GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T22239—2019

代替

GB/T22239—2008

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

Informationsecuritytechnology—

Baselineforclassifiedprotectionofcybersecurity

2019-05-10發(fā)布2019-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T22239—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

網(wǎng)絡(luò)安全等級(jí)保護(hù)概述

5…………………3

等級(jí)保護(hù)對(duì)象

5.1………………………3

不同級(jí)別的安全保護(hù)能力

5.2…………4

安全通用要求和安全擴(kuò)展要求

5.3……………………4

第一級(jí)安全要求

6…………………………4

安全通用要求

6.1………………………4

云計(jì)算安全擴(kuò)展要求

6.2………………9

移動(dòng)互聯(lián)安全擴(kuò)展要求

6.3……………10

物聯(lián)網(wǎng)安全擴(kuò)展要求

6.4………………10

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

6.5………………………11

第二級(jí)安全要求

7…………………………12

安全通用要求

7.1………………………12

云計(jì)算安全擴(kuò)展要求

7.2………………21

移動(dòng)互聯(lián)安全擴(kuò)展要求

7.3……………23

物聯(lián)網(wǎng)安全擴(kuò)展要求

7.4………………24

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

7.5………………………24

第三級(jí)安全要求

8…………………………26

安全通用要求

8.1………………………26

云計(jì)算安全擴(kuò)展要求

8.2………………38

移動(dòng)互聯(lián)安全擴(kuò)展要求

8.3……………40

物聯(lián)網(wǎng)安全擴(kuò)展要求

8.4………………42

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

8.5………………………43

第四級(jí)安全要求

9…………………………45

安全通用要求

9.1………………………45

云計(jì)算安全擴(kuò)展要求

9.2………………57

移動(dòng)互聯(lián)安全擴(kuò)展要求

9.3……………60

物聯(lián)網(wǎng)安全擴(kuò)展要求

9.4………………61

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

9.5………………………63

第五級(jí)安全要求

10………………………64

附錄規(guī)范性附錄關(guān)于安全通用要求和安全擴(kuò)展要求的選擇和使用

A()……………65

Ⅰ

GB/T22239—2019

附錄規(guī)范性附錄關(guān)于等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的要求

B()…………………69

附錄規(guī)范性附錄等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)使用要求

C()………70

附錄資料性附錄云計(jì)算應(yīng)用場(chǎng)景說(shuō)明

D()……………72

附錄資料性附錄移動(dòng)互聯(lián)應(yīng)用場(chǎng)景說(shuō)明

E()…………73

附錄資料性附錄物聯(lián)網(wǎng)應(yīng)用場(chǎng)景說(shuō)明

F()……………74

附錄資料性附錄工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景說(shuō)明

G()……………………75

附錄資料性附錄大數(shù)據(jù)應(yīng)用場(chǎng)景說(shuō)明

H()……………78

參考文獻(xiàn)

……………………83

Ⅱ

GB/T22239—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求與

GB/T22239—2008《》,

相比主要變化如下

GB/T22239—2008,:

將標(biāo)準(zhǔn)名稱變更為信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

———《》;

調(diào)整分類為安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全

———、、、、、

管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理

、、、、;

調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求云計(jì)算安全擴(kuò)展要求移動(dòng)互聯(lián)安全擴(kuò)展要求物

———、、、

聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求

;

取消了原來(lái)安全控制點(diǎn)的標(biāo)注增加一個(gè)附錄描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安

———S、A、G,A

全要求之間的關(guān)系說(shuō)明如何根據(jù)定級(jí)結(jié)果選擇安全要求

,;

調(diào)整了原來(lái)附錄和附錄的順序增加了附錄描述網(wǎng)絡(luò)安全等級(jí)保護(hù)總體框架并提出

———AB,C,

關(guān)鍵技術(shù)使用要求

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級(jí)保護(hù)評(píng)估中心國(guó)家能源局信息中心

:()、、

阿里云計(jì)算有限公司中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室新華三技術(shù)有限公司

、()、、

華為技術(shù)有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司北京鼎普科技股份有限公司中國(guó)電子信息

、、、

產(chǎn)業(yè)集團(tuán)有限公司第六研究所公安部第一研究所國(guó)家信息中心山東微分電子科技有限公司中國(guó)電

、、、、

子科技集團(tuán)公司第十五研究所信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心浙江大學(xué)工業(yè)和信息化部計(jì)算機(jī)與微電

()、、

子發(fā)展研究中心中國(guó)軟件評(píng)測(cè)中心浙江國(guó)利信安科技有限公司機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研

()、、

究所杭州科技職業(yè)技術(shù)學(xué)院

、。

本標(biāo)準(zhǔn)主要起草人馬力陳廣勇張振峰郭啟全葛波蔚祝國(guó)邦陸磊曲潔于東升李秋香

:、、、、、、、、、、

任衛(wèi)紅胡紅升陳雪鴻馮冬芹王江波張宗喜張宇翔畢馬寧沙淼淼李明黎水林于晴李超

、、、、、、、、、、、、、

劉之濤袁靜霍珊珊黃順京尹湘培蘇艷芳陶源陳雪秀于俊杰沈錫鏞杜靜周穎吳薇劉志宇

、、、、、、、、、、、、、、

宮月王昱鑌祿凱章恒高亞楠段偉恒馬閩賈馳千陸耿虹高夢(mèng)州趙泰孫曉軍許鳳凱王紹杰

、、、、、、、、、、、、、、

馬紅霞劉美麗

、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22239—2008。

Ⅲ

GB/T22239—2019

引言

為了配合中華人民共和國(guó)網(wǎng)絡(luò)安全法的實(shí)施同時(shí)適應(yīng)云計(jì)算移動(dòng)互聯(lián)物聯(lián)網(wǎng)工業(yè)控制和大

《》,、、、

數(shù)據(jù)等新技術(shù)新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展需對(duì)進(jìn)行修訂修訂

、,GB/T22239—2008,

的思路和方法是調(diào)整原國(guó)家標(biāo)準(zhǔn)的內(nèi)容針對(duì)共性安全保護(hù)需求提出安全通用要

GB/T22239—2008,

求針對(duì)云計(jì)算移動(dòng)互聯(lián)物聯(lián)網(wǎng)工業(yè)控制和大數(shù)據(jù)等新技術(shù)新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出

,、、、、

安全擴(kuò)展要求形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)

,。

本標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

。

與本標(biāo)準(zhǔn)相關(guān)的標(biāo)準(zhǔn)包括

:

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南

———GB/T25058;

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

———GB/T22240;

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

———GB/T25070;

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

———GB/T28448;

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南

———GB/T28449。

在本標(biāo)準(zhǔn)中黑體字部分表示較高等級(jí)中增加或增強(qiáng)的要求

,。

Ⅳ

GB/T22239—2019

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全通用要求和安全擴(kuò)展

要求

。

本標(biāo)準(zhǔn)適用于指導(dǎo)分等級(jí)的非涉密對(duì)象的安全建設(shè)和監(jiān)督管理

。

注第五級(jí)等級(jí)保護(hù)對(duì)象是非常重要的監(jiān)督管理對(duì)象對(duì)其有特殊的管理模式和安全要求所以不在本標(biāo)準(zhǔn)中進(jìn)行

:,,

描述

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB17859

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

GB/T22240

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

GB/T32919—2016

3術(shù)語(yǔ)和定義