GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南

范围

本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。

本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。

术语定义

网络安全(cybersecurity)

通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

等级保护对象(target of classified protection)

网络安全等级保护工作直接作用的对象。(主要包括信息系统、通信网络设施和数据资源等)

信息系统(information system)

应用、服务、信息技术资产或其他信息处理组件。(信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制;典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等)

通信网络设施(network infratructure)

为信息流通、网络运行等起支撑作用的网络设备设施。(主要包括电信网、广播电视传输网和行业或单位的专用通信网等。)

数据资源(data resources)

具有或预期具有价值的数据集合。(数据资源多以电子形式存在)

受侵害的客体(object of infringement)

受法律保护的、等级保护对象受到破坏时所侵害的社会关系。(本标准中简称“客体”)

客观方面(objective)

对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。

定级原理及流程

安全保护等级

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:

a)第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;

b)第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;

c)第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成危害;

d)第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;

e)第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。

定级要素

定级要素概述

等级保护对象的定级要素包括:受侵害的客体以及对客体的侵害程度。

受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面:

a)公民、法人和其他组织的合法权益;

b)社会秩序、公共利益;

c)国家安全

对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为堆等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

a)造成一般损害;

b)造成严重损害;

c)造成特别严重损害。

定级要素与安全保护等级的关系

定级要素与安全保护等级的关系 

受侵害的客体

对客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法利益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

定级流程

确定定级对象→初步确定等级→专家评审→主管部门核准→备案审核

注:安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。

安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。

确定定级对象

信息系统

定级对象的基本特征

作为定级对象的信息系统应具有如下基本特征:

a)具有确定的主要安全责任主体;

b)承载相对独立的业务应用;

c)包含相互关联的多个资源。

注:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。

避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。

云计算平台/系统

在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。

对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

物联网

物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。

工业控制系统

工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不要单独定级;生产管理要素宜单独定级。

对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

采用移动互联技术的系统

采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。

通信网络设施

对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。

数据资源

数据资源可独立定级。

当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。

确定安全保护等级

定级方法概述

定级对象的安全主要包括业务信息安全和系统服务安全与之相关的受侵害的客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反应的定级对象安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。

具体流程如下:

a)确定受到破坏时所侵害的客体

1)确定业务信息受到破坏时所侵害的客体;

2)确定系统服务受到破坏时所侵害的客体。

b)确定对客体的侵害程度

1)根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;

2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度;

c)确定安全保护等级

1)确定业务信息安全保护等级;

2)确定系统服务安全保护等级;

3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法利益。

侵害国家安全的事项包括以下方面:

——影响国家政权稳固和领土主权、海洋权益完整;

——影响国家统一、民族团结和社会稳定;

——影响国家社会主义市场经济和文化实力;

——其他影响国家安全的事项。

侵害社会秩序的事项包括以下方面:

——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;

——影响公共场所的活动秩序、公共交通秩序;

——影响人民群众的生活秩序;

——其他影响社会秩序的事项。

侵害公共利益的事项包括以下方面:

——影响社会成员使用公共设施;

——影响社会成员获取公开数据资源;

——影响社会成员接受公共服务等方面;

——其他影响公共利益的事项。

侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。

确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。

确定对客体的侵害程度

侵害的客观方面

在客观方面,对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏。其中,业务信息安全是指确保定级对象中信息的保密性、完整性和可用性等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种侵害方式。

业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果:

——影响行使工作职能;

——导致业务能力下降;

——引起法律纠纷;

——导致财产损失;

——造成社会不良影响;

——对其他组织和个人造成算;

——其他影响。

综合判定侵害程度

侵害程度时客观方面的不同外在表现的综合体现,因此,首先根据不同的受侵害客体,不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同,例如,系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财务损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

在针对不同的受侵害客体进行侵害程度的判断时,参照以下不同的判别基准:

如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;

如果受侵害客体是社会秩序、公共利益或国家安全,则以整个行业或国家的总体利益作为判断侵害程度的基准。

不同侵害后果的三种侵害程度描述如下:

不同侵害后果的侵害程度

侵害后果侵害程度

一般损害

严重损害

特别严重损害

工作职能

受到局部影响

受到严重影响

受到特别严重影响或丧失行使能力

业务能力

有所降低但不影响主要功能的执行

显著下降且严重影响主要功能执行

严重下降且或功能无法执行

法律问题

较轻

较严重

极其严重

财产损失

较低

较高

极高

社会不良影响

有限

较大范围

大范围

对其他组织和个人

较低损害

较高损害

非常高损害

对客体的侵害程度由对不同侵害结果的侵害程度进行综合判定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后关注的侵害结果、侵害程度的计算方式均可能不同,各行业可根据本行业业务信息和系统服务特点制定侵害程度的综合判定方法,并给出一般、严重、特别严重损害的具体定义。

初步确定等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,可确定业务信息安全保护等级。

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,可确定系统服务安全保护等级。

定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

确定安全保护等级

安全保护等级初步定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。

对于通信网络措施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。

对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。

等级变更

当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据本标准重新确定定级对象和安全保护等级。

等保测评--网络安全等级保护定级指南相关推荐

  1. 网络安全等保定级_信息安全技术网络安全等级保护定级指南发布,2020年11月1日正式实施!...

