犐犆犛３５．０４０ 犔８０ ! " # $ % & ' ' ( ) * 犌犅／犜２ ２２４０—２０２０ ＧＢ／Ｔ２２２４０—２００８ !" !"#$%& '(#$)*+,-*./ 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔— 犆犾犪狊狊犻犳犻犮犪狋犻狅狀犵狌犻犱犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犮狔犫犲狉狊犲犮狌狉犻狋狔 ２０２００４２８ 01 ２０２０１１０１ 23 '(+,-./012 '()*3/0456 0 1 犌犅／犜２２２４０—２０２０ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 定级原理及流程 ………………………………………………………………………………………… ２ 　４．１　 安全保护等级 ……………………………………………………………………………………… ２ 　４．２　 定级要素 …………………………………………………………………………………………… ２ 　　４．２．１　 定级要素概述 ………………………………………………………………………………… ２ 　　４．２．２　 受侵害的客体 ………………………………………………………………………………… ２ 　　４．２．３　 对客体的侵害程度 …………………………………………………………………………… ３ 　４．３　 定级要素与安全保护等级的关系 ………………………………………………………………… ３ 　４．４　 定级流程 …………………………………………………………………………………………… ３ ５　 确定定级对象 …………………………………………………………………………………………… ４ 　５．１　 信息系统 …………………………………………………………………………………………… ４ 　　５．１．１　 定级对象的基本特征 ………………………………………………………………………… ４ 　　５．１．２　 云计算平台／系统 ……………………………………………………………………………… ４ 　　５．１．３　 物联网 ………………………………………………………………………………………… ４ 　　５．１．４　 工业控制系统 ………………………………………………………………………………… ４ 　　５．１．５　 采用移动互联技术的系统 …………………………………………………………………… ４ 　５．２　 通信网络设施 ……………………………………………………………………………………… ４ 　５．３　 数据资源 …………………………………………………………………………………………… ５ ６　 确定安全保护等级 ……………………………………………………………………………………… ５ 　６．１　 定级方法概述 ……………………………………………………………………………………… ５ 　６．２　 确定受侵害的客体 ………………………………………………………………………………… ６ 　６．３　 确定对客体的侵害程度 …………………………………………………………………………… ６ 　　６．３．１　 侵害的客观方面 ……………………………………………………………………………… ６ 　　６．３．２　 综合判定侵害程度 …………………………………………………………………………… ６ 　６．４　 初步确定等级 ……………………………………………………………………………………… ７ ７　 确定安全保护等级 ……………………………………………………………………………………… ８ ８　 等级变更 ………………………………………………………………………………………………… ８ 参考文献 ……………………………………………………………………………………………………… ９ Ⅰ 犌犅／犜２２２４０—２０２０ 前 　　 言 　　 本标准按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 本标准代 替 ＧＢ／Ｔ ２２２４０—２００８《信 息 安 全 技 术 　 信 息 系 统 安 全 等 级 保 护 定 级 指 南 》，与 ＧＢ／Ｔ２２２４０—２００８ 相比 ，主要技术变化如下 ： ——— 修改了等级保护对象 、信息系统的定义 ，增加了网络安全 、通信网络设施 、数据资源的术语和定 义（见第 ３ 章 ，２００８ 年版的第 ３ 章）； ——— 增加了通信网络设施和数据资源的定级对象确定方法 （见 ５．２、５．３）； ——— 增加了特定定级对象定级说明 （见第 ７ 章 ）； ——— 修改了定级流程 （见 ４．４，２００８ 年版的 ５．１）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本标准起草单位 ：公安部第三研究所 、亚信科技（成都）有限公司 、阿里云计算有限公司 、深圳市腾讯 计算机系统有限公司 、启明星辰信息技术集团股份有限公司 、审计署计算机技术中心 。 