书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ２２２４０ — ２０２０ /G21 /G22 ＧＢ ／ Ｔ２２２４０ — ２００８ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G23 /G24 /G29 /G2A /G2B /G2C /G2D /G2A /G2E /G2F 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犆犾犪狊狊犻犳犻犮犪狋犻狅狀犵狌犻犱犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犮狔犫犲狉狊犲犮狌狉犻狋狔 ２０２０  ０４  ２８ /G30 /G31 ２０２０  １１  ０１ /G32 /G33 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G30 /G31书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 定级原理及流程 ２ ………………………………………………………………………………………… 　 ４．１ 　 安全保护等级 ２ ……………………………………………………………………………………… 　 ４．２ 　 定级要素 ２ …………………………………………………………………………………………… 　　 ４．２．１ 　 定级要素概述 ２ ………………………………………………………………………………… 　　 ４．２．２ 　 受侵害的客体 ２ ………………………………………………………………………………… 　　 ４．２．３ 　 对客体的侵害程度 ３ …………………………………………………………………………… 　 ４．３ 　 定级要素与安全保护等级的关系 ３ ………………………………………………………………… 　 ４．４ 　 定级流程 ３ …………………………………………………………………………………………… ５ 　 确定定级对象 ４ …………………………………………………………………………………………… 　 ５．１ 　 信息系统 ４ …………………………………………………………………………………………… 　　 ５．１．１ 　 定级对象的基本特征 ４ ………………………………………………………………………… 　　 ５．１．２ 　 云计算平台 ／ 系统 ４ ……………………………………………………………………………… 　　 ５．１．３ 　 物联网 ４ ………………………………………………………………………………………… 　　 ５．１．４ 　 工业控制系统 ４ ………………………………………………………………………………… 　　 ５．１．５ 　 采用移动互联技术的系统 ４ …………………………………………………………………… 　 ５．２ 　 通信网络设施 ４ ……………………………………………………………………………………… 　 ５．３ 　 数据资源 ５ …………………………………………………………………………………………… ６ 　 初步确定等级 ５ …………………………………………………………………………………………… 　 ６．１ 　 定级方法概述 ５ ……………………………………………………………………………………… 　 ６．２ 　 确定受侵害的客体 ６ ………………………………………………………………………………… 　 ６．３ 　 确定对客体的侵害程度 ６ …………………………………………………………………………… 　　 ６．３．１ 　 侵害的客观方面 ６ ……………………………………………………………………………… 　　 ６．３．２ 　 综合判定侵害程度 ６ …………………………………………………………………………… 　 ６．４ 　 综合判定等级 ７ ……………………………………………………………………………………… ７ 　 确定安全保护等级 ８ ……………………………………………………………………………………… ８ 　 等级变更 ８ ………………………………………………………………………………………………… 参考文献 ９ ……………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ２２２４０ — ２０２０ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本标准代替 ＧＢ ／ Ｔ２２２４０ — ２００８ 《 信息安全技术 　 信息系统安全等级保护定级指南 》， 与 ＧＢ ／ Ｔ２２２４０ — ２００８ 相比 ， 主要技术变化如下 ： ——— 修改了等级保护对象 、 信息系统的定义 ， 增加了网络安全 、 通信网络设施 、 数据资源的术语和定义 （ 见第 ３ 章 ， ２００８ 年版的第 ３ 章 ）； ——— 增加了通信网络设施和数据资源的定级对象确定方法 （ 见 ５．２ 、 ５．３ ）； ——— 增加了特定定级对象定级说明 （ 见第 ７ 章 ）； ——— 修改了定级流程 （ 见 ４．４ ， ２００８ 年版的 ５．１ ）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 公安部第三研究所 、 亚信科技 （ 成都 ） 有限公司 、 阿里云计算有限公司 、 深圳市腾讯计算机系统有限公司 、 启明星辰信息技术集团股份有限公司 、 审计署计算机技术中心 。 本标准主要起草人 ： 曲洁 、 尚旭光 、 黄顺京 、 李明 、 黎水林 、 张振峰 、 郭启全 、 葛波蔚 、 祝国邦 、 陆磊 、 袁静 、 任卫红 、 朱建平 、 马力 、 李升 、 刘东红 、 孙中和 、 王欢 、 沈锡镛 、 杨晓光 、 马闽 、 陈雪秀 。 本标准所代替标准的历次版本发布情况为 ： ——— ＧＢ ／ Ｔ２２２４０ — ２００８ 。 Ⅲ 犌犅 ／ 犜 ２２２４０ — ２０２０ 引 　　 言 　　 为了配合 《 中华人民共和国网络安全法 》 的实施 ， 同时适应云计算 、 移动互联 、 物联网 、 工业控制和大数据等新技术 、 新应用情况下网络安全等级保护工作的开展 ， 需对 ＧＢ ／ Ｔ２２２４０ — ２００８ 进行修订 ， 从等级保护对象定义和定级流程等方面进行补充 、 细化和完善 ， 形成新的网络安全等级保护定级指南标准 。 与本标准相关的国家标准包括 ： ——— ＧＢ ／ Ｔ２２２３９ 　 信息安全技术 　 网络安全等级保护基本要求 ； ——— ＧＢ ／ Ｔ２５０５８ 　 信息安全技术 　 网络安全等级保护实施指南 ； ——— ＧＢ ／ Ｔ２５０７０ 　 信息安全技术 　 网络安全等级保护安全设计技术要求 ； ——— ＧＢ ／ Ｔ２８４４８ 　 信息安全技术 　 网络安全等级保护测评要求 ； ——— ＧＢ ／ Ｔ２８４４９ 　 信息安全技术 　 网络安全等级保护测评过程指南 。 Ⅳ 犌犅 ／ 犜 ２２２４０ — ２０２０ 信息安全技术网络安全等级保护定级指南 １ 　 范围 本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程 。 本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ１７８５９ — １９９９ 　 计算机信息系统 　 安全保护等级划分准则 ＧＢ ／ Ｔ２２２３９ — ２０１９ 　 信息安全技术 　 网络安全等级保护基本要求 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ２９２４６ — ２０１７ 　 信息技术 　 安全技术 　 信息安全管理体系 　 概述和词汇 ＧＢ ／ Ｔ３１１６７ — ２０１４ 　 信息安全技术 　 云计算服务安全指南 ＧＢ ／ Ｔ３２９１９ — ２０１６ 　 信息安全技术 　 工业控制系统安全控制应用指南 ＧＢ ／ Ｔ３５２９５ — ２０１７ 　 信息技术 　 大数据 　 术语 ３ 　 术语和定义 ＧＢ１７８５９ — １９９９ 、 ＧＢ ／ Ｔ２２２３９ — ２０１９ 、 ＧＢ ／ Ｔ２５０６９ 、 ＧＢ ／ Ｔ２９２４６ — ２０１７ 、 ＧＢ ／ Ｔ３１１６７ — ２０１４ 、 ＧＢ ／ Ｔ３２９１９ — ２０１６ 和 ＧＢ ／ Ｔ３５２９５ — ２０１７ 界定的以及下列术语和定义适用于本文件 。 为了便于使用 ， 以下重复列出了上述标准中的某些术语和定义 。 ３ ． １ 网络安全 　 犮狔犫犲狉狊犲犮狌狉犻狋狔 通过采取必要措施 ， 防范对网络的攻击