搜索结果: GB/T 22240-2020, GB/T22240-2020, GBT 22240-2020, GBT22240-2020
GB/T 22240-2020: 信息安全技术 网络安全等级保护定级指南
GB/T 22240-2020 英文名称: Information security technology -- Classification guide for classified protection of cybersecurity
1 范围
本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。
本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
GB/T 35295-2017 信息技术 大数据 术语
3 术语和定义
GB 17859-1999、GB/T 22239-2019、GB/T 25069、GB/T 29246-2017、GB/T 31167-2014、GB/T 32919-2016和GB/T 35295-2017界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了上述标准中的某些术语和定义。
3.1
定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
3.2
注:主要包括信息系统、通信网络设施和数据资源等。
3.3
注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。
3.4
为信息流通、网络运行等起基础支撑作用的网络设备设施。
注:主要包括电信网、广播电视传输网和行业或单位的专用通信网等。
3.5
具有或预期具有价值的数据集合。
注:数据资源多以电子形式存在。
3.6
注:本标准中简称“客体”。
3.7
4 定级原理及流程
4.1 安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
a) 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;
b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
c) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
4.2 定级要素
4.2.1 定级要素概述
等级保护对象的定级要素包括:
a) 受侵害的客体;
b) 对客体的侵害程度。
4.2.2 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
4.2.3 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
4.3 定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如表1所示。
4.4 定级流程
等级保护对象定级工作的一般流程如图1所示。
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
5 确定定级对象
5.1 信息系统
5.1.1 定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还需分别遵循5.1.2、5.1.3、5.1.4、5.1.5的相关要求。
5.1.2 云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
5.1.3 物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
5.1.4 工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
5.1.5 采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
5.2 通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
5.3 数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
6 确定安全保护等级
6.1 定级方法概述
定级对象的定级方法按照以下描述进行。对于通信网络设施、......
|