GB/T 22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T22240—2020

代替

GB/T22240—2008

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護定級指南

Informationsecuritytechnology—

Classificationguideforclassifiedprotectionofcybersecurity

2020-04-28發(fā)布2020-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T22240—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

定級原理及流程

4…………………………2

安全保護等級

4.1………………………2

定級要素

4.2……………2

定級要素概述

4.2.1…………………2

受侵害的客體

4.2.2…………………2

對客體的侵害程度

4.2.3……………3

定級要素與安全保護等級的關(guān)系

4.3…………………3

定級流程

4.4……………3

確定定級對象

5……………4

信息系統(tǒng)

5.1……………4

定級對象的基本特征

5.1.1…………4

云計算平臺系統(tǒng)

5.1.2/………………4

物聯(lián)網(wǎng)

5.1.3…………………………4

工業(yè)控制系統(tǒng)

5.1.4…………………4

采用移動互聯(lián)技術(shù)的系統(tǒng)

5.1.5……………………4

通信網(wǎng)絡(luò)設(shè)施

5.2………………………4

數(shù)據(jù)資源

5.3……………5

初步確定等級

6……………5

定級方法概述

6.1………………………5

確定受侵害的客體

6.2…………………6

確定對客體的侵害程度

6.3……………6

侵害的客觀方面

6.3.1………………6

綜合判定侵害程度

6.3.2……………6

綜合判定等級

6.4………………………7

確定安全保護等級

7………………………8

等級變更

8…………………8

參考文獻

………………………9

Ⅰ

GB/T22240—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南與

GB/T22240—2008《》,

相比主要技術(shù)變化如下

GB/T22240—2008,:

修改了等級保護對象信息系統(tǒng)的定義增加了網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)設(shè)施數(shù)據(jù)資源的術(shù)語和定

———、,、、

義見第章年版的第章

(3,20083);

增加了通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源的定級對象確定方法見

———(5.2、5.3);

增加了特定定級對象定級說明見第章

———(7);

修改了定級流程見年版的

———(4.4,20085.1)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所亞信科技成都有限公司阿里云計算有限公司深圳市騰訊

:、()、、

計算機系統(tǒng)有限公司啟明星辰信息技術(shù)集團股份有限公司審計署計算機技術(shù)中心

、、。

本標(biāo)準(zhǔn)主要起草人曲潔尚旭光黃順京李明黎水林張振峰郭啟全葛波蔚祝國邦陸磊

:、、、、、、、、、、

袁靜任衛(wèi)紅朱建平馬力李升劉東紅孫中和王歡沈錫鏞楊曉光馬閩陳雪秀

、、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22240—2008。

Ⅲ

GB/T22240—2020

引言

為了配合中華人民共和國網(wǎng)絡(luò)安全法的實施同時適應(yīng)云計算移動互聯(lián)物聯(lián)網(wǎng)工業(yè)控制和大

《》,、、、

數(shù)據(jù)等新技術(shù)新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作的開展需對進行修訂從等

、,GB/T22240—2008,

級保護對象定義和定級流程等方面進行補充細化和完善形成新的網(wǎng)絡(luò)安全等級保護定級指南標(biāo)準(zhǔn)

、,。

與本標(biāo)準(zhǔn)相關(guān)的國家標(biāo)準(zhǔn)包括

:

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

———GB/T22239;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南

———GB/T25058;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求

———GB/T25070;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求

———GB/T28448;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南

———GB/T28449。

Ⅳ

GB/T22240—2020

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護定級指南

1范圍

本標(biāo)準(zhǔn)給出了非涉及國家秘密的等級保護對象的安全保護等級定級方法和定級流程

。

本標(biāo)準(zhǔn)適用于指導(dǎo)網(wǎng)絡(luò)運營者開展非涉及國家秘密的等級保護對象的定級工作

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則

GB17859—1999

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T22239—2019

信息安全技術(shù)術(shù)語

GB/T25069

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017

信息安全技術(shù)云計算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

GB/T32919—2016

信息技術(shù)大數(shù)據(jù)術(shù)語

GB/T35295—2017

3術(shù)語和定義

GB17859—1999、GB/T22239—2019、GB/T25069、GB/T29246—2017、GB/T31167—2014、

和界定的以及下列術(shù)語和定義適用于本文件為了便于使用

GB/T32919—2016GB/T35295—2017。,

以下重復(fù)列出了上述標(biāo)準(zhǔn)中的某些術(shù)語和定義

。

31

.

網(wǎng)