《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》

GB/T22240—20XX

網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)方法和定級(jí)流程。

本標(biāo)準(zhǔn)適用于指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者開展等級(jí)保護(hù)對(duì)象的定級(jí)工作。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T31167信息安全技術(shù)云計(jì)算服務(wù)安全指南

3術(shù)語(yǔ)和定義

GB17859-1999、GB/T25069-2010、GB/T22239和GB/T31167界定的以及下列術(shù)語(yǔ)和定義適用于本

文件。

3.1

等級(jí)保護(hù)對(duì)象targetofclassifiedprotection

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的作用對(duì)象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、

使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等。

3.2

基礎(chǔ)信息網(wǎng)絡(luò)basicinformationnetwork

為信息流通、網(wǎng)絡(luò)運(yùn)行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施，包括電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)、

業(yè)務(wù)專網(wǎng)等。

3.3

網(wǎng)絡(luò)network

由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、

交換、處理的系統(tǒng)。

1

GB/T22240—20XX

3.4

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

公共通信和信息服務(wù)、能源、金融、交通、水利、公共服務(wù)和電子政務(wù)等重要行業(yè)和領(lǐng)域以及其他

一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生和公共利益的網(wǎng)絡(luò)。

3.5

大數(shù)據(jù)平臺(tái)bigdataplatform

采用分布式存儲(chǔ)和計(jì)算技術(shù)，提供大數(shù)據(jù)的訪問、處理和存儲(chǔ)，支撐大數(shù)據(jù)應(yīng)用安全高效運(yùn)行的軟

硬件集合。

3.6

客體object

受法律保護(hù)的、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系。

3.7

客觀方面objective

對(duì)客體造成侵害的客觀外在表現(xiàn)，包括侵害方式和侵害結(jié)果等。

4定級(jí)原理及流程

4.1安全保護(hù)等級(jí)

根據(jù)等級(jí)保護(hù)相關(guān)管理文件，等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)分為以下五級(jí)：

a)第一級(jí)，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損

害國(guó)家安全、社會(huì)秩序和公共利益；

b)第二級(jí)，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或

者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全；

c)第三級(jí)，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，

或者對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害；

d)第四級(jí)，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家

安全造成嚴(yán)重?fù)p害；

e)第五級(jí)，等級(jí)保護(hù)對(duì)象受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

4.2定級(jí)要素

4.2.1定級(jí)要素概述

等級(jí)保護(hù)對(duì)象的級(jí)別由兩個(gè)定級(jí)要素決定：

a)受侵害的客體；

b)對(duì)客體的侵害程度。

4.2.2受侵害的客體

等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：

a)公民、法人和其他組織的合法權(quán)益；

2

GB/T22240—20XX

b)社會(huì)秩序、公共利益；

c)國(guó)家安全。

侵害國(guó)家安全的事項(xiàng)包括以下方面：

——影響國(guó)家政權(quán)穩(wěn)固和主權(quán)完整；

——影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)穩(wěn)定；

——影響國(guó)家經(jīng)濟(jì)秩序和文化實(shí)力；

——影響宗教活動(dòng)秩序和反恐能力建設(shè)；

——其他影響國(guó)家安全的事項(xiàng)。

侵害社會(huì)秩序的事項(xiàng)包括以下方面：

——影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序；

——影響各種類型的經(jīng)濟(jì)活動(dòng)秩序；

——影響各行業(yè)的科研、生產(chǎn)秩序；

——影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；

——其他影響社會(huì)秩序的事項(xiàng)。

侵害公共利益的事項(xiàng)包括以下方面：

——影響社會(huì)成員使用公共設(shè)施；

——影響社會(huì)成員獲取公開信息資源；

——影響社會(huì)成員接受公共服務(wù)等方面；

——其他影響公共利益的事項(xiàng)。

侵害公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所

享有的一定的社會(huì)權(quán)利和利益等受到損害。

4.2.3對(duì)客體的侵害程度

對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過(guò)對(duì)等級(jí)保護(hù)對(duì)象

的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過(guò)危害方式、危害后果和危

害程度加以描述。

等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：

a)造成一般損害；

b)造成嚴(yán)重?fù)p害；

c)造成特別嚴(yán)重?fù)p害。

三種侵害程度的描述如下：

——一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的

法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害；

——嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重

的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害；

——特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法

執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)

