信息安全技术网络安全等级保护定级指引-编制说明.doc

国家标准《信息安全技术 信息系统安全等级保护定级指南》（修订）编制说明 一、工作简况 本标准编写任务由全国信息安全标准化技术委员会下达，2017年4月立项，具体由亚信科技（成都）有限公司负责具体编制工作，参与单位包括公安部信息安全等级保护评估中心、阿里云计算有限公司、深圳市腾讯计算机系统有限公司、启明星辰信息技术集团有限公司。 本标准主要工作过程如下： 自2017年4月进行该标准项目申报以来，成立了由亚信科技（成都）有限公司、公安部信息安全等级保护评估中心、阿里云计算有限公司、深圳市腾讯计算机系统有限公司、启明星辰信息技术集团有限公司等共同组织的标准编制组。编制组人员包括：李明、曲洁、张振峰、任卫红、袁静、朱建平、马力、刘东红、王欢、沈锡镛杨晓光、段伟恒。前期标准编制组组织人员进行相关技术调研，初步确定修订思路与主要内容。在此基础上邀请电力、广电、海关等重要行业专家进行技术研讨，与会专家分别针对标准修订思路、主体方向、具体技术细节等方面提出了很好的建议。 2017年5月，标准编制组初步形成标准草案（第1稿），并组织本领域及行业安全专家进行研讨。与会专家针对标准术语、定级流程、大数据定级方法、云计算平台定级方法、工业控制系定级方法以及标准文本规范性等方面提出了修改意见和建议。编制组认真研究、分析了专家意见，并根据专家意见完善了标准文本。 2017年9月14日，全国信息安全标准化技术委员会组织专家对该标准草案进行了第一次专家评审会。与会专家针对大数据定级对象、定级流程、术语等方面内容提出了修改意见和建议。编制组会后认真组织进行了研究分析，根据专家意见进一步修改完善了标准草案。 二、标准编制原则和确定主要内容的论据及解决的主要问题 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。为确保信息系统的运维、使用单位科学、合理的确定系统的安全保护等级，进一步推动等级保护工作，2008年颁布了国家标准《信息安全技术 信息安全等级保护定级指南》）（GB/T 22240-2008）。 随着国家标准的落地实施已有近十年时间，各信息系统运维使用单位按照该标准的定级方法和要求均开展了各单位的定级工作，有力的推动了等级保护工作。但在这个过程，也出现了个别单位定级不准，甚至级别差别较大的现象，另外国家标准未明确针对新技术新应用的定级方法提出针对性的定级方法。为进一步在标准中明确以上内容，特别是加快推动新技术新应用等级保护工作的开展，有必要针对该标准进行修订，以便推动更好的开展等级保护各项工作。 1、编制原则 本标准在编制过程中遵循以下原则： 实用性原则 本标准在编制过程中，综合考虑我国目前网络安全工作需要，各类等级保护对象安全现状，在充分全面的调研基础上开展，使得标准更贴近实际需要，保证可操作性。 先进性原则 标准是先进经验的总结，同时也代表技术发展的趋势。本标准在编制过程中，充分调研国外相关方面技术经验，吸收其精华，保证标准的技术先进性。 2、主要修订内容 本标准的主要修订内容包括以下部分： 标准名称：为适应网络安全法，配合落实“网络安全等级保护制度”，标准的名称由原来的GB/T22240-2008《信息安全技术 信息系统安全等级保护定级指南》改为“信息安全技术 网络安全等级保护定级指南” 术语定义：新增了网络、基础信息网络、关键信息基础设施等术语定义，修订了等级保护对象等术语定义。 定级对象确定方法：除保留原有的定级对象确定方法外，增加了对基础信息网络、大数据、云计算平台、物联网、采用移动互联技术的网络等定级对象的确定方法。 确定安全保护等级方法：增加了基础信息网络、云计算平台、大数据、物联网、采用移动互联技术的网络等定级对象的安全保护等级方法的特别说明。 定级流程：明确了定级工作的流程，即为：确定定级对象—初步确定等级—专家评审—主管部门审核—公安机关备案审查。 增加附录A 定级方法流程和附录B 各级等级保护对象定级工作要求。 3、主要章节内容 本标准共分为10章，2个附录，每章内容如下： 第1、2、3章，为标准的常规性描述，包括范围、规范性引用文件、术语和定义。 第4章为定级原理及流程。给出了等级保护对象五个安全保护等级的具体定义，将等级保护对象受到破坏时所侵害的客体和对客体造成的侵害程度两方面因素作为定级要素，并给出了定级要素与等级保护对象安全保护等级的对应关系。给出了定级工作的流程步骤。 第5章为确定定级对象。将基础信息网络、云计算平台、工业控制系统、物联网、大数据和使用移动互联技术的网络等确定为不同的定级对象。 第6章为初步确定安全保护等级，概要描述了定级方法。安全保护等级由业务信息安全和系统服务安全两方面确定。从