    原标题:信息安全技术网络安全等级保护定级指南发布,2020年11月1日正式实施! 2019年5月13日,网络安全等级保护系列标准(基本要求.设计要求.测评要求)正式发布,并于2019年12月1日正式实 ...

  2. 网络安全等保定级_网络安全等级保护定级指南

    原标题:网络安全等级保护定级指南 (1)主要用途 网络定级是等级保护工作的首要环节,是开展网络安全建设整改.等级测评.监督检查等后续工作的重要基础.<网络安全等级保护定级指南>从网络对国家 ...

  3. 信息安全技术网络安全等级保护定级指南_行业标准 |报业网络安全等级保护定级参考指南V2.0发布,明确保护对象、定级要求...

    近期,中国新闻技术工作者联合会正式发布<报业网络安全等级保护定级参考指南V2.0>. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探 ...

  4. 网络安全等级保护定级指南 范围

    声明 本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 网络安全等级保护 为了配合<中华人民共和国网络安全法>的实施,适应云 ...

  5. 信息安全技术网络安全等级保护定级指南_报业网络安全等级保护定级参考指南V2.0发布...

    近期,<报业网络安全等级保护定级参考指南V2.0>正式发布. 该指南由中国新闻技术工作者联合会组织网络安全领域的专家.报业技术专家以及业务专家经过多次调研.学习.探讨后,在原<报业网 ...

  6. 等保测评--网络安全等级保护测评过程指南

    GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南 范围 适用于测评机构.定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 规范等保测评工作过程,规定测评活动及工 ...

  7. 等保(网络安全等级保护)2.0与定级备案之——等保2.0与等保1.0区别解读

    等保2.0与等保1.0区别解读 这4900+的字儿也太多了,哈哈,就先这样吧,听讲座去了 什么是等保? 等保,即网络安全等级保护标准. 2007年我国信息安全等级保护制度正式实施,通过十余年的时间的发 ...

  8. 等保:网络安全等级保护

    APP.小程序的等保检测可以使用AppScan. 数据库的等保检测可以使用DBScan. 简介: 网络信息系统安全等级保护分为五级,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为 ...

  9. 网络安全等级保护指南|网络安全等级保护测评周期需要多久

    网民问:什么是等级保护? 回答:网络安全等级保护是指对国家安全.法人和其他组织及公民的专有信息以及公开信息和存储.传输.处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等 ...

  10. GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全物理环境测评解读

    文章目录 引言 一.物理位置选择 二.物理访问控制 三.防盗窃和破坏 四.防雷击 五.防火 六.防水和防潮 七.防静电 八.温湿度控制 九.电力供应 十.电磁防护 总结 引言 2019年12月1日,我 ...

最新文章

  1. 哈希表等概率情况下查找成功和查找不成功的平均查找长度的计算
  2. 统计和生成所有不同的二叉树
  3. 纲:散户炒股存两大弱势 我自己不炒也不建议小散炒
  4. 科技管理的作业选题 很重要
  5. 标机电脑上安装yarn
  6. AcWing 523. 组合数问题
  7. mac下electron始终安装不成功解决办法
  8. Java项目权威排名:Nacos未上版,gradle排名第二,Maven排名28
  9. scratch安装包|scratch最新版安装包|scratch3安装包|scratch3最新版安装包
  10. qq2012beta2java_Wine QQ 最新解决方案:WineQQ2012 Beta2
  11. AUTOCAD——光顺曲线命令、分解命令
  12. 正弦波、方波、三角波的产生和两两之间相互转换
  13. 使用if判断用户名和密码是否正确
  14. 关于产品的一些思考——八千里网络之谁叫我起床
  15. 使用CityBuilder搭建智慧城市3D可视化模型
  16. 超详细的遗传算法(Genetic Algorithm)解析【转】
  17. 【转载】:Autolisp:利用AuoCAD之Lisp编程案例之智能加工齿轮的演示程序-----一个处女座程序猿
  18. 回首2020,展望2021
  19. 免费收录网站的搜索引擎登录口大全
  20. canvas制作钟表小案例

热门文章

  1. java web开源考勤系统_Java开源企业考勤系统ClockSimpleJEE4预发布版0.9.0
  2. 搭建php常用的集成软件包,常见php集成环境安装包_PHP
  3. NJ68 键盘说明书
  4. 【lssvm分类】基于粒子群算法优化最小二乘支持向量机lssvm实现数据分类matlab代码
  5. Android Studio生成APP方法及其所在位置
  6. 总结使用SnakeYAML解析与序列化YAML相关
  7. php在线画图,详细介绍HTML5简易在线画图工具的实现案例
  8. 微信小程序超级占内存_小程序丨微信小程序占内存大吗?微信小程序消耗流量大吗?...
  9. WindRiver workbench 建立工程步骤
  10. MIDI 文件格式解析举例