人造成非常嚴(yán)重?fù)p害。

4.3定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系如表1所示。

表1定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

3

GB/T22240—20XX

對(duì)客體的侵害程度

受侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第三級(jí)

社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)

國(guó)家安全第三級(jí)第四級(jí)第五級(jí)

4.4定級(jí)流程

等級(jí)保護(hù)對(duì)象定級(jí)工作的一般流程如圖1所示：

確定定級(jí)對(duì)象

初步確定等級(jí)

專家評(píng)審

主管部門審核

公安機(jī)關(guān)備案審查

圖1等級(jí)保護(hù)對(duì)象定級(jí)工作一般流程

各級(jí)等級(jí)保護(hù)對(duì)象定級(jí)工作具體要求參見附錄B。

5確定定級(jí)對(duì)象

5.1定級(jí)對(duì)象的基本特征

作為定級(jí)對(duì)象的網(wǎng)絡(luò)應(yīng)具有如下基本特征：

a)具有確定的主要安全責(zé)任主體；

b)承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用；

c)包含相互關(guān)聯(lián)的多個(gè)資源。

注1：主要安全責(zé)任主體包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會(huì)團(tuán)體等其他組織；

注2：應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備作為定級(jí)對(duì)象。

在確定定級(jí)對(duì)象時(shí)，基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)

絡(luò)和大數(shù)據(jù)在滿足以上基本特征的基礎(chǔ)上，還應(yīng)分別遵循5.2、5.3、5.4、5.5、5.6和5.7的相關(guān)要求。

4

GB/T22240—20XX

5.2基礎(chǔ)信息網(wǎng)絡(luò)

對(duì)于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應(yīng)分別依據(jù)服務(wù)類型、服務(wù)地域和安全責(zé)

任主體等因素將其劃分為不同的定級(jí)對(duì)象。

跨省業(yè)務(wù)專網(wǎng)可作為一個(gè)整體對(duì)象定級(jí)，也可以分區(qū)域劃分為若干個(gè)定級(jí)對(duì)象。

5.3工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)主要包括現(xiàn)場(chǎng)采集/執(zhí)行、現(xiàn)場(chǎng)控制、過(guò)程控制和生產(chǎn)管理等特征要素。其中，現(xiàn)場(chǎng)

采集/執(zhí)行、現(xiàn)場(chǎng)控制和過(guò)程控制等要素應(yīng)作為一個(gè)整體對(duì)象定級(jí)，各要素不單獨(dú)定級(jí)；生產(chǎn)管理要素

可單獨(dú)定級(jí)。

對(duì)于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、責(zé)任主體、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定

級(jí)對(duì)象。

5.4云計(jì)算平臺(tái)

在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)，云租戶側(cè)的等級(jí)保護(hù)對(duì)象

也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí)。

對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。

5.5物聯(lián)網(wǎng)

物聯(lián)網(wǎng)主要包括感知、網(wǎng)絡(luò)傳輸和處理應(yīng)用等特征要素，應(yīng)將以上要素作為一個(gè)整體對(duì)象定級(jí)，各

要素不單獨(dú)定級(jí)。

5.6采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)

采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)主要包括移動(dòng)終端、移動(dòng)應(yīng)用、無(wú)線網(wǎng)絡(luò)等特征要素，應(yīng)與相關(guān)有線網(wǎng)絡(luò)

業(yè)務(wù)系統(tǒng)作為一個(gè)整體對(duì)象定級(jí)。

5.7大數(shù)據(jù)

大數(shù)據(jù)應(yīng)作為單獨(dú)定級(jí)對(duì)象進(jìn)行定級(jí)；安全責(zé)任主體相同的大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)和應(yīng)用可作為一個(gè)

整體對(duì)象定級(jí)。

6初步確定等級(jí)

6.1定級(jí)方法概述

對(duì)于一般的網(wǎng)絡(luò)，其定級(jí)方法應(yīng)按照以下描述進(jìn)行；對(duì)于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)和大數(shù)據(jù)平臺(tái)

等起支撐作用的網(wǎng)絡(luò)，其定級(jí)方法應(yīng)參照6.5。

定級(jí)對(duì)象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對(duì)客體的侵害程

度可能不同，因此，安全保護(hù)等級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角

度反映的定級(jí)對(duì)象安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)；從系統(tǒng)服務(wù)安全角度反映的定級(jí)對(duì)象安全保

