《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南-編制說明》

一、工作簡況

本標(biāo)準(zhǔn)編寫任務(wù)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會下達(dá)，2017年4月立項，

具體由亞信科技（成都）有限公司負(fù)責(zé)具體編制工作，參與單位包括公安部信息

安全等級保護(hù)評估中心、阿里云計算有限公司、深圳市騰訊計算機(jī)系統(tǒng)有限公司、

啟明星辰信息技術(shù)集團(tuán)有限公司。

本標(biāo)準(zhǔn)主要工作過程如下：

自2017年4月進(jìn)行該標(biāo)準(zhǔn)項目申報以來，成立了由亞信科技（成都）有限

公司、公安部信息安全等級保護(hù)評估中心、阿里云計算有限公司、深圳市騰訊計

算機(jī)系統(tǒng)有限公司、啟明星辰信息技術(shù)集團(tuán)有限公司等共同組織的標(biāo)準(zhǔn)編制組。

編制組人員包括：李明、曲潔、張振峰、任衛(wèi)紅、袁靜、朱建平、馬力、劉東紅、

王歡、沈錫鏞楊曉光、段偉恒。前期標(biāo)準(zhǔn)編制組組織人員進(jìn)行相關(guān)技術(shù)調(diào)研，初

步確定修訂思路與主要內(nèi)容。在此基礎(chǔ)上邀請電力、廣電、海關(guān)等重要行業(yè)專家

進(jìn)行技術(shù)研討，與會專家分別針對標(biāo)準(zhǔn)修訂思路、主體方向、具體技術(shù)細(xì)節(jié)等方

面提出了很好的建議。

2017年5月，標(biāo)準(zhǔn)編制組初步形成標(biāo)準(zhǔn)草案（第1稿），并組織本領(lǐng)域及行業(yè)

安全專家進(jìn)行研討。與會專家針對標(biāo)準(zhǔn)術(shù)語、定級流程、大數(shù)據(jù)定級方法、云計

算平臺定級方法、工業(yè)控制系定級方法以及標(biāo)準(zhǔn)文本規(guī)范性等方面提出了修改意

見和建議。編制組認(rèn)真研究、分析了專家意見，并根據(jù)專家意見完善了標(biāo)準(zhǔn)文本。

2017年9月14日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織專家對該標(biāo)準(zhǔn)草案進(jìn)

行了第一次專家評審會。與會專家針對大數(shù)據(jù)定級對象、定級流程、術(shù)語等方面

內(nèi)容提出了修改意見和建議。編制組會后認(rèn)真組織進(jìn)行了研究分析，根據(jù)專家意

見進(jìn)一步修改完善了標(biāo)準(zhǔn)草案。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1994年國務(wù)院頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，

“計算機(jī)信息系統(tǒng)實行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具

體辦法，由公安部會同有關(guān)部門制定”。為確保信息系統(tǒng)的運(yùn)維、使用單位科學(xué)、

合理的確定系統(tǒng)的安全保護(hù)等級，進(jìn)一步推動等級保護(hù)工作，2008年頒布了國家

標(biāo)準(zhǔn)《信息安全技術(shù)信息安全等級保護(hù)定級指南》）（GB/T22240-2008）。

隨著國家標(biāo)準(zhǔn)的落地實施已有近十年時間，各信息系統(tǒng)運(yùn)維使用單位按照該

標(biāo)準(zhǔn)的定級方法和要求均開展了各單位的定級工作，有力的推動了等級保護(hù)工

作。但在這個過程，也出現(xiàn)了個別單位定級不準(zhǔn)，甚至級別差別較大的現(xiàn)象，另

外國家標(biāo)準(zhǔn)未明確針對新技術(shù)新應(yīng)用的定級方法提出針對性的定級方法。為進(jìn)一

步在標(biāo)準(zhǔn)中明確以上內(nèi)容，特別是加快推動新技術(shù)新應(yīng)用等級保護(hù)工作的開展，

有必要針對該標(biāo)準(zhǔn)進(jìn)行修訂，以便推動更好的開展等級保護(hù)各項工作。

1、編制原則

本標(biāo)準(zhǔn)在編制過程中遵循以下原則：

a)實用性原則

本標(biāo)準(zhǔn)在編制過程中，綜合考慮我國目前網(wǎng)絡(luò)安全工作需要，各類等級保護(hù)

對象安全現(xiàn)狀，在充分全面的調(diào)研基礎(chǔ)上開展，使得標(biāo)準(zhǔn)更貼近實際需要，保證

可操作性。

b)先進(jìn)性原則

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗的總結(jié)，同時也代表技術(shù)發(fā)展的趨勢。本標(biāo)準(zhǔn)在編制過程中，

充分調(diào)研國外相關(guān)方面技術(shù)經(jīng)驗，吸收其精華，保證標(biāo)準(zhǔn)的技術(shù)先進(jìn)性。

2、主要修訂內(nèi)容

本標(biāo)準(zhǔn)的主要修訂內(nèi)容包括以下部分：

a)標(biāo)準(zhǔn)名稱：為適應(yīng)網(wǎng)絡(luò)安全法，配合落實“網(wǎng)絡(luò)安全等級保護(hù)制度”，標(biāo)

