GB/T 22240-2020标准规范下载简介
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南ICS.35.040 L.80
GB/T22240—2020 代替GB/T22240—2008
国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 14267-2009 光电测距仪.pdf1言 范围 规范性引用文件 术语和定义 定级原理及流程 4.1 安全保护等级 4.2 定级要素 4.2.1 定级要素概述 4.2.2 受侵害的客体 4.2.3对客体的侵害程度 4.3定级要素与安全保护等级的关系 4.4 定级流程 确定定级对象 5.1 信息系统 5.1.1 定级对象的基本特征 5.1.2 云计算平台/系统 5.1.3 物联网 5.1.4 工业控制系统 5.1.5 采用移动互联技术的系统 5.2 通信网络设施 5.3 数据资源 确定安全保护等级 6.1 定级方法概述 6.2 确定受侵害的客体 6.3确定对客体的侵害程度 6.3.1侵害的客观方面 6.3.2 综合判定侵害程度 6.4初步确定等级 确定安全保护等级 等级变更 考文献·
术语和定义 定级原理及流程 4.1安全保护等级 4.2定级要素 4.2.1 定级要素概述 4.2.2 受侵害的客体 4.2.3对客体的侵害程度 4.3定级要素与安全保护等级的关系 4.4 定级流程 确定定级对象 5.1 信息系统 5.1.1 定级对象的基本特征 5.1.2 云计算平台/系统 5.1.3 物联网 5.1.4 工业控制系统 5.1.5 采用移动互联技术的系统 5.2 通信网络设施 5.3 数据资源 确定安全保护等级 6.1 定级方法概述 6.2 确定受侵害的客体 6.3确定对客体的侵害程度 6.3.1侵害的客观方面 6.3.2 综合判定侵害程度 6.4初步确定等级 确定安全保护等级 等级变更 老文献
本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T22240一2008《信息安全技术信息系统安全等级保护定级指南》,与 GB/T22240一2008相比,主要技术变化如下: 修改了等级保护对象、信息系统的定义,增加了网络安全、通信网络设施、数据资源的术语和定 义(见第3章,2008年版的第3章); 一增加了通信网络设施和数据资源的定级对象确定方法(见5.2、5.3); 一增加了特定定级对象定级说明(见第7章); 修改了定级流程(见4.4,2008年版的5.1)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:公安部第三研究所、亚信科技(成都)有限公司、阿重云计算有限公司、深圳市腾计 计算机系统有限公司、启明星辰信息技术集团股份有限公司、审计署计算机技术中心。 本标准主要起草人:曲洁、尚旭光、黄顺京、李明、黎水林、张振峰、郭启全、葛波蔚、祝国邦、陆磊, 袁静、任卫红、朱建平、马力、李升、刘东红、孙中和、王欢、沈锡铺、杨晓光、马闽、陈雪秀。 本标准所代替标准的历次版本发布情况为: GB/T 22240—2008
GB/T 222402020
为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大 数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T22240一2008进行修订,从等 级保护对象定义和定级流程等方面进行补充、细化和完善,形成新的网络安全等级保护定级指南标准。 与本标准相关的国家标准包括: GB/T22239信息安全技术网络安全等级保护基本要求; GB/T25058 信息安全技术网络安全等级保护实施指南; GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求; GB/T 28448 信息安全技术 网络安全等级保护测评要求; GB/T2844.9 信息安全技术 网络安全等级保护测评过程指南
GB/T22240—2020
信息安全技术 网络安全等级保护定级指南
信息安全技术 网络安全等级保护定级指南
本标准给出了非涉 定级方法和定级流程 本标准适用于指导网络
本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB17859一1999计算机信息系统安全保护等级划分准则X GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T29246—20171 信息技术安全技术信息安全管理体系 概述和词汇 GB/T 31167—20141 信息安全技术云计算服务安全指南 GB/T32919—2016 信息安全技术工业控制系统安全控制应用指南 GB/T352952017 信息技术大数据术语 3 术语和定义 WWV GB17859—1999、GB/T22239—2019、GB/T25069、GB/T29246—2017、GB/T31167—2014 GB/T32919—2016和GB/T35295—2017界定的以及下列术语和定义适用于本文件。为了便于使用, 以下重复列出了上述标准中的某些术语和定义。 3.1 网络安全cybersecurity 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳 定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 [GB/T22239—2019,定义3.1] 3.2 等级保护对象 target of classified protection 网络安全等级保护工作直接作用的对象 注:主要包括信息系统、通信网络设施和数据资源等, 3.3 信息系统informationsystem 应用、服务、信息技术资产或其他信息处理组件。 [GB/T29246—2017,定义2.39] 注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过 程控制。
GB/T 222402020
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或 者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法 双益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级: a)第一级,等级保护对象受到破坏局会对相关公民、法人和其他组织的合法权益造成一般损害, 但不危害国家安全、社会秩序和公共利益; b)第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害 或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全; c)第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全 造成危害; d 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家 安全造成严重危害; 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害
4.2.1定级要素概述
等级保护对象的定级要素包括: a)受侵害的客体; b)对客体的侵害程度
4.2.2受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a)公民、法人和其他组织的合法权益:
b)社会秩序、公共利益;
4.2.3对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵 害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a)造成一般损害; b)造成严重损害; c)造成特别严重损害
4.3定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如表1所示
表1定级要素与安全保护等级的关系
GB/T 41919-2022 人造石建筑板材等级保护对象定级工作的一般流程如图1所示
图1等级保护对象定级工作一般流程
GB/T 222402020
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家 评审、主管部门核准和备案审核,最终确定其安全保护等级。 注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可 不进行专家评审、主管部门核准和备案审核
5.1.1定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征: a)具有确定的主要安全责任主体; b) 承载相对独立的业务应用; C 包含相互关联的多个资源。 注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象 在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足 以上基本特征的基础上,还需分别遵循5.1.2、5.1.3、5.1.4、5.1.5的相关要求
5.1.2云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独 的定级对象定级,并根据不同服务模式将云计算平台系统划分为不同的定级对象。 对于大型云计算平台DB33T 2002-2016 有机热载体锅炉及系统清洗导则,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象