GB/T 22240-2020 英文版 信息安全技术 网络安全等级保护定级指南
GB/T 22240-2020 英文版 信息安全技术 网络安全等级保护定级指南
GB/T 22240-2020 英文版 Information security technology—Classification guide for classified protection of cybersecurity
GBT 22240-2020 英文版 GB 22240-2020 英文版
1 范围
本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。
本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859—1999 计算机信息系统 安全保护等级划分准则
GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T 29246—2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 31167—2014 信息安全技术 云计算服务安全指南
GB/T 32919—2016 信息安全技术 工业控制系统安全控制应用指南
GB/T 35295—2017 信息技术 大数据 术语
3 术语和定义
GB 17859—1999、GB/T 22239—2019、GB/T 25069、GB/T 29246—2017、GB/T 31167—2014、GB/T 32919—2016和GB/T 35295—2017界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了上述标准中的某些术语和定义。
3.1
网络安全 cybersecurity
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
[GB/T 22239—2019,定义3.1]
3.2
等级保护对象 target of classified protection
网络安全等级保护工作直接作用的对象。
注:主要包括信息系统、通信网络设施和数据资源等。
3.3
信息系统 information system
应用、服务、信息技术资产或其他信息处理组件。
[GB/T 29246—2017,定义2.39]
注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。
注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。
3.4
通信网络设施 network infrastructure
为信息流通、网络运行等起基础支撑作用的网络设备设施。
注:主要包括电信网、广播电视传输网和行业或单位的专用通信网等。
3.5
数据资源 data resources
具有或预期具有价值的数据集合。
注:数据资源多以电子形式存在。
3.6
受侵害的客体 object of infringement
受法律保护的、等级保护对象受到破坏时所侵害的社会关系。
注:本标准中简称“客体”。
3.7
客观方面 objective
对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
4 定级原理及流程
4.1 安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
a)第一级,等级保护对象受到破坏后、会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;
b)第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
c)第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
4.2 定级要素
4.2.1 定级要素概述
等级保护对象的定级要素包括:
a)受侵害的客体;
b)对客体的侵害程度。
4.2.2 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)公民、法人和其他组织的合法权益;
b)社会秩序、公共利益;
c)国家安全。
4.2.3 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种。
a)造成一般损害;
b)造成严重损害;
c)造成特别严重损害。
4.3 定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如表1所示。
1 Scope
This standard specifies the classification method and process of security protection class
for targets of classified protection that do not involve state secrets.
This standard is applicable to guide the network operators to carry out the classification of
targets of classified protection that do not involve state secrets.
2 Normative references
The following referenced documents are indispensable for the application of this
document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
GB 17859-1999
Classified criteria for security protection of computer information
system
GB/T 22239-2019
Information security technology - Baseline for classified protection
of cybersecurity
GB/T 25069
Information security techniques - Terminology
GB/T 29246-2017
Information technology - Security techniques - Information security
management systems - Overview and vocabulary
GB/T 31167-2014
Information security technology - Security guide of cloud computing
services
GB/T 32919-2016
Information security technology - Application guide to industrial
control system security control
GB/T 35295-2017
Information technology - Big data - Terminology
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB 17859-1999,
GB/T 22239-2019, GB/T 25069, GB/T 29246-2017, GB/T 31167-2014, GB/T 32919-2016
and GB/T 35295-2017 and the following apply. For the convenience of use, some terms
and definitions given in the above standards are listed again below.
3.1
cybersecurity
capability of guaranteeing stable and reliable operation of the network and ensuring the
integrity, confidentiality and availability of the network data by taking necessary measures
to prevent the network from attack, intrusion, interference, sabotage, illegal use andunexpected accident
[GB/T 22239-2019, Definition 3.1]
3.2
target of classified protection
target on which the classified protection of cybersecurity directly acts
Note: It mainly includes information system, network infrastructure and data resources.
3.3
information system
applications, services, information technology assets, or other information processing
components
[GB/T 29246-2017, Definition 2.39]
Note 1: The information system, usually composed of computers or other information terminals and
related equipment, carries out information processing or process control according to certain application
goals and rules.
Note 2: Typical information systems include office automation system, cloud computing platform/system,
IoT, industrial control system and system adopting mobile communication technology, etc.
3.4
network infrastructure
network equipment and facilities that play a basic supporting role for information
circulation and network operation
Note: It mainly includes telecommunication network, radio and television transmission network and
special communication network of industries or organizations.
3.5
data resources
collection of data that has or is expected to have value
Note: Data resources mostly exist in electronic form.
3.6
object of infringement
social relations infringed when the target of classified protection under the protection
according to law is damaged
Note: It is hereinafter referred to as “object”.