De ICS335.040 L 80 中华人民共和国国家标准 GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南 Information security technologyClassification guide for classified protection of information system 2008-06-19 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2008-11-01 实施 发布 GB/T 22240—2008 目 次 目次 ....................................................................................................................................................................... I 前言 ...................................................................................................................................................................... II 引言 .................................................................................................................................................................... III 1 范围 ............................................................................................................................................................... 1 2 规范性引用文件 ........................................................................................................................................... 1 3 术语和定义 ................................................................................................................................................... 1 4 定级原理 ....................................................................................................................................................... 1 4.1 信息系统安全保护等级 ........................................................................................................................... 1 4.2 信息系统安全保护等级的定级要素 ....................................................................................................... 2 4.2.1 受侵害的客体 ....................................................................................................................................... 2 4.2.2 对客体的侵害程度 ............................................................................................................................... 2 4.3 定级要素与等级的关系 ........................................................................................................................... 2 5 定级方法 ....................................................................................................................................................... 3 5.1 定级的一般流程 ....................................................................................................................................... 3 5.2 确定定级对象 ........................................................................................................................................... 4 5.3 确定受侵害的客体 ................................................................................................................................... 5 5.4 确定对客体的侵害程度 ........................................................................................................................... 5 5.4.1 侵害的客观方面 ................................................................................................................................... 6 5.4.2 综合判定侵害程度 ............................................................................................................................... 6 5.5 确定定级对象的安全保护等级 ............................................................................................................... 7 6 等级变更 ....................................................................................................................................................... 8 I GB/T 22240—2008 前 言 （略） II GB/T 22240—2008 引 言 依据国家信息安全等级保护管理规定制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22239—2008《信息系统安全等级保护基本要求》； ——国家标准《信息系统安全等级保护实施指南》； ——国家标准《信息系统安全等级保护测评准则》。 本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中 的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。 III GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南 1 范围 本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提 供指导。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所 有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方 研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术 词汇 第 8 部分：安全（GB/T 5271.8—2001，idt ISO/IEC 2382-8：1998） GB17859 计算机信息系统安全保护等级划分准则 3 术语和定义 GB/T 5271.8 和 GB17859-1999 确立的以及下列术语和定义适用于本标准。 3.1 等级保护对象 target of classified security 信息安全等级保护工作直接作用的具体的信息和信息系统。 3.2 客体 object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益 以及公民、法人或其他组织的合法权益。 3.3 客观方面 objective 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。 3.4 系统服务 system service 信息系统为支撑其所承载业务而提供的程序化过程。 4 4.1 定级原理 信息系统安全保护等级 1 GB/T 22240—2008 根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人