犐犆犛犔犌犅犜犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犆犾犪狊狊犻犳犻犮犪狋犻狅狀犵狌犻犱犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犮狔犫犲狉狊犲犮狌狉犻狋狔犌犅犜目次前言引言范围规范性引用文件术语和定义定级原理及流程安全保护等级定级要素定级要素概述受侵害的客体对客体的侵害程度定级要素与安全保护等级的关系定级流程确定定级对象信息系统定级对象的基本特征云计算平台系统物联网工业控制系统采用移动互联技术的系统通信网络设施数据资源确定安全保护等级定级方法概述确定受侵害的客体确定对客体的侵害程度侵害的客观方面综合判定侵害程度初步确定等级确定安全保护等级等级变更参考文献犌犅犜前言本标准按照给出的规则起草本标准代替信息安全技术信息系统安全等级保护定级指南与相比主要技术变化如下修改了等级保护对象信息系统的定义增加了网络安全通信网络设施数据资源的术语和定义见第章年版的第章增加了通信网络设施和数据资源的定级对象确定方法见增加了特定定级对象定级说明见第章修改了定级流程见年版的请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位公安部第三研究所亚信科技成都有限公司阿里云计算有限公司深圳市腾讯计算机系统有限公司启明星辰信息技术集团股份有限公司审计署计算机技术中心本标准主要起草人曲洁尚旭光黄顺京李明黎水林张振峰郭启全葛波蔚祝国邦陆磊袁静任卫红朱建平马力李升刘东红孙中和王欢沈锡镛杨晓光马闽陈雪秀本标准所代替标准的历次版本发布情况为犌犅犜引言为了配合中华人民共和国网络安全法的实施同时适应云计算移动互联物联网工业控制和大数据等新技术新应用情况下网络安全等级保护工作的开展需对进行修订从等级保护对象定义和定级流程等方面进行补充细化和完善形成新的网络安全等级保护定级指南标准与本标准相关的国家标准包括信息安全技术网络安全等级保护基本要求信息安全技术网络安全等级保护实施指南信息安全技术网络安全等级保护安全设计技术要求信息安全技术网络安全等级保护测评要求信息安全技术网络安全等级保护测评过程指南犌犅犜信息安全技术网络安全等级保护定级指南范围本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件计算机信息系统安全保护等级划分准则信息安全技术网络安全等级保护基本要求信息安全技术术语信息技术安全技术信息安全管理体系概述和词汇信息安全技术云计算服务安全指南信息安全技术工业控制系统安全控制应用指南信息技术大数据术语术语和定义和界定的以及下列术语和定义适用于本文件为了便于使用以下重复列出了上述标准中的某些术语和定义网络安全犮狔犫犲狉狊犲犮狌狉犻狋狔通过采取必要措施防范对网络的攻击侵入干扰破坏和非法使用以及意外事故使网络处于稳定可靠运行的状态以及保障网络数据的完整性保密性可用性的能力定义等级保护对象狋犪狉犵犲狋狅犳犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀网络安全等级保护工作直接作用的对象注主要包括信息系统通信网络设施和数据资源等信息系统犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿应用服务信息技术资产或其他信息处理组件定义注信息系统通常由计算机或者其他信息终端及相关设备组成并按照一定的应用目标和规则进行信息处理或过程控制犌犅犜注典型的信息系统如办公自动化系统云计算平台系统物联网工业控制系统以及采用移动互联技术的系统等通信网络设施狀犲狋狑狅狉犽犻狀犳狉犪狊狋狉狌犮狋狌狉犲为信息流通网络运行等起基础支撑作用的网络设备设施注主要包括电信网广播电视传输网和行业或单位的专用通信网等数据资源犱犪狋犪狉犲狊狅狌狉犮犲狊具有或预期具有价值的数据集合注数据资源多以电子形式存在受侵害的客体狅犫犼犲犮狋狅犳犻狀犳狉犻狀犵犲犿犲狀狋受法律保护的等级保护对象受到破坏时所侵害的社会关系注本标准中简称客体客观方面狅犫犼犲犮狋犻狏犲对客体造成侵害的客观外在表现包括侵害方式和侵害结果等定级原理及流程安全保护等级根据等级保护对象在国家安全经济建设社会生活中的重要程度以及一旦遭到破坏丧失功能或者数据被篡改泄露丢失损毁后对国家安全社会秩序公共利益以及公民法人和其他组织的合法权益的侵害程度等因素等级保护对象的安全保护等级分为以下五级第一级等级保护对象受到破坏后会对相关公民法人和其他组织的合法权益造成一般损害但不危害国家安全社会秩序和公共利益第二级等级保护对象受到破坏后会对相关公民法人和其他组织的合法权益造成严重损害或特别严重损害或者对社会秩序和公共利益造成危害但不危害国家安全第三级等级保护对象受到破坏后会对社会秩序和公共利益造成严重危害或者对国家安全造成危害第四级等级保护对象受到破坏后会对社会秩序和公共利益造成特别严重危害或者对国家安全造成严重危害第五级等级保护对象受到破坏后会对国家安全造成特别严重危害定级要素定级要素概述等级保护对象的定级要素包括受侵害的客体对客体的侵害程度受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面公民法人和其他组织的合法权益犌犅犜社会秩序公共利益国家安全对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定由于对客体的侵害是通过对等级保护对象的破坏实现的因此对客体的侵害外在表现为对等级保护对象的破坏通过侵害方式侵害后果和侵害程度加以描述等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种造成一般损害造成严重损害造成特别严重