中华人民共和国国家标准 标准号：GB/T 22239-2019 中文标准名称：信息安全技术 网络安全等级保护基本要求 ICS 35.040 L 80 中华人民共和国国家标准 GB/T 22239—2019 代替 GB/T22239—2008 信息安全技术 网络安全等级保护基本要求 Information security technology — Baseline for classified protection of cybersecurity 2019 - 12 - 01 实施 2019 - 05 - 10 发布 国家市场监督管理总局 中国国家标准化管 发布 目 次 前言................................................................................ Ⅲ 引言................................................................................ Ⅳ 1 范围............................................................................. 1 2 规范性引用文件................................................................... 1 3 术语和定义....................................................................... 1 4 缩略语............................................................................ 3 5 网络安全等级保护概述 ............................................................. 3 5.1等级保护对象 ....................................................................... 3 5.2不同级别的安全保护能力 ............................................................. 4 5.3安全通用要求和安全扩展要求 ......................................................... 4 6 第一级安全要求................................................................... 4 6.1安全通用要求 ....................................................................... 4 6.2计算安全扩展要求 ................................................................... 9 6.3移动互联安全扩展要求 ............................................................... 10 6.4物联网安全扩展要求 ................................................................. 10 6.5工业控制系统安全扩展要求 ........................................................... 11 7 第二级安全要求................................................................... 12 7.1安全通用要求 ....................................................................... 12 7.2云计算安全扩展要求 ................................................................. 21 7.3移动互联安全扩展要求 ............................................................... 23 7.4物联网安全扩展要求 ................................................................. 24 7.5工业控制系统安全扩展要求 ........................................................... 24 8 第三级安全要求................................................................... 26 8.1全通用要求 ......................................................................... 26 8.2云计算安全扩展要求 ................................................................. 38 8.3移动互联安全扩展要求 ............................................................... 40 8.4物联网安全扩展要求 ................................................................. 42 8.5工业控制系统安全扩展要求 ........................................................... 43 9 第四级安全要求................................................................... 45 9.1安全通用要求 ....................................................................... 57 9.2云计算安全扩展要求 ................................................................. 60 9.3移动互联安全扩展要求 ............................................................... 61 9.4物联网安全扩展要求 ................................................................. 61 9.5工业控制系统安全扩展要求 ........................................................... 63 II 10 第五级安全要求.................................................................. 64 附录 A（规范性附录） 关于安全通用要求和安全扩展要求的选择和使用 .................... 65 附录 B（规范性附录） 关于等级保护对象整体安全保护能力的要求 ........................ 69 附录 C（规范性附录） 等级保护安全框架和关键技术使用要求 ............................ 70 附录 D（资料性附录） 云计算应用场景说明 ............................................ 72 附录 E（资料性附录） 移动互联应用场景说明 .......................................... 73 附录 F（资料性附录） 物联网应用场景说明 ............................................ 74 附录 G（资料性附录） 工业控制系统应用场景说明 ...................................... 75 附录 H（资料性附录） 大数据应用场景说明 ............................................ 78 参考文献............................................................................ 83 III 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准代替GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》，与GB/T 22239 —2008相比，主要变化如下： ——将标准名称变更为《信息安全技术 网络安全等级保护基本要求》。 ——调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全 管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。 ——调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联 网安全扩展要求和工业控制系统安全扩展要求。 ——取消了原来安全控制点的S、A、G 标注，增加一个附录 A 描述等级保护对象的定级结果和安全 要求之间的关系，说明如何根据定级结果选择安全要求。 ——调整了原来附录A 和附录 B 的顺序，增加了附录 C 描述网络安全等级保护总体框架，并提出关 键技术使用要求。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、国家能源局信息中心、阿 里云计算有限公司、中国科学院信息工程研究所（信息安全国家重点实验室）、新华三技术有限公司、华为 技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息产业集团 有限公司第六研究所、公安部第一研究所、国