GB/T 22240-2008信息安全技术　信息系统安全等级保护定级指南.pdf

De 3 ICS 35.040 L 80 中华人民共和国国家标准 GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南 Information security technology- Classification guide for classified protection of information system 2008-06-19 发布 2008-11-01 实施 中华人民共和国国家质量监督检验检疫总局 发布 中 国 国 家 标 准 化 管 理 委 员 会 GB/T 22240—2008 目 次 目次 I 前言II 引言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 定级原理 1 4.1 信息系统安全保护等级 1 4.2 信息系统安全保护等级的定级要素 2 4.2.1 受侵害的客体 2 4.2.2 对客体的侵害程度 2 4.3 定级要素与等级的关系 2 5 定级方法 3 5.1 定级的一般流程 3 5.2 确定定级对象 4 5.3 确定受侵害的客体 5 5.4 确定对客体的侵害程度 5 5.4.1 侵害的客观方面 6 5.4.2 综合判定侵害程度 6 5.5 确定定级对象的安全保护等级 7 6 等级变更 8 I GB/T 22240—2008 前 言 （略） II GB/T 22240—2008 引 言 依据国家信息安全等级保护管理规定制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22239—2008 《信息系统安全等级保护基本要求》； —— 国家标准《信息系统安全等级保护实施指南》； —— 国家标准 《信息系统安全等级保护测评准则》。 本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中 的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。 III GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南 1 范围 本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提 供指导。 2 规范性引用文件