《信息安全技術 網(wǎng)絡安全等級保護定級指南-編制說明》

一、工作簡況

本標準編寫任務由全國信息安全標準化技術委員會下達，2017年4月立項，

具體由亞信科技（成都）有限公司負責具體編制工作，參與單位包括公安部信息

安全等級保護評估中心、阿里云計算有限公司、深圳市騰訊計算機系統(tǒng)有限公司、

啟明星辰信息技術集團有限公司。

本標準主要工作過程如下：

自2017年4月進行該標準項目申報以來，成立了由亞信科技（成都）有限

公司、公安部信息安全等級保護評估中心、阿里云計算有限公司、深圳市騰訊計

算機系統(tǒng)有限公司、啟明星辰信息技術集團有限公司等共同組織的標準編制組。

編制組人員包括：李明、曲潔、張振峰、任衛(wèi)紅、袁靜、朱建平、馬力、劉東紅、

王歡、沈錫鏞楊曉光、段偉恒。前期標準編制組組織人員進行相關技術調(diào)研，初

步確定修訂思路與主要內(nèi)容。在此基礎上邀請電力、廣電、海關等重要行業(yè)專家

進行技術研討，與會專家分別針對標準修訂思路、主體方向、具體技術細節(jié)等方

面提出了很好的建議。

2017年5月，標準編制組初步形成標準草案（第1稿），并組織本領域及行業(yè)

安全專家進行研討。與會專家針對標準術語、定級流程、大數(shù)據(jù)定級方法、云計

算平臺定級方法、工業(yè)控制系定級方法以及標準文本規(guī)范性等方面提出了修改意

見和建議。編制組認真研究、分析了專家意見，并根據(jù)專家意見完善了標準文本。

2017年9月14日，全國信息安全標準化技術委員會組織專家對該標準草案進

行了第一次專家評審會。與會專家針對大數(shù)據(jù)定級對象、定級流程、術語等方面

內(nèi)容提出了修改意見和建議。編制組會后認真組織進行了研究分析，根據(jù)專家意

見進一步修改完善了標準草案。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定，

“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具

體辦法，由公安部會同有關部門制定”。為確保信息系統(tǒng)的運維、使用單位科學、

合理的確定系統(tǒng)的安全保護等級，進一步推動等級保護工作，2008年頒布了國家

標準《信息安全技術信息安全等級保護定級指南》）（GB/T22240-2008）。

隨著國家標準的落地實施已有近十年時間，各信息系統(tǒng)運維使用單位按照該

標準的定級方法和要求均開展了各單位的定級工作，有力的推動了等級保護工

作。但在這個過程，也出現(xiàn)了個別單位定級不準，甚至級別差別較大的現(xiàn)象，另

外國家標準未明確針對新技術新應用的定級方法提出針對性的定級方法。為進一

步在標準中明確以上內(nèi)容，特別是加快推動新技術新應用等級保護工作的開展，

有必要針對該標準進行修訂，以便推動更好的開展等級保護各項工作。

1、編制原則

本標準在編制過程中遵循以下原則：

a)實用性原則

本標準在編制過程中，綜合考慮我國目前網(wǎng)絡安全工作需要，各類等級保護

對象安全現(xiàn)狀，在充分全面的調(diào)研基礎上開展，使得標準更貼近實際需要，保證

可操作性。

b)先進性原則

標準是先進經(jīng)驗的總結，同時也代表技術發(fā)展的趨勢。本標準在編制過程中，

充分調(diào)研國外相關方面技術經(jīng)驗，吸收其精華，保證標準的技術先進性。

2、主要修訂內(nèi)容

本標準的主要修訂內(nèi)容包括以下部分：

a)標準名稱：為適應網(wǎng)絡安全法，配合落實“網(wǎng)絡安全等級保護制度”，標

準的名稱由原來的GB/T22240-2008《信息安全技術信息系統(tǒng)安全等級保

護定級指南》改為“信息安全技術網(wǎng)絡安全等級保護定級指南”

b)術語定義：新增了網(wǎng)絡、基礎信息網(wǎng)絡、關鍵信息基礎設施等術語定義，

修訂了等級保護對象等術語定義。

c)定級對象確定方法：除保留原有的定級對象確定方法外，增加了對基礎

信息網(wǎng)絡、大數(shù)據(jù)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術的網(wǎng)絡等