護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。

定級(jí)方法如下：

a)確定受到破壞時(shí)所侵害的客體

1)確定業(yè)務(wù)信息受到破壞時(shí)所侵害的客體；

2)確定系統(tǒng)服務(wù)受到侵害時(shí)所侵害的客體。

5

GB/T22240—20XX

b)確定對(duì)客體的侵害程度

1)根據(jù)不同的受侵害客體，分別評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度；

2)根據(jù)不同的受侵害客體，分別評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度。

c)確定安全保護(hù)等級(jí)

1)確定業(yè)務(wù)信息安全保護(hù)等級(jí)；

2)確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)；

3)將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者初步確定為定級(jí)對(duì)象的安全

保護(hù)等級(jí)。

定級(jí)方法的流程示意圖參見附錄A。

6.2確定受侵害的客體

定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國(guó)家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織

的合法權(quán)益。

確定受侵害的客體時(shí)，應(yīng)首先判斷是否侵害國(guó)家安全，然后判斷是否侵害社會(huì)秩序或公眾利益，最

后判斷是否侵害公民、法人和其他組織的合法權(quán)益。

6.3確定對(duì)客體的侵害程度

6.3.1侵害的客觀方面

在客觀方面，對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)信息安全的破壞和

對(duì)網(wǎng)絡(luò)服務(wù)的破壞，其中信息安全是指確保網(wǎng)絡(luò)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是

指確保定級(jí)對(duì)象可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安

全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過(guò)程中，需要分別處理這兩種危

害方式。

業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：

——影響行使工作職能；

——導(dǎo)致業(yè)務(wù)能力下降；

——引起法律糾紛；

——導(dǎo)致財(cái)產(chǎn)損失；

——造成社會(huì)不良影響；

——對(duì)其他組織和個(gè)人造成損失；

——其他影響。

6.3.2綜合判定侵害程度

侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn)，因此，應(yīng)首先根據(jù)不同的受侵害客體、不同危害

后果分別確定其危害程度。對(duì)不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同，例

如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從定級(jí)對(duì)象服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)

量等不同方面確定，業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)

費(fèi)用等方面進(jìn)行確定。

在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí)，應(yīng)參照以下不同的判別基準(zhǔn)：

——如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷

侵害程度的基準(zhǔn)；

——如果受侵害客體是社會(huì)秩序、公共利益或國(guó)家安全，則應(yīng)以整個(gè)行業(yè)或國(guó)家的總體利益作為判

6

GB/T22240—20XX

斷侵害程度的基準(zhǔn)。

業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全被破壞后對(duì)客體的侵害程度，由對(duì)不同危害結(jié)果的危害程度進(jìn)行綜合

評(píng)定得出。由于各行業(yè)定級(jí)對(duì)象所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)各不相同，業(yè)務(wù)信息安全和系統(tǒng)服務(wù)

安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系

統(tǒng)服務(wù)特點(diǎn)，制定危害程度的綜合評(píng)定方法，并給出侵害不同客體造成一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重

損害的具體定義。

6.4確定安全保護(hù)等級(jí)

根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表2業(yè)務(wù)信息安全保護(hù)

等級(jí)矩陣表，即可得到業(yè)務(wù)信息安全保護(hù)等級(jí)。

表2業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表

對(duì)相應(yīng)客體的侵害程度

業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第三級(jí)

社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)

國(guó)家安全第三級(jí)第四級(jí)第五級(jí)

根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)表3系統(tǒng)服務(wù)安全保護(hù)

等級(jí)矩陣表，即可得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)。

表3系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表

對(duì)相應(yīng)客體的侵害程度

系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第三級(jí)

社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)

國(guó)家安全第三級(jí)第四級(jí)第五級(jí)

定級(jí)對(duì)象的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。

6.5特定定級(jí)對(duì)象定級(jí)說(shuō)明

對(duì)于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)等支撐類網(wǎng)絡(luò)，應(yīng)根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)

對(duì)象的重要程度確定其安全保護(hù)等級(jí)，原則上應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。

對(duì)于大數(shù)據(jù)，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價(jià)值等因素，根據(jù)數(shù)據(jù)資源（完整性、保密性、可用性）

遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素

確定其安全保護(hù)等級(jí)。原則上，大數(shù)據(jù)安全保護(hù)等級(jí)不低于第三級(jí)。

對(duì)于確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，原則上其安全保護(hù)等級(jí)不低于第三級(jí)。