损害定级要素与安全保护等级的关系定级要素与安全保护等级的关系如表所示表定级要素与安全保护等级的关系受侵害的客体公民法人和其他组织的合法权益社会秩序公共利益国家安全一般损害第一级第二级第三级对客体的侵害程度严重损害第二级第三级第四级定级流程等级保护对象定级工作的一般流程如图所示特别严重损害第二级第四级第五级图等级保护对象定级工作一般流程犌犅犜安全保护等级初步确定为第二级及以上的等级保护对象其网络运营者依据本标准组织进行专家评审主管部门核准和备案审核最终确定其安全保护等级注安全保护等级初步确定为第一级的等级保护对象其网络运营者可依据本标准自行确定最终安全保护等级可不进行专家评审主管部门核准和备案审核确定定级对象信息系统定级对象的基本特征作为定级对象的信息系统应具有如下基本特征具有确定的主要安全责任主体承载相对独立的业务应用包含相互关联的多个资源注主要安全责任主体包括但不限于企业机关和事业单位等法人以及不具备法人资格的社会团体等其他组织注避免将某个单一的系统组件如服务器终端或网络设备作为定级对象在确定定级对象时云计算平台系统物联网工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上还需分别遵循的相关要求云计算平台系统在云计算环境中云服务客户侧的等级保护对象和云服务商侧的云计算平台系统需分别作为单独的定级对象定级并根据不同服务模式将云计算平台系统划分为不同的定级对象对于大型云计算平台宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象物联网物联网主要包括感知网络传输和处理应用等特征要素需将以上要素作为一个整体对象定级各要素不单独定级工业控制系统工业控制系统主要包括现场采集执行现场控制过程控制和生产管理等特征要素其中现场采集执行现场控制和过程控制等要素需作为一个整体对象定级各要素不单独定级生产管理要素宜单独定级对于大型工业控制系统可根据系统功能责任主体控制对象和生产厂商等因素划分为多个定级对象采用移动互联技术的系统采用移动互联技术的系统主要包括移动终端移动应用和无线网络等特征要素可作为一个整体独立定级或与相关联业务系统一起定级各要素不单独定级通信网络设施对于电信网广播电视传输网等通信网络设施宜根据安全责任主体服务类型或服务地域等因素将其划分为不同的定级对象跨省的行业或单位的专用通信网可作为一个整体对象定级或分区域划分为若干个定级对象犌犅犜数据资源数据资源可独立定级当安全责任主体相同时大数据大数据平台系统宜作为一个整体对象定级当安全责任主体不同时大数据应独立定级确定安全保护等级定级方法概述定级对象的定级方法按照以下描述进行对于通信网络设施云计算平台系统等起支撑作用的定级对象和数据资源还需参照定级对象的安全主要包括业务信息安全和系统服务安全与之相关的受侵害客体和对客体的侵害程度可能不同因此安全保护等级由业务信息安全和系统服务安全两方面确定从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级定级方法流程示意图如图所示图定级方法流程示意图具体流程如下确定受到破坏时所侵害的客体确定业务信息受到破坏时所侵害的客体确定系统服务受到侵害时所侵害的客体确定对客体的侵害程度根据不同的受侵害客体分别评定业务信息安全被破坏对客体的侵害程度根据不同的受侵害客体分别评定系统服务安全被破坏对客体的侵害程度确定安全保护等级确定业务信息安全保护等级确定系统服务安全保护等级犌犅犜将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级确定受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全社会秩序公众利益以及公民法人和其他组织的合法权益侵害国家安全的事项包括以下方面影响国家政权稳固和领土主权海洋权益完整影响国家统一民族团结和社会稳定影响国家社会主义市场经济秩序和文化实力其他影响国家安全的事项侵害社会秩序的事项包括以下方面影响国家机关企事业单位社会团体的生产秩序经营秩序教学科研秩序医疗卫生秩序影响公共场所的活动秩序公共交通秩序影响人民群众的生活秩序其他影响社会秩序的事项侵害公共利益的事项包括以下方面影响社会成员使用公共设施影响社会成员获取公开数据资源影响社会成员接受公共服务等方面其他影响公共利益的事项侵害公民法人和其他组织的合法权益是指受法律保护的公民法人和其他组织所享有的社会权利和利益等受到损害确定受侵害的客体时首先判断是否侵害国家安全然后判断是否侵害社会秩序或公众利益最后判断是否侵害公民法人和其他组织的合法权益确定对客体的侵害程度侵害的客观方面在客观方面对客体的侵害外在表现为对定级对象的破坏其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏其中业务信息安全是指确保定级对象中信息的保密性完整性和可用性等系统服务安全是指确保定级对象可以及时有效地提供服务以完成预定的业务目标由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同在定级过程中需要分别处理这两种侵害方式业务信息安全和系统服务安全受到破坏后可能产生以下侵害后果影响行使工作职能导致业务能力下降引起法律纠纷导致财产损失造成社会不良影响对其他组织和个人造成损失其
GB-T 22240-2020 网络安全等级保护定级指南
文档预览
中文文档
13 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共13页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-26 05:33:40上传分享