国家标准 信息安全技术 信息系统安全等级保护定级指南.pdf

ICS35.040

De3

L80

中华人民共和国国家标准

GB/T22240—2008

信息安全技术

信息系统安全等级保护定级指南

Informationsecuritytechnology-

Classificationguideforclassifiedprotectionofinformationsystem

2008-06-19发布2008-11-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

GB/T22240—2008

目次

目次I

前言.II

引言III

1范围.

2规范性引用文件.

3术语和定义.

4定级原理.

4.1信息系统安全保护等级

4.2信息系统安全保护等级的定级要素

4.2.1受侵害的客体.

4.2.2对客体的侵害程度

4.3定级要素与等级的关系

5定级方法.

5.1定级的一般流程.

5.2确定定级对象.

5.3确定受侵害的客体.

5.4确定对客体的侵害程度

5.4.1侵害的客观方面.

5.4.2综合判定侵害程度

5.5确定定级对象的安全保护等级

6等级变更.

I

GB/T22240—2008

前言

（略）

II

GB/T22240—2008

引言

依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：

——GB/T22239—2008《信息系统安全等级保护基本要求》；

——国家标准《信息系统安全等级保护实施指南》；

——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中

的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

III

GB/T22240—2008

信息安全技术

信息系统安全等级保护定级指南

1范围

本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提

供指导。

2规范性引用文件

下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所

有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方

研究是否使用这些文件的必威体育精装版版本。凡是不注明日期的引用文