等保2.0定級(jí)指南正式實(shí)施，定級(jí)需要專(zhuān)家評(píng)審

等保保護(hù)定級(jí)對(duì)象主要包括：信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等；信息系統(tǒng)就是我們?cè)?.0時(shí)候的定級(jí)對(duì)象，指的是各類(lèi)信息系統(tǒng)；通信網(wǎng)絡(luò)設(shè)施指的是為信息流通、網(wǎng)絡(luò)運(yùn)行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施，主要包括電信網(wǎng)、廣播電視傳輸網(wǎng)和行業(yè)或單位的專(zhuān)用通信網(wǎng)等，所以大家得注意了自己?jiǎn)挝坏膶?zhuān)網(wǎng)得定級(jí)，特別是承載了重要信息系統(tǒng)或者專(zhuān)網(wǎng)規(guī)模較大的網(wǎng)絡(luò)；數(shù)據(jù)資源指的是具有或預(yù)期具有價(jià)值的數(shù)據(jù)集合，數(shù)據(jù)資源主要是擁有大量各類(lèi)有價(jià)值的數(shù)據(jù)，那么這些單位需要保護(hù)好這些數(shù)據(jù)資源，自然需要對(duì)該數(shù)據(jù)資源進(jìn)行定級(jí)，我們可以想象的這類(lèi)數(shù)據(jù)有：人社數(shù)據(jù)、醫(yī)保數(shù)據(jù)、公積金數(shù)據(jù)、個(gè)人財(cái)產(chǎn)數(shù)據(jù)（銀行、房產(chǎn)、保險(xiǎn)等）等信息；這里注意一點(diǎn)：當(dāng)安全責(zé)任主體相同時(shí)，大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)/系統(tǒng)宜作為一個(gè)整體對(duì)象定級(jí)；當(dāng)安全責(zé)任主體不同時(shí)，大數(shù)據(jù)應(yīng)獨(dú)立定級(jí)；涉及到大量公民個(gè)人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺(tái)/系統(tǒng)，原則上其安全保護(hù)等級(jí)不低于三級(jí)；不是所有的這類(lèi)數(shù)據(jù)都需要獨(dú)立去定級(jí)，日常中主要存在數(shù)據(jù)進(jìn)行集中化后的場(chǎng)景，例如一些地方的大數(shù)據(jù)局或者政務(wù)中心將各行業(yè)的一些數(shù)據(jù)要過(guò)來(lái)后進(jìn)行相關(guān)應(yīng)用或使用時(shí)應(yīng)當(dāng)對(duì)這些數(shù)據(jù)進(jìn)行獨(dú)立定級(jí)。

當(dāng)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害時(shí)依然定為二級(jí)。

根據(jù)2.0的定級(jí)指南中定級(jí)要數(shù)與安全保護(hù)等級(jí)的關(guān)系表我們發(fā)現(xiàn)當(dāng)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害時(shí)依然為二級(jí)，這塊在征求意見(jiàn)稿中是第三級(jí)。

等保2.0的定級(jí)指南中定級(jí)工作一般流程如下圖：

從圖中可以看到，定級(jí)需要進(jìn)行專(zhuān)家評(píng)審，那么至此等保定級(jí)再也不是1.0的自主定級(jí)了，而是需要規(guī)范進(jìn)行定級(jí)。對(duì)于初步確定為第一級(jí)的等級(jí)保護(hù)對(duì)象，可不進(jìn)行專(zhuān)家家評(píng)審、主管部門(mén)核準(zhǔn)和備案審核，所以一級(jí)系統(tǒng)不需要去公安網(wǎng)安部門(mén)進(jìn)行備案，但是這里一哥需要提醒的是哪些是一級(jí)系統(tǒng)，通俗點(diǎn)說(shuō)就是這個(gè)系統(tǒng)哪怕是壞了對(duì)別人的影響都非常小的系統(tǒng)才是一級(jí)系統(tǒng)。定一級(jí)前，你們對(duì)照自己的系統(tǒng)看看是不是這樣的，但凡不是這樣的，那么你的系統(tǒng)肯定是二級(jí)起步了。那么安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的等級(jí)保護(hù)對(duì)象，就需要組織專(zhuān)家評(píng)審、主管部門(mén)核準(zhǔn)和備案審核，最終確定其安全等級(jí)。對(duì)于有主管部門(mén)的就去主管部門(mén)進(jìn)行核準(zhǔn)，沒(méi)有主管部門(mén)的可以忽略，這里的主管部門(mén)需要明確的是上級(jí)行業(yè)主管部門(mén)而非地方上管理部門(mén)。主管部門(mén)核準(zhǔn)在實(shí)踐中一哥建議大家根據(jù)實(shí)際情況靈活開(kāi)展。為什么這樣說(shuō)，因?yàn)橛械臅r(shí)候備案單位上級(jí)主管部門(mén)不清不楚或者你以為的主管部門(mén)他們不認(rèn)為是你們的主管部門(mén)，實(shí)際工作中普遍存在：理論上的行業(yè)上級(jí)主管部門(mén)不是非常垂直的上下級(jí)管理關(guān)系，對(duì)下級(jí)單位即不管錢(qián)也不管人，平時(shí)工作上聯(lián)系也不夠緊密，如果這時(shí)還非要求上級(jí)行業(yè)主管部門(mén)進(jìn)行審批，可能這個(gè)事就走不下去。

