标准规范下载简介
GBT 22240-2020《信息安全技术 信息系统安全等级保护定级指南》.pdfICS35.040 L 80
GB/T22240—2020 代替GB/T22240—2008
Informationsecuritytechnology Classification guide for classified protection of cybersecurity
国家市场监督管理总局 发布 国家标准花管理委员会
DB35/T 1797-2018标准下载国家市场监督管理总局 发布 国家标准花管理委员会
4.4 定级流程 确定定级对象 5.1信息系统 5.1.1 定级对象的基本特征 5.1.2 云计算平台/系统..· 5.1.3 物联网 5.1.4 工业控制系统 5.1.5 采用移动互联技术的系统 5.2 通信网络设施 5.3 数据资源 确定安全保护等级 6.1 定级方法概述 6.2 确定受侵害的客体 6.3 确定对客体的侵害程度 6.3.1 侵害的客观方面 6.3.2综合判定侵害程度 6.4 初步确定等级 确定安全保护等级 等级变更 考文南
本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T22240一2008《信息安全技术信息系统安全等级保护定级指南》,与 GB/T22240一2008相比,主要技术变化如下: 修改了等级保护对象、信息系统的定义,增加了网络安全、通信网络设施、数据资源的术语和定 义(见第3章,2008年版的第3章); 增加了通信网络设施和数据资源的定级对象确定方法(见5.2、5.3); 增加了特定定级对象定级说明(见第7章); 一修改了定级流程(见4.4,2008年版的5.1)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:公安部第三研究所、业信科技(成都)有限公司、阿里云计算有限公司、深圳市腾讯 计算机系统有限公司、启明星辰信息技术集团股份有限公司、审计署计算机技术中心。 本标准主要起草人:曲洁、尚旭光、黄顺京、李明、黎水林、张振峰、郭启全、葛波蔚、祝国邦、陆磊 袁静、任卫红、朱建平、马力、李升、刘东红、孙中和、王欢、沈锡铺、杨晓光、马闽、陈雪秀。 本标准所代替标准的历次版本发布情况为: GB/T22240—2008
GB/T22240—2020引言为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T22240一2008进行修订,从等级保护对象定义和定级流程等方面进行补充、细化和完善,形成新的网络安全等级保护定级指南标准。与本标准相关的国家标准包括:GB/T22239信息安全技术网络安全等级保护基本要求;GB/T25058信息安全技术网络安全等级保护实施指南;GB/T25070信息安全技术网络安全等级保护安全设计技术要求:GB/T28448信息安全技术网络安全等级保护测评要求:GB/T28449信息安全技术网络安全等级保护测评过程指南,IV
信息安全技术 网络安全等级保护定级指南
信息安全技术 网络安全等级保护定级指南
本标准给出, 和定级流程 本标准适用于指导 象的定级工作
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T22239—20191 信息安全技术 网络安全等级保护基本要求 GB/T25069 信息安全技术术语 GB/T 29246 一2017 信息技术安全技术信息安全管理体系 概述和词汇 GB/T 31167—2014 信息安全技术云计算服务安全指南 GB/T32919—2016 信息安全技术工业控制系统安全控制应用指南 GB/T35295—2017 信息技术大数据术语
GB17859—1999、GB/T22239—2019、GB/T25069、GB/T29246—2017、GB/T31167—2014、 GB/T32919一2016和GB/T35295一2017界定的以及下列术语和定义适用于本文件。为了便于使用, 以下重复列出了上述标准中的某些术语和定义 3.1 5 网络安全cybersecurity 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳 定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力 [GB/T22239—2019,定义3.1] 3.2 等级保护对象 targetof classifiedprotection 网络安全等级保护工作直接作用的对象。 注:主要包括信息系统、通信网络设施和数据资源等。 3.3 信息系统 information system 应用、服务、信息技术资产或其他信息处理组件。 [GB/T 29246—2017,定义 2.39] 注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并接按照一定的应用目标和规则进行信息处理或过 程控制
GB178591999GB/122239 2019、GB/ GB/T32919—2016和GB/T35295—2017界定的 以下重复列出了上述标准中的某些术语和定义。 3.1 SZC 网络安全cybersecurity 通过采取必要措施,防范对网络的攻击、侵入 定可靠运行的状态,以及保障网络数据的完整性、 [GB/T22239—2019,定义3.1] 3.2 等级保护对象 target of classifiedprotection 网络安全等级保护工作直接作用的对象。 注:主要包括信息系统、通信网络设施和数据资源等 3.3 信息系统 informationsystem 应用、服务、信息技术资产或其他信息处理组 [GB/T29246—2017,定义2.39] 注1:信息系统通常由计算机或者其他信息终端及相 程挖制
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一且遭到破环、丧失功能或 数据被宴改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法 益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级: a 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害, 但不危害国家安全、社会秩序和公共利益; b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害 或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全; C) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全 造成危害; d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家 安全造成严重危害; e 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害
4.2.1定级要素概述
等级保护对象的定级要素包括: a)受侵害的客体; b)对客体的侵害程度
4.2.2受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a)公民、法人和其他组织的合法权益:
GB/T22240—2020b)社会秩序、公共利益;c)国家安全。4.2.3对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。4.33定级要素与安全保护等级的关系定级要素与安全保护等级的关系如表1所示。表1定级要素与安全保护等级的关系对客体的侵害程度受侵害的客体般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级4.4定级流程等级保护对象定级工作的一般流程如图1所示。确定定级对象初步确定等级专家评审主管部门核准备案审核图1等级保护对象定级工作一般流程
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家 评审、主管部门核准和备案审核,最终确定其安全保护等级, 注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可 不进行专家评审、主管部门核准和备案审核
近年全国部分支模架、脚手架__坍塌事故案例5.1.1定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征: a)具有确定的主要安全责任主体; b)承载相对独立的业务应用; ) 包含相互关联的多个资源。 注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织 注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。 在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足 以上基本特征的基础上,还需分别遵循5.1.2、5.1.3、5.1.4、5.1.5的相关要求。
5.1.2 云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独 的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象
物联网主要包括感知、 要素不单独定级
5.1.4工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采 集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单 独定级。 对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级 对象。
GAT 1729-2020 保安防卫棍.pdf5.1.5采用移动互联技术的系统