日期:2019-11-19 點擊: 關鍵詞:網絡安全,等級保護
網絡安全等級保護條例于18年6月27日發布,為廣大用戶實行等級保護制度提供了依據。現在是信息的時代,網絡的重要性不言而喻,等級保護的實施有助于企業提升自身安全性能,增強信息保護。網絡安全等級保護條例適用于哪些范圍呢?下面就來一起看看吧。
(網絡安全)
對于適用范圍,《等保條例》概括性地規定為適用于網絡運營者在我國境內建設、運營、維護、使用網絡,開展網絡安全等級保護以及監督管理工作,而個人及家庭自建自用的網絡除外,內容較為簡略。2018年1月19日,全國信息安全標準化技術委員會發布了《信息安全技術網絡安全等級保護定級指南2.0(征求意見稿)》(以下稱“《定級指南2.0》”),為等保的具體適用提供了指引。
等保1.0體系中,《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱“《定級指南1.0》”)確定信息系統的安全保護等級。因此,《定級指南2.0》的出臺很大程度上得益于《定級指南1.0》的已有規定。
相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統,《定級指南2.0》細化了網絡安全等級保護制度定級對象的具體范圍,主要包括基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平臺。另外,作為定級對象的網絡還應當滿足三個基本特征:第一,具有確定的主要安全責任主體;第二,承載相對獨立的業務應用;第三,包含相互關聯的多個資源
根據《定級指南2.0》,定級對象在滿足上述基本特征后仍需遵循相關要求。對于電信網、廣播電視傳輸網、互聯網等基礎信息網絡,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。對于工業控制系統,應將現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對于云計算平臺,則應區分為服務提供方與租戶方,各自分別作為定級對象。對于物聯網,雖然其包括感知、網絡傳輸和處理應用等多種特征因素,但仍應將以上要素作為一個整體的定級對象,各要素并不單獨定級。采用移動互聯技術的網絡與物聯網類似,應將移動終端、移動應用、無線網絡等要素與相關有線網絡業務系統作為整體對象定級。對于大數據,除安全責任主體相同的平臺和應用可以整體定級外,應單獨定級。
企業通訊