專(zhuān)家評(píng)審如何開(kāi)展是等保2.0定級(jí)一個(gè)繞不開(kāi)的問(wèn)題。哪些是專(zhuān)家？誰(shuí)來(lái)認(rèn)定這些專(zhuān)家？這個(gè)在定級(jí)指南里沒(méi)有說(shuō)明，也不好說(shuō)明，那么大家在實(shí)際開(kāi)展工作中也是各不相同，比如北京要求有測(cè)評(píng)師參與評(píng)審，有些地方自己組織認(rèn)定了一批評(píng)審專(zhuān)家，有些地方套用政府采購(gòu)評(píng)審專(zhuān)家，有些地方也沒(méi)有明確專(zhuān)家大家自由選擇。這些一哥認(rèn)為都沒(méi)有錯(cuò)，適合自己的就行，但是一哥覺(jué)得既然是等保定級(jí)的評(píng)審專(zhuān)家，那么他們應(yīng)當(dāng)要對(duì)等保定級(jí)這項(xiàng)工作了解才能更好地幫助網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行準(zhǔn)確定級(jí)。那么哪些人對(duì)等保定級(jí)工作了解呢？第一、公安網(wǎng)安主管部門(mén)工作人員，他們從事這項(xiàng)工作，每年對(duì)大量新系統(tǒng)進(jìn)行了定級(jí)審核，他們自然對(duì)等保定級(jí)工作了解，他們可以當(dāng)專(zhuān)家，有些人會(huì)認(rèn)為不能自己既當(dāng)專(zhuān)家又進(jìn)行最終審核，這有點(diǎn)不合適。這確實(shí)不合適，但是一哥沒(méi)說(shuō)自己管理的區(qū)域自己當(dāng)評(píng)審專(zhuān)家啊，你可以去其他地市進(jìn)行專(zhuān)家評(píng)審??；第二，測(cè)評(píng)機(jī)構(gòu)持證工作人員，他們長(zhǎng)年在一線進(jìn)行等保工作，他們接觸了很多系統(tǒng)，對(duì)標(biāo)準(zhǔn)對(duì)系統(tǒng)情況比較熟悉，他們適合當(dāng)?shù)缺６?jí)專(zhuān)家，這里一哥建議測(cè)評(píng)機(jī)構(gòu)的評(píng)審專(zhuān)家資質(zhì)應(yīng)為：中、高級(jí)測(cè)評(píng)師，他們的工作經(jīng)驗(yàn)相對(duì)初級(jí)測(cè)評(píng)師來(lái)說(shuō)較為豐富；第三，相關(guān)網(wǎng)絡(luò)安全專(zhuān)家，這里就比較廣泛，比如各個(gè)單位信息中心或者網(wǎng)絡(luò)安全的負(fù)責(zé)人，行業(yè)主管部門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全的人員，高校負(fù)責(zé)網(wǎng)絡(luò)安全、計(jì)算機(jī)等教學(xué)人員，這些專(zhuān)家也都行，他們長(zhǎng)年從事信息化特別是網(wǎng)絡(luò)安全工作，經(jīng)驗(yàn)也較為豐富，如果自身負(fù)責(zé)過(guò)或指導(dǎo)過(guò)本單位等保工作開(kāi)展的那就更好。如果每次專(zhuān)家評(píng)審至少有這三類(lèi)人參與的話，一哥認(rèn)為這個(gè)定級(jí)一定相對(duì)更加規(guī)范合理，因?yàn)檫@些人你想忽悠還真不容易，所以一哥也建議各地還沒(méi)有對(duì)專(zhuān)家范圍進(jìn)行認(rèn)定的可以讓各家單位按照這個(gè)要求來(lái)找專(zhuān)家，總結(jié)下就是：定級(jí)評(píng)審專(zhuān)家至少3人，人員中包括：異地網(wǎng)安人員、測(cè)評(píng)機(jī)構(gòu)中高級(jí)測(cè)評(píng)師及其他網(wǎng)絡(luò)安專(zhuān)家。專(zhuān)家找好了，評(píng)審就順其自然的開(kāi)展下去了，網(wǎng)絡(luò)運(yùn)營(yíng)者肯定要對(duì)自己的信息系統(tǒng)進(jìn)行介紹，各位專(zhuān)家對(duì)定級(jí)資料進(jìn)行評(píng)審，提出相關(guān)疑問(wèn)，網(wǎng)絡(luò)運(yùn)營(yíng)者解答，最終專(zhuān)家對(duì)該系統(tǒng)的定級(jí)情況做一個(gè)認(rèn)定，出具專(zhuān)家評(píng)審意見(jiàn)并進(jìn)行簽字，這樣專(zhuān)家評(píng)審環(huán)節(jié)就完成了。

