GB/T 22239-2019信息安全技術網絡安全等級保護基本要求

ICS35040

L80.

中華人民共和國國家標準

GB/T22239—2019

代替

GB/T22239—2008

信息安全技術

網絡安全等級保護基本要求

Informationsecuritytechnology—

Baselineforclassifiedprotectionofcybersecurity

2019-05-10發(fā)布2019-12-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T22239—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

網絡安全等級保護概述

5…………………3

等級保護對象

5.1………………………3

不同級別的安全保護能力

5.2…………4

安全通用要求和安全擴展要求

5.3……………………4

第一級安全要求

6…………………………4

安全通用要求

6.1………………………4

云計算安全擴展要求

6.2………………9

移動互聯(lián)安全擴展要求

6.3……………10

物聯(lián)網安全擴展要求

6.4………………10

工業(yè)控制系統(tǒng)安全擴展要求

6.5………………………11

第二級安全要求

7…………………………12

安全通用要求

7.1………………………12

云計算安全擴展要求

7.2………………21

移動互聯(lián)安全擴展要求

7.3……………23

物聯(lián)網安全擴展要求

7.4………………24

工業(yè)控制系統(tǒng)安全擴展要求

7.5………………………24

第三級安全要求

8…………………………26

安全通用要求

8.1………………………26

云計算安全擴展要求

8.2………………38

移動互聯(lián)安全擴展要求

8.3……………40

物聯(lián)網安全擴展要求

8.4………………42

工業(yè)控制系統(tǒng)安全擴展要求

8.5………………………43

第四級安全要求

9…………………………45

安全通用要求

9.1………………………45

云計算安全擴展要求

9.2………………57

移動互聯(lián)安全擴展要求

9.3……………60

物聯(lián)網安全擴展要求

9.4………………61

工業(yè)控制系統(tǒng)安全擴展要求

9.5………………………63

第五級安全要求

10………………………64

附錄規(guī)范性附錄關于安全通用要求和安全擴展要求的選擇和使用

A()……………65

Ⅰ

GB/T22239—2019

附錄規(guī)范性附錄關于等級保護對象整體安全保護能力的要求

B()…………………69

附錄規(guī)范性附錄等級保護安全框架和關鍵技術使用要求

C()………70

附錄資料性附錄云計算應用場景說明

D()……………72

附錄資料性附錄移動互聯(lián)應用場景說明

E()…………73

附錄資料性附錄物聯(lián)網應用場景說明

F()……………74

附錄資料性附錄工業(yè)控制系統(tǒng)應用場景說明

G()……………………75

附錄資料性附錄大數據應用場景說明

H()……………78

參考文獻

……………………83

Ⅱ

GB/T22239—2019

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術信息系統(tǒng)安全等級保護基本要求與

GB/T22239—2008《》,

相比主要變化如下

GB/T22239—2008,:

將標準名稱變更為信息安全技術網絡安全等級保護基本要求

———《》;

調整分類為安全物理環(huán)境安全通信網絡安全區(qū)域邊界安全計算環(huán)境安全管理中心安全

———、、、、、

管理制度安全管理機構安全管理人員安全建設管理安全運維管理

、、、、;

調整各個級別的安全要求為安全通用要求云計算安全擴展要求移動互聯(lián)安全擴展要求物

———、、、

聯(lián)網安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求

;

取消了原來安全控制點的標注增加一個附錄描述等級保護對象的定級結果和安

———S、A、G,A

全要求之間的關系說明如何根據定級結果選擇安全要求

,;

調整了原來附錄和附錄的順序增加了附錄描述網絡安全等級保護總體框架并提出

———AB,C,

關鍵技術使用要求

。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部信息安全等級保護評估中心國家能源局信息中心

:()、、

阿里云計算有限公司中國科學院信息工程研究所信息安全國家重點實驗室新華三技術有限公司

、()、、

華為技術有限公司啟明星辰信息技術集團股份有限公司北京鼎普科技股份有限公司中國電子信息

、、、

產業(yè)集團有限公司第六研究所公安部第一研究所國家信息中心山東微分電子科技有限公司中國電

、、、、

子科技集團公司第十五研究所信息產業(yè)信息安全測評中心浙江大學工業(yè)和信息化部計算機與微電

()、、

子發(fā)展研究中心中國軟件評測中心浙江國利信安科技有限公司機械工業(yè)儀器儀表綜合技術經濟研

()、、

究所杭州科技職業(yè)技術學院

、。

本標準主要起草人馬力陳廣勇張振峰郭啟全葛波蔚祝國邦陸磊曲潔于東升李秋香

:、、、、、、、、、、

任衛(wèi)紅胡紅升陳雪鴻馮冬芹王江波張宗喜張宇翔畢馬寧沙淼淼李明黎水林于晴李超

、、、、、、、、、、、、、

劉之濤袁靜霍珊珊黃順京尹湘培蘇艷芳陶源陳雪秀于俊杰沈錫鏞杜靜周穎吳薇劉志宇

、、、、、、、、、、、、、、

宮月王昱鑌祿凱章恒高亞楠段偉恒馬閩賈馳千陸耿虹高夢州趙泰孫曉軍許鳳凱王紹杰

、、、、、、、、、、、、、、

馬紅霞劉美麗

、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T22239—2008。

Ⅲ

GB/T22239—2019

引言

為了配合中華人民共和國網絡安全法的實施同時適應云計算移動互聯(lián)物聯(lián)網工業(yè)控制和大

《》,、、、

數據等新技術新應用情況下網絡安全等級保護工作的開展需對進行修訂修訂

、,GB/T22239—2008,

的思路和方法是調整原國家標準的內容針對共性安全保護需求提出安全通用要

GB/T22239—2008,

求針對云計算移動互聯(lián)物聯(lián)網工業(yè)控制和大數據等新技術新應用領域的個性安全保護需求提出

,、、、、

安全擴展要求形成新的網絡安全等級保護基本要求標準

,。

本標準是網絡安全等級保護相關系列標準之一

。

與本標準相關的標準包括

:

信息安全技術信息系統(tǒng)安全等級保護實施指南

———GB/T25058;

信息安全技術信息系統(tǒng)安全等級保護定級指南

———GB/T22240;

信息安全技術網絡安全等級保護安全設計技術要求

———GB/T25070;

信息安全技術網絡安全等級保護測評要求

———GB/T28448;

信息安全技術網絡安全等級保護測評過程指南

———GB/T28449。

在本標準中黑體字部分表示較高等級中增加或增強的要求

,。

Ⅳ

GB/T22239—2019

信息安全技術

網絡安全等級保護基本要求

1范圍

本標準規(guī)定了網絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展

要求

。

本標準適用于指導分等級的非涉密對象的安全建設和監(jiān)督管理

。

注第五級等級保護對象是非常重要的監(jiān)督管理對象對其有特殊的管理模式和安全要求所以不在本標準中進行

:,,

描述

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859

信息安全技術信息系統(tǒng)安全等級保護定級指南

GB/T22240

信息安全技術術語

GB/T25069

信息安全技術云計算服務安全指南

GB/T31167—2014

信息安全技術云計算服務安全能力要求

GB/T31168—2014

信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南

GB/T32919—2016

3術語和定義