本标准主要起草人 ：曲洁 、尚旭光 、黄顺京 、李明 、黎水林 、张振峰 、郭启全 、葛波蔚 、祝国邦 、陆磊 、 袁静 、任卫红 、朱建平 、马力 、李升 、刘东红 、孙中和 、王欢 、沈锡镛 、杨晓光 、马闽 、陈雪秀 。 本标准所代替标准的历次版本发布情况为 ： ———ＧＢ／Ｔ２２２４０—２００８。 Ⅲ 犌犅／犜２２２４０—２０２０ 引 　　 言 　　 为了配合《中华人民共和国网络安全法》的实施 ，同时适应云计算 、移动互联 、物联网 、工业控制和大 数据等新技术 、新应用情况下网络安全等级保护工作的开展 ，需对 ＧＢ／Ｔ２２２４０—２００８ 进行修订 ，从等 级保护对象定义和定级流程等方面进行补充 、细化和完善 ，形成新的网络安全等级保护定级指南标准 。 与本标准相关的国家标准包括 ： ———ＧＢ／Ｔ２２２３９　 信息安全技术 　 网络安全等级保护基本要求 ； ———ＧＢ／Ｔ２５０５８　 信息安全技术 　 网络安全等级保护实施指南 ； ———ＧＢ／Ｔ２５０７０　 信息安全技术 　 网络安全等级保护安全设计技术要求 ； ———ＧＢ／Ｔ２８４４８　 信息安全技术 　 网络安全等级保护测评要求 ； ———ＧＢ／Ｔ２８４４９　 信息安全技术 　 网络安全等级保护测评过程指南 。 Ⅳ 犌犅／犜２２２４０—２０２０ 信息安全技术 网络安全等级保护定级指南 １　 范围 本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程 。 本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作 。 ２　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件 。 ＧＢ１７８５９—１９９９　 计算机信息系统 　 安全保护等级划分准则 ＧＢ／Ｔ２２２３９—２０１９　 信息安全技术 　 网络安全等级保护基本要求 ＧＢ／Ｔ２５０６９　 信息安全技术 　 术语 ＧＢ／Ｔ２９２４６—２０１７　 信息技术 　 安全技术 　 信息安全管理体系 　 概述和词汇 ＧＢ／Ｔ３１１６７—２０１４　 信息安全技术 　 云计算服务安全指南 ＧＢ／Ｔ３２９１９—２０１６　 信息安全技术 　 工业控制系统安全控制应用指南 ＧＢ／Ｔ３５２９５—２０１７　 信息技术 　 大数据 　 术语 ３　 术语和定义 ＧＢ１７８５９—１９９９、ＧＢ／Ｔ２２２３９—２０１９、ＧＢ／Ｔ２５０６９、ＧＢ／Ｔ２９２４６—２０１７、ＧＢ／Ｔ３１１６７—２０１４、 ＧＢ／Ｔ３２９１９—２０１６ 和 ＧＢ／Ｔ３５２９５—２０１７ 界定的以及下列术语和定义适用于本文件 。 为了便于使用 ， 以下重复列出了上述标准中的某些术语和定义 。 ３．１ 网络安全 　犮狔犫犲狉狊犲犮狌狉犻狋狔 通过采取必要措施 ，防范对网络的攻击 、侵入 、干扰 、破坏和非法使用以及意外事故 ，使网络处于稳 定可靠运行的状态 ，以及保障网络数据的完整性 、保密性 、可用性的能力 。 ［ＧＢ／Ｔ２２２３９—２０１９，定义 ３．１］ ３．２ 等级保护对象 　狋犪狉犵犲狋狅犳犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀 网络安全等级保护工作直接作用的对象 。 ３．３ 注 ：主要包括信息系统 、通信网络设施和数据资源等 。 信息系统 　犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿 应用 、服务 、信息技术资产或其他信息处理组件 。 ［ＧＢ／Ｔ２９２４６—２０１７，定义 ２．３９］ 注 １：信息系统通常由计算机或者其他信息终端及相关设备组成 ，并按照一定的应用目标和规则进行信息处理或过 程控制 。 １ 犌犅／犜２２２４０—２０２０ ３．４ ３．５ ３．６ ３．７ 注 ２：典型的信息系统如办公自动化系统 、云计算平台／系统 、物联网 、工业控制系统以及采用移动互联技术的系 统等 。 通信网络设施 　狀犲狋狑狅狉犽犻狀犳狉犪狊狋狉狌犮狋狌狉犲 为信息流通 、网络运行等起基础支撑作用的网络设备设施 。 注 ：主要包括电信网 、广播电视传输网和行业或单位的专用通信网等 。 数据资源 　犱犪狋犪狉犲狊狅狌狉犮犲狊 具有或预期具有价值的数据集合 。 注 ：数据资源多以电子形式存在 。 受侵害的客体 　狅犫犼犲犮狋狅犳犻狀犳狉犻狀犵犲犿犲狀狋 受法律保护的 、等级保护对象受到破坏时所侵害的社会关系 。 注 ：本标准中简称 “客体 ”。 客观方面 　狅犫犼犲犮狋犻狏犲 对客体造成侵害的客观外在表现 ，包括侵害方式和侵害结果等 。 ４　 定级原理及流程 ４．１　 安全保护等级 根据等级保护对象在国家安全 、经济建设 、社会生活中的重要程度 ，以及一旦遭到破坏 、丧失功能或 者数据被篡改 、泄露 、丢失 、损毁后 ，对国家安全 、社会秩序 、公共利益以及公民 、法人和其他组织的合法 权益的侵害程度等因素 ，等级保护对象的安全保护等级分为以下五级 ： ａ）　 第一级 ，等级保护对象受到破坏后 ，会对相关公民 、法人和其他组织的合法权益造成一般损害 ， 但不危害国家安全 、社会秩序和公共利益 ；