GB∕T 22240-2020 信息安全技术 网络安全等级保护定级指南.docxVIP

ICS35.040L80

中华人民共和国国家标准

GB／T22240—2020代替GB/T22240—2008

信息安全技术

网络安全等级保护定级指南

Informationsecuritytechnology—

Classificationguideforclassifiedprotectionofcybersecurity

2020-04-28发布2020-11-01实施

国家市场监督管理总局国家标准化管理委员会

发布

Ⅰ

GB／T22240—2020

目次

前言 Ⅲ

引言 Ⅳ

1范围 1

2规范性引用文件 1

3术语和定义 1

4定级原理及流程 2

4.1安全保护等级 2

4.2定级要素 2

4.2.1定级要素概述 2

4.2.2受侵害的客体 2

4.2.3对客体的侵害程度 3

4.3定级要素与安全保护等级的关系 3

4.4定级流程 3

5确定定级对象 4

5.1信息系统 4

5.1.1定级对象的基本特征 4

5.1.2云计算平台／系统 4

5.1.3物联网 4

5.1.4工业控制系统 4

5.1.5采用移动互联技术的系统 4

5.2通信网络设施 4

5.3数据资源 5

6确定安全保护等级 5

6.1定级方法概述 5

6.2确定受侵害的客体 6

6.3确定对客体的侵害程度 6

6.3.1侵害的客观方面 6

6.3.2综合判定侵害程度 6

6.4初步确定等级 7

7确定安全保护等级 8

8等级变更 8

参考文献 9

Ⅲ

GB／T22240—2020

前言

本标准按照GB/T1.1—2009给出的规则起草。

本标准代替GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》，与

GB/T22240—2008相比，主要技术变化如下：

—修改了等级保护对象、信息系统的定义，增加了网络安全、通信网络设施、数据资源的术语和定义（见第3章，2008年版的第3章）；

—增加了通信网络设施和数据资源的定级对象确定方法（见5.2、5.3);—增加了特定定级对象定级说明（见第7章）；

—修改了定级流程（见4.4,2008年版的5.1)。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位：公安部第三研究所、亚信科技（成都）有限公司、阿里云计算有限公司、深圳市腾讯计算机系统有限公司、启明星辰信息技术集团股份有限公司、审计署计算机技术中心。

Ⅳ

GB／T22240—2020

引

言

为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展，需对GB/T22240—2008进行修订，从等级保护对象定义和定级流程等方面进行补充、细化和完善，形成新的网络安全等级保护定级指南标准。

与本标准相关的国

家标准包括：

—GB/T22239

信息安全技术

网络安全等级保护基本要求；

—GB/T25058

信息安全技术

网络安全等级保护实施指南；

—GB/T25070

信息安全技术

网络安全等级保护安全设计技术要求；

—GB/T28448

信息安全技术

网络安全等级保护测评要求；

—GB/T28449

信息安全技术

网络安全等级保护测评过程指南。

1

GB／T22240—2020

信息安全技