定級對象的確定方法。

d)確定安全保護等級方法：增加了基礎信息網(wǎng)絡、云計算平臺、大數(shù)據(jù)、

物聯(lián)網(wǎng)、采用移動互聯(lián)技術的網(wǎng)絡等定級對象的安全保護等級方法的特

別說明。

e)定級流程：明確了定級工作的流程，即為：確定定級對象—初步確定等

級—專家評審—主管部門審核—公安機關備案審查。

f)增加附錄A定級方法流程和附錄B各級等級保護對象定級工作要求。

3、主要章節(jié)內(nèi)容

本標準共分為10章，2個附錄，每章內(nèi)容如下：

第1、2、3章，為標準的常規(guī)性描述，包括范圍、規(guī)范性引用文件、術語和

定義。

第4章為定級原理及流程。給出了等級保護對象五個安全保護等級的具體定

義，將等級保護對象受到破壞時所侵害的客體和對客體造成的侵害程度兩方面因

素作為定級要素，并給出了定級要素與等級保護對象安全保護等級的對應關系。

給出了定級工作的流程步驟。

第5章為確定定級對象。將基礎信息網(wǎng)絡、云計算平臺、工業(yè)控制系統(tǒng)、物

聯(lián)網(wǎng)、大數(shù)據(jù)和使用移動互聯(lián)技術的網(wǎng)絡等確定為不同的定級對象。

第6章為初步確定安全保護等級，概要描述了定級方法。安全保護等級由業(yè)

務信息安全和系統(tǒng)服務安全兩方面確定。從業(yè)務信息安全角度反映的定級對象安

全保護等級稱業(yè)務信息安全保護等級。從系統(tǒng)服務安全角度反映的定級對象安全

保護等級稱系統(tǒng)服務安全保護等級。將業(yè)務信息安全保護等級和系統(tǒng)服務安全保

護等級的較高者初步確定為定級對象的安全保護等級。對于大數(shù)據(jù)等定級對象，

應根據(jù)數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素確定其安全保護等級。對于基礎信息網(wǎng)絡、云

計算平臺等定級對象，應根據(jù)其承載或將要承載的等級保護對象的重要程度確定

其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

第7、8、9章為定級工作的后續(xù)工作流程內(nèi)容。

第10章為等級變更。

附錄A為定級方法流程，描述了定級方法的七步步驟。

附錄B為各級等級保護對象定級工作要求。特別描述了第二級及以上等級保

護對象的定級工作內(nèi)容以及第四級等級保護對象的專家評審要求。

三、主要試驗[或驗證]情況分析

在標準修訂過程中，關于云計算平臺、工業(yè)控制系統(tǒng)的定級工作參照此標準

進行了試驗，相關單位提出了意見和建議，編制組進行了分析并修改標準文本。

四、知識產(chǎn)權情況說明

本標準內(nèi)容為自主知識產(chǎn)權。

本標準不涉及專利。

五、采用國際標準和國外先進標準情況

在標準修訂過程中，分別參考了美國FIPS199、NISTSP800-53A等相關標

準和要求的最新修訂內(nèi)容，并參考了國際上關于云計算、供應鏈等熱點領域的標

準，這些標準都直接或間接影響了本次標準的修訂內(nèi)容。

六、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調(diào)性

本標準與現(xiàn)行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。

等級保護系列標準《基本要求》、《測評要求》、《測評過程指南》等標準也處

于修訂過程，本標準在修訂過程中保持了與其他標準間的相關性和兼容性。

七、重大分歧意見的處理經(jīng)過和依據(jù)

在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，編制組做

了應答和處理，更好地完善了本標準修訂工作。

八、標準性質的建議

本項目是對國家推薦性標準GB/T22240-2008的修訂，建議修訂后的標準仍

為國家推薦性標準。

九、貫徹標準的要求和措施建議

無特殊要求。

十、替代或廢止現(xiàn)行相關標準的建議

標準修訂完成后，《信息安全技術網(wǎng)絡安全等級保護定級指南》將替代原

來的GB/T22240-2008《信息安全技術信息系統(tǒng)安全等級保護定級指南》。

建議廢止GB/T22240-2