ICS 35.40 L80 中华人民共和国国家标准 GB/T 22240—20XX 代替 GB/T 22240-2008 信息安全技术 网络安全等级保护定级指南 Information security technologyGuidelines for grading of classified cybersecurity protection （试行稿） （本稿完成日期：2017.10.25） 20XX - XX - XX 发布 XXXX - XX - XX 实施 GB/T 22240—20XX 目 次 前言 ............................................................................... III 引言 ................................................................................ IV 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 定级原理及流程 .................................................................... 2 4.1 安全保护等级 .................................................................. 4.2 定级要素 ...................................................................... 4.2.1 定级要素概述 .............................................................. 4.2.2 受侵害的客体 .............................................................. 4.2.3 对客体的侵害程度 .......................................................... 4.3 定级要素与安全保护等级的关系 .................................................. 4.4 定级流程 ...................................................................... 2 2 2 2 3 3 4 5 确定定级对象 ...................................................................... 4 5.1 5.2 5.3 5.4 5.5 5.6 5.7 定级对象的基本特征 ............................................................ 基础信息网络 .................................................................. 工业控制系统 .................................................................. 云计算平台 .................................................................... 物联网 ........................................................................ 采用移动互联技术的网络 ........................................................ 大数据 ........................................................................ 4 5 5 5 5 5 5 6 初步确定等级 ...................................................................... 5 6.1 定级方法概述 .................................................................. 6.2 确定受侵害的客体 .............................................................. 6.3 确定对客体的侵害程度 .......................................................... 6.3.1 侵害的客观方面 ............................................................ 6.3.2 综合判定侵害程度 .......................................................... 6.4 确定安全保护等级 .............................................................. 6.5 特定定级对象定级说明 .......................................................... 5 6 6 6 6 7 7 7 专家评审 .......................................................................... 7 8 主管部门审核 ...................................................................... 8 9 公安机关备案审查 .................................................................. 8 10 等级变更 ......................................................................... 8 附录 A（资料性附录） 定级方法流程 .................................................... 9 I GB/T 22240—20XX 附录 B（资料性附录） 各级等级保护对象定级工作要求 ................................... 10 参考文献 ............................................................................ 11 II GB/T 22240—20XX 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准代替GB/T 22240—2008《信息安全技术 信息系统安全等级保护定级指南》，与GB/T 22240 —2008相比，主要技术变化如下： ——标准名称变更为《信息安全技术 网络安全等级保护定级指南》。 ——修改了等级保护对象、增加了网络、基础信息网络等术语定义（见3,2008版的3）。 ——修改了定级要素与安全保护等级的关系（见4.3,2008版4.3）。 ——增加了基础信息网络的定级对象确定方法（见5.1）。 ——增加了特定定级对象定级说明（见6.5）。 ——修改了定级流程（见4.4,2008版5.1）。 本标准由全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位：亚信科技（成都）有限公司、公安部信息安全等级保护评估中心和阿里云计算有 限公司、深圳市腾讯计算机系统有限公司、启明星辰信息技术集团有限公司等。 本标准主要起草人：李明、曲洁、张振峰、任卫红、袁静、朱建平、马力、刘东红、王欢、沈锡镛 杨晓光、段伟恒。 III GB/T 22240—20XX 引 言 为了贯彻落实《中华人民共和国网络安全法》，特别是配合网络安全等级保护制度的落地实施，需 对GB/T 22240—2008进行修订。从标准名称、等级保护对象定义、安全保护等级描述以及定级流程等方 面进行补充、细化和完善，从而满足移动互联、云计算、大数据、物联网和工业控制等新技术、新应用 情况下开展网络安全等级保护工作的需要。 与本标准相关的国家标准包括： ——GB/T 22239 信息安全技术 网络安全等级保护基本要求； ——GB/T 25058 信息安全技术 网络安全等级保护实施指南； ——GB/T 28448 信息安全技术 网络安全等级保护测评要求； ——GB/T 28449 信息安全技术 网络安全等级保护测评过程指南。 IV GB/T 22240—20XX 网络安全等级保护定级指南 1 范围 本标准规定了网络安全等级保护的定级方法和定级流程。 本标准适用于指导网络运营者开展等级保护对象的定级工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 25069-2010 信息安全技术 术语 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 31167 信息安全技术 云计算服务安全指南 3 术语和定义 GB17859-1999、GB/T 25069-2010、GB/T 22239和GB/T 31167界定的以及下列术语和定义适用于本 文件。 3.1 等级保护对象target of classified protection 网络安全等级保护工作的作用对象，主要包括基础信息网络、工业控制系统、云计算平台、物联网、 使用移动互联技术的网络、其他网络以及大数据等。 3.2