GB/T 22240-2020标准规范下载简介
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南简介:
GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》是由中***标准管理机构发布的一项信息安全相关标准。该标准是网络安全等级保护制度的重要组成部分,主要目的是为了规范和指导我*的信息系统分级保护工作,提升**关键信息基础设施的安全防护能力。
网络安全等级保护定级指南的简介:
1. 目的:该标准旨在为信息系统提供一种科学、规范的定级方法,以便对其进行分等级保护,实现对信息安全风险的有效管理和控制。
2. 内容:指南详细描述了定级对象的确定、定级要素的选取、定级过程、等级划分标准以及等级保护的实施步骤等。它将信息系统划分为不同的安全保护等级,从低到高分为五级,反映了不同级别信息系统所面临的风险和应采取的安全措施的级别。
3. 应用:适用于*府、企业、教育、科研、公共服务等各类组织对信息系统进行安全等级的自我评估和定级,是网络安全等级保护制度实施的重要依据。
4. 更新:在2020年,GB/T 22240进行了修订,以适应新的信息安全环境和技术发展,强化了对云计算、移动互联等新型应用环境下的安全防护要求。
总的来说,GB/T 22240-2020是信息安全领域的重要技术规范,对于保障**关键信息基础设施的安全具有重要意义。
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南部分内容预览:
为了配合《中华人民共和*网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大 数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T22240一2008进行修订,从等 级保护对象定义和定级流程等方面进行补充、细化和完善,形成新的网络安全等级保护定级指南标准。 与本标准相关的**标准包括: GB/T22239信息安全技术网络安全等级保护基本要求; GB/T25058 信息安全技术网络安全等级保护实施指南; GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求; GB/T 28448 信息安全技术 网络安全等级保护测评要求; GB/T2844.9 信息安全技术 网络安全等级保护测评过程指南
GB/T22240—2020
信息安全技术 网络安全等级保护定级指南
注册消防工程师60大知识点梳理信息安全技术 网络安全等级保护定级指南
本标准给出了非涉 定级方法和定级流程 本标准适用于指导网络
本标准适用于指导网络运营者开展非涉及**秘密的等级保护对象的定级工作 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB17859一1999计算机信息系统安全保护等级划分准则X GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T29246—20171 信息技术安全技术信息安全管理体系 概述和词汇 GB/T 31167—20141 信息安全技术云计算服务安全指南 GB/T32919—2016 信息安全技术工业控制系统安全控制应用指南 GB/T352952017 信息技术大数据术语 3 术语和定义 WWV GB17859—1999、GB/T22239—2019、GB/T25069、GB/T29246—2017、GB/T31167—2014 GB/T32919—2016和GB/T35295—2017界定的以及下列术语和定义适用于本文件。为了便于使用, 以下重复列出了上述标准中的某些术语和定义。 3.1 网络安全cybersecurity 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳 定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 [GB/T22239—2019,定义3.1] 3.2 等级保护对象 target of classified protection 网络安全等级保护工作直接作用的对象 注:主要包括信息系统、通信网络设施和数据资源等, 3.3 信息系统informationsystem 应用、服务、信息技术资产或其他信息处理组件。 [GB/T29246—2017,定义2.39] 注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过 程控制。
GB/T 222402020
根据等级保护对象在**安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或 者数据被篡改、泄露、丢失、损毁后,对**安全、社会秩序、公共利益以及公民、法人和其他组织的合法 双益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级: a)第一级,等级保护对象受到破坏局会对相关公民、法人和其他组织的合法*益造成一般损害, 但不危害**安全、社会秩序和公共利益; b)第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法*益造成严重损害 或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害**安全; c)第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对**安全 造成危害; d 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对** 安全造成严重危害; 第五级,等级保护对象受到破坏后,会对**安全造成特别严重危害
4.2.1定级要素概述
等级保护对象的定级要素包括: a)受侵害的客体; b)对客体的侵害程度
4.2.2受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a)公民、法人和其他组织的合法*益:
b)社会秩序、公共利益;
4.2.3对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵 害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a)造成一般损害; b)造成严重损害; c)造成特别严重损害
4.3定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如表1所示
表1定级要素与安全保护等级的关系
等级保护对象定级工作的一般流程如图1所示
图1等级保护对象定级工作一般流程
GB/T 222402020
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专* 评审、主管部门核准和备案审核,最终确定其安全保护等级。 注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可 不进行专*评审、主管部门核准和备案审核
5.1.1定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征: a)具有确定的主要安全责任主体; b) 承载相对独立的业务应用; C 包含相互关联的多个资源。 注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象 在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足 以上基本特征的基础上,还需分别遵循5.1.2、5.1.3、5.1.4、5.1.5的相关要求
5.1.2云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独 的定级对象定级,并根据不同服务模式将云计算平台系统划分为不同的定级对象。 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各 要素不单独定级
5.1.4工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采 集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单 独定级。 对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级 对象。
5.1.5采用移动互联技术的系统
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因 划分为不同的定级对象。 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象
数据资源可独立定级。 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同 时,大数据应独立定级,
定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定 级对象和数据资源,还需参照6.6。 定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害 程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度 反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全 保护等级称为系统服务安全保护等级。 定级方法流程示意图如图2所示,
图2定级方法流程示意图
a)确定受到破坏时所侵害的客体 1)确定业务信息受到破坏时所侵害的客体: 2)确定系统服务受到侵害时所侵害的客体。 b)确定对客体的侵害程度 1 根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度 2 根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度 c)确定安全保护等级 1)确定业务信息安全保护等级; 2)确定系统服务安全保护等级:
SY/T 6111-2018 气田开发调整方案编制技术要求将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护 等级
6.2确定受侵害的客体
定级对象受到破坏时所侵害的客体包括**安全、社会秩序、公众利益以及公民、法人和其他组织 合法*益。 侵害**安全的事项包括以下方面: 影响****稳固和领土主*、海洋*益完整; 影响**统一、民族团结和社会稳定; 影响**社会主义市场经济秩序和文化实力: 其他影响**安全的事项。 侵害社会秩序的事项包括以下方面: 影响**机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序: 影响公共场所的活动秩序、公共交通秩序; 影响人民群众的生活秩序; 其他影响社会秩序的事项。 侵害公共利益的事项包括以下方面: 影响社会成员使用公共设施; 影响社会成员获取公开数据资源; 影响社会成员接受公共服务等方面: 其他影响公共利益的事项。 侵害公民、法人和其他组织的合法*益是指受法律保护的公民、法人和其他组织所享有的社会*利 I利益等受到损害。 确定受侵害的客体时,首先判断是否侵害**安全,然后判断是否侵害社会秩序或公众利益,最后 断是否侵害公民、法人和其他组织的合法*益
6.3确定对客体的侵害程度
《人工防雹作业预警响应 GB/T34292-2017》6.3.1侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破 不和对系统服务安全的破坏。其中,业务信息安全是指确保定级对象中信息的保密性、完整性和可用性 等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信 息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需 要分别处理这两种侵害方式。 业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果: 影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财产损失; 造成社会不良影响; 对其他组织和个人造成损失; 其他影响
6.3.2综合判定侵害程度