GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T22239—2019

代替

GB/T22239—2008

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護基本要求

Informationsecuritytechnology—

Baselineforclassifiedprotectionofcybersecurity

2019-05-10發(fā)布2019-12-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T22239—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

網(wǎng)絡(luò)安全等級保護概述

5…………………3

等級保護對象

5.1………………………3

不同級別的安全保護能力

5.2…………4

安全通用要求和安全擴展要求

5.3……………………4

第一級安全要求

6…………………………4

安全通用要求

6.1………………………4

云計算安全擴展要求

6.2………………9

移動互聯(lián)安全擴展要求

6.3……………10

物聯(lián)網(wǎng)安全擴展要求

6.4………………10

工業(yè)控制系統(tǒng)安全擴展要求

6.5………………………11

第二級安全要求

7…………………………12

安全通用要求

7.1………………………12

云計算安全擴展要求

7.2………………21

移動互聯(lián)安全擴展要求

7.3……………23

物聯(lián)網(wǎng)安全擴展要求

7.4………………24

工業(yè)控制系統(tǒng)安全擴展要求

7.5………………………24

第三級安全要求

8…………………………26

安全通用要求

8.1………………………26

云計算安全擴展要求

8.2………………38

移動互聯(lián)安全擴展要求

8.3……………40

物聯(lián)網(wǎng)安全擴展要求

8.4………………42

工業(yè)控制系統(tǒng)安全擴展要求

8.5………………………43

第四級安全要求

9…………………………45

安全通用要求

9.1………………………45

云計算安全擴展要求

9.2………………57

移動互聯(lián)安全擴展要求

9.3……………60

物聯(lián)網(wǎng)安全擴展要求

9.4………………61

工業(yè)控制系統(tǒng)安全擴展要求

9.5………………………63

第五級安全要求

10………………………64

附錄規(guī)范性附錄關(guān)于安全通用要求和安全擴展要求的選擇和使用

A()……………65

Ⅰ

GB/T22239—2019

附錄規(guī)范性附錄關(guān)于等級保護對象整體安全保護能力的要求

B()…………………69

附錄規(guī)范性附錄等級保護安全框架和關(guān)鍵技術(shù)使用要求

C()………70

附錄資料性附錄云計算應(yīng)用場景說明

D()……………72

附錄資料性附錄移動互聯(lián)應(yīng)用場景說明

E()…………73

附錄資料性附錄物聯(lián)網(wǎng)應(yīng)用場景說明

F()……………74

附錄資料性附錄工業(yè)控制系統(tǒng)應(yīng)用場景說明

G()……………………75

附錄資料性附錄大數(shù)據(jù)應(yīng)用場景說明

H()……………78

參考文獻

……………………83

Ⅱ

GB/T22239—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求與

GB/T22239—2008《》,

相比主要變化如下

GB/T22239—2008,:

將標(biāo)準(zhǔn)名稱變更為信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

———《》;

調(diào)整分類為安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境安全管理中心安全

———、、、、、

管理制度安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理

、、、、;

調(diào)整各個級別的安全要求為安全通用要求云計算安全擴展要求移動互聯(lián)安全擴展要求物

———、、、

聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求

;

取消了原來安全控制點的標(biāo)注增加一個附錄描述等級保護對象的定級結(jié)果和安

———S、A、G,A

全要求之間的關(guān)系說明如何根據(jù)定級結(jié)果選擇安全要求

,;

調(diào)整了原來附錄和附錄的順序增加了附錄描述網(wǎng)絡(luò)安全等級保護總體框架并提出

———AB,C,

關(guān)鍵技術(shù)使用要求

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級保護評估中心國家能源局信息中心

:()、、

阿里云計算有限公司中國科學(xué)院信息工程研究所信息安全國家重點實驗室新華三技術(shù)有限公司

、()、、

華為技術(shù)有限公司啟明星辰信息技術(shù)集團股份有限公司北京鼎普科技股份有限公司中國電子信息

、、、

產(chǎn)業(yè)集團有限公司第六研究所公安部第一研究所國家信息中心山東微分電子科技有限公司中國電

、、、、

子科技集團公司第十五研究所信息產(chǎn)業(yè)信息安全測評中心浙江大學(xué)工業(yè)和信息化部計算機與微電

()、、

子發(fā)展研究中心中國軟件評測中心浙江國利信安科技有限公司機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研

()、、

究所杭州科技職業(yè)技術(shù)學(xué)院

、。

本標(biāo)準(zhǔn)主要起草人馬力陳廣勇張振峰郭啟全葛波蔚祝國邦陸磊曲潔于東升李秋香

:、、、、、、、、、、

任衛(wèi)紅胡紅升陳雪鴻馮冬芹王江波張宗喜張宇翔畢馬寧沙淼淼李明黎水林于晴李超

、、、、、、、、、、、、、

劉之濤袁靜霍珊珊黃順京尹湘培蘇艷芳陶源陳雪秀于俊杰沈錫鏞杜靜周穎吳薇劉志宇

、、、、、、、、、、、、、、

宮月王昱鑌祿凱章恒高亞楠段偉恒馬閩賈馳千陸耿虹高夢州趙泰孫曉軍許鳳凱王紹杰

、、、、、、、、、、、、、、

馬紅霞劉美麗

、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22239—2008。

Ⅲ

GB/T22239—2019

引言

為了配合中華人民共和國網(wǎng)絡(luò)安全法的實施同時適應(yīng)云計算移動互聯(lián)物聯(lián)網(wǎng)工業(yè)控制和大

《》,、、、

數(shù)據(jù)等新技術(shù)新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作的開展需對進行修訂修訂

、,GB/T22239—2008,

的思路和方法是調(diào)整原國家標(biāo)準(zhǔn)的內(nèi)容針對共性安全保護需求提出安全通用要

GB/T22239—2008,

求針對云計算移動互聯(lián)物聯(lián)網(wǎng)工業(yè)控制和大數(shù)據(jù)等新技術(shù)新應(yīng)用領(lǐng)域的個性安全保護需求提出

,、、、、

安全擴展要求形成新的網(wǎng)絡(luò)安全等級保護基本要求標(biāo)準(zhǔn)

,。

本標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全等級保護相關(guān)系列標(biāo)準(zhǔn)之一

。

與本標(biāo)準(zhǔn)相關(guān)的標(biāo)準(zhǔn)包括

:

信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南

———GB/T25058;

信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南

———GB/T22240;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求

———GB/T25070;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求

———GB/T28448;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南

———GB/T28449。

在本標(biāo)準(zhǔn)中黑體字部分表示較高等級中增加或增強的要求

,。

Ⅳ

GB/T22239—2019

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護基本要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展

要求

。

本標(biāo)準(zhǔn)適用于指導(dǎo)分等級的非涉密對象的安全建設(shè)和監(jiān)督管理

。

注第五級等級保護對象是非常重要的監(jiān)督管理對象對其有特殊的管理模式和安全要求所以不在本標(biāo)準(zhǔn)中進行

:,,

描述

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則

GB17859

信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南

GB/T22240

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)云計算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)云計算服務(wù)安全能力要求

GB/T31168—2014

信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

GB/T32919—2016

3術(shù)語和定義