工业企业网络安全分类分级与等级保护差异

本文将《指南》与网络安全等级保护,下文简称“等保”的内容进行比较,便于企业了解指南的不同之处,准确地落实分级分类工作。

工业企业网络安全分类分级与等级保护差异
出处:威努特工控安全

2019年工信部发布《关于互联网企业网络安全分类分级指南(试行)》的征求意见稿,2021年1月13日,工业和信息化部发布了关于开展工业互联网企业网络安全分类分级管理试点工作的通知,内容明确了首批开展试点工作的15个省市地区(包括天津、吉林、上海、江苏、浙江、安徽、福建、山东、河南、湖南、广东、广西、重庆、四川、新疆),由省级工业和信息化主管部门联合通信管理局结合本地工作实际,选择重点行业、重点企业开展试点。

为加强工业互联网安全保障工作,提高工业互联网企业网络安全防范能力和水平,进一步明确和落实企业网络安全主体责任,依据《加强工业互联网安全工作的指导意见》要求,制定《工业互联网企业网络安全分类分级指南(试行)》,下文简称“指南”。指南目前正面向社会征求意见,本文将《指南》与网络安全等级保护,下文简称“等保”的内容进行比较,便于企业了解指南的不同之处,准确地落实分级分类工作。

1.1 监管部门划分

网络安全等级保护由公安部监管,工业互联网企业网络安全分类分级工作由工信部监管,其区别在于:

工信部(工业和信息化部):

  • 负责制定和实施国家的工业互联网相关政策、法规和标准。
  • 组织和推动工业互联网技术的研究、开发和创新,以促进工业互联网的发展。
  • 负责规划和管理工业互联网相关的信息技术基础设施建设,包括通信网络、云计算平台等。
  • 监督和指导工业互联网企业的发展和运营,确保其安全、稳定和合规。

公安部:

  • 负责维护国家的公共安全和治安秩序,以及保护互联网系统和数据的安全。
  • 指导和监督互联网企业的信息安全工作,包括网络安全、数据安全等方面。
  • 对工业互联网企业的安全事件和违法犯罪行为进行调查和打击。
  • 组织和推动工业互联网的相关安全标准和技术手段的研究与推广。

1.2 企业网络安全等级划分标准

《指南》中将工业互联网企业根据行业重要性、企业规模、安全风险程度等因素,将企业网络安全等级由高到低划分为三级、二级、一级。而等级保护对象的安全保护等级共分五级,从一到五级逐级升高。

640-6

分类分级指南定级

640-7

等级保护定级

差异说明

分类分级指南中主要以企业所在行业网络安全影响程度、企业规模、企业应用工业互联网程度及企业一旦发生工业互联网网络安全事件的影响程度等因素共同决定该企业具体分级。

而等级保护主要以受到破坏时侵害的客体和对客体造成侵害的程度进行定级划分。

1.3 定级流程

分类分级定级流程:

企业自主定级 -> 组织定级核查 -> 落实防护需求 -> 开展评估整改 -> 组织安全抽查 -> 开展工作总结

等级保护定级流程:

确定定级对象 -> 初步确定安全保护等级 -> 等级备案 -> 建设整改及测评 -> 监督检査

差异说明

工业互联网企业首先根据自身情况和相关要求,进行自主初步定级。这包括评估企业的信息系统安全状况、数据敏感性等因素,确定所需的分级等级水平。工业互联网企业将自主初步定级结果上报至地方管理部门进行核查确认。地方管理部门可以根据情况进行核查确认,例如通过现场检查或审核企业提交相关材料。

在等级保护流程中,初步定级后还需要进行专家评审和主管部门的审核。这部分在工业互联网企业的分级流程中并非必需,而是根据地方管理部门的要求进行。企业经过专家评审和主管部门审核后,需将定级结果提交给企业所在地的公安部门进行备案。公安部门会对备案结果进行审核确认,最终确定企业的等级保护等级。

1.4 安全管理

640-8

分类分级安全管理要求

差异说明

相比较分类分级指南中对企业的安全管理要求,安全等级保护与分类分级指南中风险评估要求较为相似,除此之外,因分类分级指南适用范围多为工业互联网企业,针对三级企业要求建设企业级工业互联网安全监测平台,并接入属地省级工业互联网安全监测平台,针对二级企业要求则较为宽松,鼓励工业互联网企业接入属地省级工业互联网安全监测平台。

1.5 安全防护要求

联网工业企业按照《工业互联网企业网络安全分类分级指南(试行)》的级别划分,采取不同程度的安全防护,联网工业企业的安全防护分为基本级防护和增强级防护两个级别:

  • 三级联网工业企业建议采取增强级防护
  • 二级联网工业企业建议采取基本级防护
  • 一级联网工业企业参照基本级防护要求根据自身情况自主落实安全防护措施

《工业互联网企业网络安全分类分级指南(试行)》控制点要求如下:

640-9

分类分级基本级防护控制点

640-10

分类分级增强级防护控制点

基础级防护与增强级防护差异

根据《工业互联网企业网络安全分类分级指南》中的定义,增强级和基础级是工业互联网企业网络安全等级保护的两个不同级别。它们在安全控制措施、安全要求和安全投入等方面存在一些区别,区别在于:

640-11

分类分级指南安全防护与等保防护控制点差异

640-12

分类分级防护控制点与等保防护控制点对比

分类分级指南安全防护与等保防护控制点差异区别如下:

640-13

分类分级安全防护内容和等保防护内容并不是完全独立的,实际应用中可以使用等保要求作为参考。

总结

在工业互联网企业网络安全分类分级指南中,分类分级安全防护对象和等保防护对象是两个不同的概念。分类分级安全防护对象是指在工业互联网环境中需要进行安全防护和保护的各类信息系统、网络设备、工业控制系统、数据资产等。这些对象包括工控系统、服务器、网络设备、传感器、工业物联网设备等。对这些安全防护对象进行安全防护,可以保障工业企业的安全和稳定运行。

等保防护对象是指在信息安全 网络安全等级保护标准(GB/T 22239-2019)中规定的需要进行等保防护的对象。这些对象包括信息系统、信息系统运维环境、网络安全设备、安全检测设备等。等保防护对象的划分是根据信息系统的重要性、涉密程度、对国家安全的影响等因素进行评估和确定,不同等级的等保防护对象对安全防护的要求和措施也不同。

分类分级防护的具体对象是工业互联网企业中的设备、系统、数据等;而等保防护对象是在国家标准中定义的需要进行等级保护的对象,旨在根据其重要性和涉密级别确定不同等级的保护要求。分类分级防护对象和等保防护对象在实践中可能会有重叠,但概念上它们是不同的,用于不同的安全管理和评估目的。

一条评论