信息安全技术 网络安全等级保护定级指南-编制说明

一、工作简况本标准编写任务由全国信息安全标准化技术委员会下达，2017年4月立项，具体由亚信科技（成都）有限公司负责具体编制工作，参与单位包括公安部信息安全等级保护评估中心、阿里云计算有限公司、深圳市腾讯计算机系统有限公司、启明星辰信息技术集团有限公司。本标准主要工作过程如下：自2017年4月进行该标准项目申报以来，成立了由亚信科技（成都）有限公司、公安部信息安全等级保护评估中心、阿里云计算有限公司、深圳市腾讯计算机系统有限公司、启明星辰信息技术集团有限公司等共同组织的标准编制组。编制组人员包括：李明、曲洁、张振峰、任卫红、袁静、朱建平、马力、刘东红、王欢、沈锡镛杨晓光、段伟恒。前期标准编制组组织人员进行相关技术调研，初步确定修订思路与主要内容。在此基础上邀请电力、广电、海关等重要行业专家进行技术研讨，与会专家分别针对标准修订思路、主体方向、具体技术细节等方面提出了很好的建议。2017年5月，标准编制组初步形成标准草案（第1稿），并组织本领域及行业安全专家进行研讨。与会专家针对标准术语、定级流程、大数据定级方法、云计算平台定级方法、工业控制系定级方法以及标准文本规范性等方面提出了修改意见和建议。编制组认真研究、分析了专家意见，并根据专家意见完善了标准文本。2017年9月14日，全国信息安全标准化技术委员会组织专家对该标准草案进行了第一次专家评审会。与会专家针对大数据定级对象、定级流程、术语等方面内容提出了修改意见和建议。编制组会后认真组织进行了研究分析，根据专家意见进一步修改完善了标准草案。二、标准编制原则和确定主要内容的论据及解决的主要问题1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。为确保信息系统的运维、使用单位科学、合理的确定系统的安全保护等级，进一步推动等级保护工作，2008年颁布了国家标准《信息安全技术信息安全等级保护定级指南》）（GB/T22240-2008）。随着国家标准的落地实施已有近十年时间，各信息系统运维使用单位按照该标准的定级方法和要求均开展了各单位的定级工作，有力的推动了等级保护工作。但在这个过程，也出现了个别单位定级不准，甚至级别差别较大的现象，另外国家标准未明确针对新技术新应用的定级方法提出针对性的定级方法。为进一步在标准中明确以上内容，特别是加快推动新技术新应用等级保护工作的开展，有必要针对该标准进行修订，以便推动更好的开展等级保护各项工作。1、编制原则本标准在编制过程中遵循以下原则：实用性原则本标准在编制过程中，综合考虑我国目前网络安全工作需要，各类等级保护对象安全现状，在充分全面的调研基础上开展，使得标准更贴近实际需要，保证可操作性。先进性原则标准是先进经验的总结，同时也代表技术发展的趋势。本标准在编制过程中，充分调研国外相关方面技术经验，吸收其精华，保证标准的技术先进性。2、主要修订内容本标准的主要修订内容包括以下部分：标准名称：为适应网络安全法，配合落实“网络安全等级保护制度”，标准的名称由原来的GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》改为“信息安全技术网络安全等级保护定级指南”术语定义：新增了网络、基础信息网络、关键信息基础设施等术语定义，修订了等级保护对象等术语定义。定级对象确定方法：除保留原有的定级对象确定方法外，增加了对基础信息网络、大数据、云计算平台、物联网、采用移动互联技术的网络等定级对象的确定方法。确定安全保护等级方法：增加了基础信息网络、云计算平台、大数据、物联网、采用移动互联技术的网络等定级对象的安全保护等级方法的特别说明。定级流程：明确了定级工作的流程，即为：确定定级对象—初步确定等级—专家评审—主管部门审核—公安机关备案审查。增加附录A定级方法流程和附录B各级等级保护对象定级工作要求。3、主要章节内容本标准共分为10章，2个附录，每章内容如下：第1、2、3章，为标准的常规性描述，包括范围、规范性引用文件、术语和定义。第4章为定级原理及流程。给出了等级保护对象五个安全保护等级的具体定义，将等级保护对象受到破坏时所侵害的客体和对客体造成的侵害程度两方面因素作为定级要素，并给出了定级要素与等级保护对象安全保护等级的对应关系。给出了定级工作的流程步骤。第5章为确定定级对象。将基础信息网络、云计算平台、工业控制系统、物联网、大数据和使用移动互联技术的网络等确定为不同的定级对象。第6章为初步确定安全保护等级，概要描述了定级方法。安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。对于大数据等定级对象，应根据数据规模、数据价值等因素确定其安全保护等级。对于基础信息网络、云计算平台等定级对象，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。第7、8、9章为定级工作的后续工作流程内容。第10章为等级变更。附录A为定级方法流程，描述了定级方法的七步步骤。附录B为各级等级保护对象定级工作要求。特别描述了第二级及以上等级保护对象的定级工作内容以及第四级等级保护对象的专家评审要求。三、主要试验[或验证]情况分析在标准修订过程中，关于云计算平台、工业控制系统的定级工作参照此标准进行了试验，相关单位提出了意见和建议，编制组进行了分析并修改标准文本。四、知识产权情况说明本标准内容为自主知识产权。本标准不涉及专利。五、采用国际标准和国外先进标准情况在标准修订过程中，分别参考了美国FIPS199、NISTSP800-53A等相关标准和要求的最新修订内容，并参考了国际上关于云计算、供应链等热点领域的标准，这些标准都直接或间接影响了本次标准的修订内容。六、与现行相关法律、法规、规章及相关标准的协调性本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。等级保护系列标准《基本要求》、《测评要求》、《测评过程指南》等标准也处于修订过程，本标准在修订过程中保持了与其他标准间的相关性和兼容性。七、重大分歧意见的处理经过和依据在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，编制组做了应答和处理，更好地完善了本标准修订工作。八、标准性质的建议本项目是对国家推荐性标准GB/T22240-2008的修订，建议修订后的标准仍为国家推荐性标准。九、贯彻标准的要求和措施建议无特殊要求。十、替代或废止现行相关标准的建议标准修订完成后，《信息安全技术网络安全等级保护定级指南》将替代原来的GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》。建议废止GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》。十一、其