因為這些人你想忽悠還真不容易，所以也建議各地還沒有對專家范圍進行認定的可以讓各家單位按照這個要求來找專家，總結下就是：定級評審專家至少3人，人員中包括：異地網安人員、測評機構中高級測評師及其他網絡安專家。專家找好了，評審就順其自然的開展下去了，網絡運營者肯定要對自己的信息系統(tǒng)進行介紹，各位專家對定級資料進行評審，提出相關疑問，網絡運營者解答，最終專家對該系統(tǒng)的定級情況做一個認定，出具專家評審意見并進行簽字，這樣專家評審環(huán)節(jié)就完成了。03受侵害的客體表現(xiàn)形式受侵害的客體表現(xiàn)形式受侵害的客體表現(xiàn)形式業(yè)務信息安全和系統(tǒng)服務安全受到破壞后，產生的侵害后果有以下表現(xiàn)形式：

很多人對受侵害的客體及受到破壞后造成的影響認識不清，比較模糊，比較抽象，根據(jù)以上描述，讓大家對此有一個相對比較具體的認知。

04等級變更時需重新進行定級等級變更時需重新進行定級當?shù)燃壉Ｗo對象所處理的業(yè)務信息和系統(tǒng)服務范圍發(fā)生變化，可能導致業(yè)務信息安全和系統(tǒng)服務安全受到破壞后的受侵害客體和對客體的侵害程度發(fā)生變化時，需根據(jù)本標準重新確定定級對象和安全保護等級。也就是等級需要變更時需要按照定級指南重新開展定級，該請專家評審的請專家評審，該請行業(yè)主管部門審核的請行業(yè)主管部門審核，再也不能隨意進行等級的變更了。等保2.0定級指南正式開始實施，各地公安網安部門可以根據(jù)本地實際情況規(guī)范開展等保定級工作，引導各網絡運營者規(guī)范開展網絡安全等級保護工作，等保工作離不開你們的監(jiān)管。怎樣合理規(guī)范，怎樣有利于開展工作就