準(zhǔn)的名稱由原來的GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保

護(hù)定級指南》改為“信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南”

b)術(shù)語定義：新增了網(wǎng)絡(luò)、基礎(chǔ)信息網(wǎng)絡(luò)、關(guān)鍵信息基礎(chǔ)設(shè)施等術(shù)語定義，

修訂了等級保護(hù)對象等術(shù)語定義。

c)定級對象確定方法：除保留原有的定級對象確定方法外，增加了對基礎(chǔ)

信息網(wǎng)絡(luò)、大數(shù)據(jù)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等

定級對象的確定方法。

d)確定安全保護(hù)等級方法：增加了基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)、

物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等定級對象的安全保護(hù)等級方法的特

別說明。

e)定級流程：明確了定級工作的流程，即為：確定定級對象—初步確定等

級—專家評審—主管部門審核—公安機(jī)關(guān)備案審查。

f)增加附錄A定級方法流程和附錄B各級等級保護(hù)對象定級工作要求。

3、主要章節(jié)內(nèi)容

本標(biāo)準(zhǔn)共分為10章，2個附錄，每章內(nèi)容如下：

第1、2、3章，為標(biāo)準(zhǔn)的常規(guī)性描述，包括范圍、規(guī)范性引用文件、術(shù)語和

定義。

第4章為定級原理及流程。給出了等級保護(hù)對象五個安全保護(hù)等級的具體定

義，將等級保護(hù)對象受到破壞時所侵害的客體和對客體造成的侵害程度兩方面因

素作為定級要素，并給出了定級要素與等級保護(hù)對象安全保護(hù)等級的對應(yīng)關(guān)系。

給出了定級工作的流程步驟。

第5章為確定定級對象。將基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、工業(yè)控制系統(tǒng)、物

聯(lián)網(wǎng)、大數(shù)據(jù)和使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等確定為不同的定級對象。

第6章為初步確定安全保護(hù)等級，概要描述了定級方法。安全保護(hù)等級由業(yè)

務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的定級對象安

全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級。從系統(tǒng)服務(wù)安全角度反映的定級對象安全

保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保

護(hù)等級的較高者初步確定為定級對象的安全保護(hù)等級。對于大數(shù)據(jù)等定級對象，

應(yīng)根據(jù)數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素確定其安全保護(hù)等級。對于基礎(chǔ)信息網(wǎng)絡(luò)、云

計算平臺等定級對象，應(yīng)根據(jù)其承載或?qū)⒁休d的等級保護(hù)對象的重要程度確定

其安全保護(hù)等級，原則上應(yīng)不低于其承載的等級保護(hù)對象的安全保護(hù)等級。

第7、8、9章為定級工作的后續(xù)工作流程內(nèi)容。

第10章為等級變更。

附錄A為定級方法流程，描述了定級方法的七步步驟。

附錄B為各級等級保護(hù)對象定級工作要求。特別描述了第二級及以上等級保

護(hù)對象的定級工作內(nèi)容以及第四級等級保護(hù)對象的專家評審要求。

三、主要試驗[或驗證]情況分析

在標(biāo)準(zhǔn)修訂過程中，關(guān)于云計算平臺、工業(yè)控制系統(tǒng)的定級工作參照此標(biāo)準(zhǔn)

進(jìn)行了試驗，相關(guān)單位提出了意見和建議，編制組進(jìn)行了分析并修改標(biāo)準(zhǔn)文本。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)內(nèi)容為自主知識產(chǎn)權(quán)。

本標(biāo)準(zhǔn)不涉及專利。

五、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

在標(biāo)準(zhǔn)修訂過程中，分別參考了美國FIPS199、NISTSP800-53A等相關(guān)標(biāo)

準(zhǔn)和要求的最新修訂內(nèi)容，并參考了國際上關(guān)于云計算、供應(yīng)鏈等熱點(diǎn)領(lǐng)域的標(biāo)

準(zhǔn)，這些標(biāo)準(zhǔn)都直接或間接影響了本次標(biāo)準(zhǔn)的修訂內(nèi)容。

六、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。

等級保護(hù)系列標(biāo)準(zhǔn)《基本要求》、《測評要求》、《測評過程指南》等標(biāo)準(zhǔn)也處

于修訂過程，本標(biāo)準(zhǔn)在修訂過程中保持了與其他標(biāo)準(zhǔn)間的相關(guān)性和兼容性。

七、重大分歧意見的處理經(jīng)過和依據(jù)

在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，編制組做

了應(yīng)答和處理，更好地完善了本標(biāo)準(zhǔn)修訂工作。

八、標(biāo)準(zhǔn)性質(zhì)的建議

本項目是對國家推薦性標(biāo)準(zhǔn)GB/T22240-2008的修訂，建議修訂后的標(biāo)準(zhǔn)仍

為國家推薦性標(biāo)準(zhǔn)。

九、貫徹標(biāo)準(zhǔn)的要求和措施建議

無特殊要求。

十、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

標(biāo)準(zhǔn)修訂完成后，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》將替代原

來的GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》。

建議廢止GB/T22240-2