GB/T 22240-2020 英文版 信息安全技术 网络安全等级保护定级指南

GB/T 22240-2020 英文版 信息安全技术 网络安全等级保护定级指南

GB/T 22240-2020 英文版 Information security technology—Classification guide for classified protection of cybersecurity

GBT 22240-2020 英文版  GB 22240-2020 英文版 

1  范围

    本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。

    本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。

2  规范性引用文件

    下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

    GB 17859—1999  计算机信息系统  安全保护等级划分准则

    GB/T 22239—2019  信息安全技术  网络安全等级保护基本要求

    GB/T 25069  信息安全技术  术语

    GB/T 29246—2017  信息技术  安全技术  信息安全管理体系  概述和词汇

    GB/T 31167—2014  信息安全技术  云计算服务安全指南

    GB/T 32919—2016  信息安全技术  工业控制系统安全控制应用指南

    GB/T 35295—2017  信息技术  大数据  术语

3  术语和定义

    GB 17859—1999、GB/T 22239—2019、GB/T 25069、GB/T 29246—2017、GB/T 31167—2014、GB/T 32919—2016和GB/T 35295—2017界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了上述标准中的某些术语和定义。

3.1

    网络安全  cybersecurity

    通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

     [GB/T 22239—2019，定义3.1]

3.2

    等级保护对象  target of classified protection

    网络安全等级保护工作直接作用的对象。

    注：主要包括信息系统、通信网络设施和数据资源等。

3.3

    信息系统  information system

    应用、服务、信息技术资产或其他信息处理组件。

    [GB/T 29246—2017，定义2.39]

    注1：信息系统通常由计算机或者其他信息终端及相关设备组成，并按照一定的应用目标和规则进行信息处理或过程控制。

    注2：典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。

3.4

    通信网络设施  network infrastructure

    为信息流通、网络运行等起基础支撑作用的网络设备设施。

    注：主要包括电信网、广播电视传输网和行业或单位的专用通信网等。

3.5

    数据资源  data resources

    具有或预期具有价值的数据集合。

    注：数据资源多以电子形式存在。

3.6

    受侵害的客体  object of infringement

    受法律保护的、等级保护对象受到破坏时所侵害的社会关系。

    注：本标准中简称“客体”。

3.7

    客观方面  objective

    对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

4  定级原理及流程

4.1  安全保护等级

    根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：

    a）第一级，等级保护对象受到破坏后、会对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序和公共利益；

    b）第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

    c）第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；

    d）第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；

    e）第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

4.2  定级要素

4.2.1  定级要素概述

    等级保护对象的定级要素包括：

    a）受侵害的客体；

    b）对客体的侵害程度。

4.2.2  受侵害的客体

    等级保护对象受到破坏时所侵害的客体包括以下三个方面：

    a）公民、法人和其他组织的合法权益；

    b）社会秩序、公共利益；

    c）国家安全。

4.2.3  对客体的侵害程度

    对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。

    等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种。

    a）造成一般损害；

    b）造成严重损害；

    c）造成特别严重损害。

4.3  定级要素与安全保护等级的关系

    定级要素与安全保护等级的关系如表1所示。

1 Scope

This standard specifies the classification method and process of security protection class

for targets of classified protection that do not involve state secrets.

This standard is applicable to guide the network operators to carry out the classification of

targets of classified protection that do not involve state secrets.

2 Normative references

The following referenced documents are indispensable for the application of this

document. For dated references, only the edition cited applies. For undated references,

the latest edition of the referenced document (including any amendments) applies.

GB 17859-1999

Classified criteria for security protection of computer information

system

GB/T 22239-2019

Information security technology - Baseline for classified protection

of cybersecurity

GB/T 25069

Information security techniques - Terminology

GB/T 29246-2017

Information technology - Security techniques - Information security

management systems - Overview and vocabulary

GB/T 31167-2014

Information security technology - Security guide of cloud computing

services

GB/T 32919-2016

Information security technology - Application guide to industrial

control system security control

GB/T 35295-2017

Information technology - Big data - Terminology

3 Terms and definitions

For the purposes of this document, the terms and definitions given in GB 17859-1999,

GB/T 22239-2019, GB/T 25069, GB/T 29246-2017, GB/T 31167-2014, GB/T 32919-2016

and GB/T 35295-2017 and the following apply. For the convenience of use, some terms

and definitions given in the above standards are listed again below.

3.1

cybersecurity

capability of guaranteeing stable and reliable operation of the network and ensuring the

integrity, confidentiality and availability of the network data by taking necessary measures

to prevent the network from attack, intrusion, interference, sabotage, illegal use andunexpected accident

[GB/T 22239-2019, Definition 3.1]

3.2

target of classified protection

target on which the classified protection of cybersecurity directly acts

Note: It mainly includes information system, network infrastructure and data resources.

3.3

information system

applications, services, information technology assets, or other information processing

components

[GB/T 29246-2017, Definition 2.39]

Note 1: The information system, usually composed of computers or other information terminals and

related equipment, carries out information processing or process control according to certain application

goals and rules.

Note 2: Typical information systems include office automation system, cloud computing platform/system,

IoT, industrial control system and system adopting mobile communication technology, etc.

3.4

network infrastructure

network equipment and facilities that play a basic supporting role for information

circulation and network operation

Note: It mainly includes telecommunication network, radio and television transmission network and

special communication network of industries or organizations.

3.5

data resources

collection of data that has or is expected to have value

Note: Data resources mostly exist in electronic form.

3.6

object of infringement

social relations infringed when the target of classified protection under the protection

according to law is damaged

Note: It is hereinafter referred to as “object”.