标准解读

《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》相较于《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》,在内容上进行了多方面的更新和调整,以适应当前网络安全环境和技术发展的需求。主要变化体现在以下几个方面:

  1. 标准名称与范围的调整:新标准将“信息系统”更改为“网络”,反映了从传统的信息系统安全向更为广泛的网络安全领域的转变,覆盖了云计算、移动互联网等新型信息技术的应用场景。

  2. 定级对象的变化:随着信息技术的发展,《GB/T 22240-2020》对定级对象进行了重新定义,不仅包括原有的信息系统,还增加了对工业控制系统、物联网系统以及使用云服务的信息系统的考虑,扩大了适用范围。

  3. 定级要素的细化:新版标准中对于定级要素(如业务信息的安全性要求、系统服务连续性要求)进行了更加详细的说明,并引入了新的考量因素,比如数据泄露可能造成的损失程度、非法访问控制失效的影响等,使得定级过程更加科学合理。

  4. 定级流程的优化:《GB/T 22240-2020》提出了更为规范化的定级工作流程,强调了定级工作的组织管理,明确了各参与方的角色职责,并提供了具体的实施步骤指导,有助于提高定级效率和质量。

  5. 风险管理视角的加强:新版标准强化了基于风险评估进行等级划分的思想,鼓励根据实际面临的风险状况灵活调整保护措施,体现了从单纯合规导向到兼顾风险管理的趋势。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-04-28 颁布
  • 2020-11-01 实施
©正版授权
GB/T 22240-2020信息安全技术网络安全等级保护定级指南_第1页
GB/T 22240-2020信息安全技术网络安全等级保护定级指南_第2页
GB/T 22240-2020信息安全技术网络安全等级保护定级指南_第3页
GB/T 22240-2020信息安全技术网络安全等级保护定级指南_第4页
GB/T 22240-2020信息安全技术网络安全等级保护定级指南_第5页
免费预览已结束,剩余11页可下载查看

下载本文档

GB/T 22240-2020信息安全技术网络安全等级保护定级指南-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T22240—2020

代替

GB/T22240—2008

信息安全技术

网络安全等级保护定级指南

Informationsecuritytechnology—

Classificationguideforclassifiedprotectionofcybersecurity

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T22240—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

定级原理及流程

4…………………………2

安全保护等级

4.1………………………2

定级要素

4.2……………2

定级要素概述

4.2.1…………………2

受侵害的客体

4.2.2…………………2

对客体的侵害程度

4.2.3……………3

定级要素与安全保护等级的关系

4.3…………………3

定级流程

4.4……………3

确定定级对象

5……………4

信息系统

5.1……………4

定级对象的基本特征

5.1.1…………4

云计算平台系统

5.1.2/………………4

物联网

5.1.3…………………………4

工业控制系统

5.1.4…………………4

采用移动互联技术的系统

5.1.5……………………4

通信网络设施

5.2………………………4

数据资源

5.3……………5

初步确定等级

6……………5

定级方法概述

6.1………………………5

确定受侵害的客体

6.2…………………6

确定对客体的侵害程度

6.3……………6

侵害的客观方面

6.3.1………………6

综合判定侵害程度

6.3.2……………6

综合判定等级

6.4………………………7

确定安全保护等级

7………………………8

等级变更

8…………………8

参考文献

………………………9

GB/T22240—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术信息系统安全等级保护定级指南与

GB/T22240—2008《》,

相比主要技术变化如下

GB/T22240—2008,:

修改了等级保护对象信息系统的定义增加了网络安全通信网络设施数据资源的术语和定

———、,、、

义见第章年版的第章

(3,20083);

增加了通信网络设施和数据资源的定级对象确定方法见

———(5.2、5.3);

增加了特定定级对象定级说明见第章

———(7);

修改了定级流程见年版的

———(4.4,20085.1)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部第三研究所亚信科技成都有限公司阿里云计算有限公司深圳市腾讯

:、()、、

计算机系统有限公司启明星辰信息技术集团股份有限公司审计署计算机技术中心

、、。

本标准主要起草人曲洁尚旭光黄顺京李明黎水林张振峰郭启全葛波蔚祝国邦陆磊

:、、、、、、、、、、

袁静任卫红朱建平马力李升刘东红孙中和王欢沈锡镛杨晓光马闽陈雪秀

、、、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T22240—2008。

GB/T22240—2020

引言

为了配合中华人民共和国网络安全法的实施同时适应云计算移动互联物联网工业控制和大

《》,、、、

数据等新技术新应用情况下网络安全等级保护工作的开展需对进行修订从等

、,GB/T22240—2008,

级保护对象定义和定级流程等方面进行补充细化和完善形成新的网络安全等级保护定级指南标准

、,。

与本标准相关的国家标准包括

:

信息安全技术网络安全等级保护基本要求

———GB/T22239;

信息安全技术网络安全等级保护实施指南

———GB/T25058;

信息安全技术网络安全等级保护安全设计技术要求

———GB/T25070;

信息安全技术网络安全等级保护测评要求

———GB/T28448;

信息安全技术网络安全等级保护测评过程指南

———GB/T28449。

GB/T22240—2020

信息安全技术

网络安全等级保护定级指南

1范围

本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程

本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069

信息技术安全技术信息安全管理体系概述和词汇

GB/T29246—2017

信息安全技术云计算服务安全指南

GB/T31167—2014

信息安全技术工业控制系统安全控制应用指南

GB/T32919—2016

信息技术大数据术语

GB/T35295—2017

3术语和定义

GB17859—1999、GB/T22239—2019、GB/T25069、GB/T29246—2017、GB/T31167—2014、

和界定的以及下列术语和定义适用于本文件为了便于使用

GB/T32919—2016GB/T35295—2017。,

以下重复列出了上述标准中的某些术语和定义

31

.

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论