7專家評(píng)審

定級(jí)對(duì)象的運(yùn)營(yíng)、使用單位應(yīng)組織信息安全專家和業(yè)務(wù)專家等，對(duì)初步定級(jí)結(jié)果的合理性進(jìn)行評(píng)審，

出具專家評(píng)審意見。

7

GB/T22240—20XX

8主管部門審核

定級(jí)對(duì)象的運(yùn)營(yíng)、使用單位應(yīng)將初步定級(jí)結(jié)果上報(bào)行業(yè)主管部門或上級(jí)主管部門進(jìn)行審核。

9公安機(jī)關(guān)備案審查

定級(jí)對(duì)象的運(yùn)營(yíng)、使用單位應(yīng)按照相關(guān)管理規(guī)定，將初步定級(jí)結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審查，審

查不通過(guò)，其運(yùn)營(yíng)使用單位應(yīng)組織重新定級(jí)；審查通過(guò)后最終確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。

10等級(jí)變更

當(dāng)?shù)燃?jí)保護(hù)對(duì)象所處理的信息、業(yè)務(wù)狀態(tài)和系統(tǒng)服務(wù)范圍發(fā)生變化，可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)

服務(wù)安全受到破壞后的受侵害客體和對(duì)客體的侵害程度發(fā)生變化時(shí)，應(yīng)根據(jù)本標(biāo)準(zhǔn)要求重新確定定級(jí)對(duì)

象和安全保護(hù)等級(jí)。

8

GB/T22240—20XX

AA

附錄A

附錄B（資料性附錄）

附錄C定級(jí)方法流程

等級(jí)保護(hù)對(duì)象定級(jí)方法流程如圖A.1所示：

確定業(yè)務(wù)信息安全受到確定業(yè)務(wù)信息安全受到

破壞時(shí)所侵害的客體破壞時(shí)所侵害的客體

綜合評(píng)定對(duì)客體的侵害程度綜合評(píng)定對(duì)客體的侵害程度

確定業(yè)務(wù)信息安全保護(hù)等級(jí)確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)

初步確定定級(jí)對(duì)象

的安全保護(hù)等級(jí)

圖A.1定級(jí)方法流程示意圖

9

GB/T22240—20XX

BB

附錄D

附錄E（資料性附錄）

附錄F各級(jí)等級(jí)保護(hù)對(duì)象定級(jí)工作要求

各級(jí)等級(jí)保護(hù)對(duì)象定級(jí)工作具體要求如下：

a)安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的等級(jí)保護(hù)對(duì)象，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)依據(jù)本標(biāo)準(zhǔn)進(jìn)行

初步定級(jí)、專家評(píng)審、主管部門審批、公安機(jī)關(guān)備案審查，最終確定其安全保護(hù)等級(jí)；

b)安全保護(hù)等級(jí)初步確定為第四級(jí)的等級(jí)保護(hù)對(duì)象，在開展專家評(píng)審工作時(shí)，其運(yùn)營(yíng)使用單位應(yīng)

當(dāng)請(qǐng)國(guó)家信息安全等級(jí)保護(hù)專家評(píng)審委員會(huì)進(jìn)行評(píng)審。

10

GB/T22240—20XX

參?考?文?獻(xiàn)

[1]GB/T31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

[2]NationalInstituteofStandardsandTechnologySpecialPublication800-60,Revision

1,GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories,

August2008.

_________________________________

11

ICS35.40

L80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T22240—20XX

代替GB/T22240-2008

信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

Informationsecuritytechnology-

Guidelinesforgradingofclassifiedcybersecurityprotection

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

（征求意見稿）

（本稿完成日期：2017.10.25）

20XX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/T22240—20XX

AA

附錄A

附錄B（資料性附錄）

附錄C定級(jí)方法流程

等級(jí)保護(hù)對(duì)象定級(jí)方法流程如圖A.1所示：

確定業(yè)務(wù)信息安全受到確定業(yè)務(wù)信息安全受到

破壞時(shí)所侵害的客體破壞時(shí)所侵害的客體

綜合評(píng)定對(duì)客體的侵害程度綜合評(píng)定對(duì)客體的侵害程度

確定業(yè)務(wù)信息安全保護(hù)等級(jí)