對(duì)于大型云計(jì)算平臺(tái)，宜將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。對(duì)于大型云計(jì)算平臺(tái)（比如阿里云、騰訊云、京東云以及一些IDC云計(jì)算平臺(tái)）基礎(chǔ)設(shè)施可單獨(dú)定一個(gè)網(wǎng)絡(luò)系統(tǒng)，有關(guān)輔助服務(wù)系統(tǒng)另外再定一個(gè)系統(tǒng)。另外對(duì)于云租戶，其相應(yīng)的信息系統(tǒng)也需要開(kāi)展等保工作，這塊工作原則上是由云租戶自己開(kāi)展，切不可以為系統(tǒng)上云了，安全責(zé)任就不歸自己了，出了事依然還是自己的事。對(duì)于通信網(wǎng)絡(luò)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)等定級(jí)對(duì)象，原則上等級(jí)不低于其承擔(dān)的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。不能存在云計(jì)算平臺(tái)是二級(jí)，平臺(tái)上的系統(tǒng)是三級(jí)情況。

業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后，產(chǎn)生的侵害后果有以下表現(xiàn)形式：

很多人對(duì)受侵害的客體及受到破壞后造成的影響認(rèn)識(shí)不清，比較模糊，比較抽象，根據(jù)以上描述，讓大家對(duì)此有一個(gè)相對(duì)比較具體的認(rèn)知。

當(dāng)?shù)燃?jí)保護(hù)對(duì)象所處理的業(yè)務(wù)信息和系統(tǒng)服務(wù)范圍發(fā)生變化，可能導(dǎo)致業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后的受侵害客體和對(duì)客體的侵害程度發(fā)生變化時(shí)，需根據(jù)本標(biāo)準(zhǔn)重新確定定級(jí)對(duì)象和安全保護(hù)等級(jí)。也就是等級(jí)需要變更時(shí)需要按照定級(jí)指南重新開(kāi)展定級(jí)，該請(qǐng)專(zhuān)家評(píng)審的請(qǐng)專(zhuān)家評(píng)審，該請(qǐng)行業(yè)主管部門(mén)審核的請(qǐng)行業(yè)主管部門(mén)審核，再也不能隨意進(jìn)行等級(jí)的變更了。

等保2.0定級(jí)指南正式開(kāi)始實(shí)施，各地公安網(wǎng)安部門(mén)可以根據(jù)本地實(shí)際情況規(guī)范開(kāi)展等保定級(jí)工作，引導(dǎo)各網(wǎng)絡(luò)運(yùn)營(yíng)者規(guī)范開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，等保工作離不開(kāi)你們的監(jiān)管。怎樣合理規(guī)范，怎樣有利于開(kāi)展工作就怎樣開(kāi)展，形式不限，工作扎扎實(shí)實(shí)做好就可以。