制定過程
修訂背景
《信息安全技術—信息系統安全等級保護基本要求》(GB/T22239-2008)在中國推行信息安全等級保護制度的過程中起到了非常重要的作用,被廣泛套用於各個行業或領域指導用戶開展信息系統安全等級保護的建設整改、等級測評等工作。但是隨著信息技術的發展,採用新技術、新套用構建的雲計算平台、移動互聯接入、物聯網、工業控制系統和大數據套用等系統的大量出現,已有10年歷史的這三項標準在時效性、易用性、可操作性上需要進一步修訂完善。同時,2017年6月1日,《網路安全法》正式實施,進一步明確了網路安全等級保護制度的法律地位,網路安全等級保護對象、保護措施要求、範圍等都發生了很大的變化,需要修訂原來的標準,以適應網路安全等級保護制度要求。
編制進程
2014年11月19日,國家標準計畫《信息安全技術—網路安全等級保護基本要求》(20141151-T-469)下達,項目周期12個月, 由TC260(全國信息安全標準化技術委員會)歸口上報及執行 ,主管部門為國家標準化管理委員會。全國標準信息公共服務平台顯示,該計畫已完成網上公示、起草、徵求意見、審查、批准、發布工作。
2019年12月1日,國家標準《信息安全技術—網路安全等級保護基本要求》(GB/T 22239-2019)實施,全部代替國家標準《信息安全技術—信息系統安全等級保護基本要求》(GB/T22239-2008)。
修訂依據
國家標準《信息安全技術—網路安全等級保護基本要求》(GB/T 22239-2019)依據中國國家標準《標準化工作導則 第1部分:標準的結構和編寫規則》(GB/T 1.1-2009)規則起草。
修訂情況
《信息安全技術—網路安全等級保護基本要求》(GB/T 22239-2019)與《信息安全技術—信息系統安全等級保護基本要求》(GB/T22239-2008)相比,主要變化如下:
將標準名稱變更為《信息安全技術—網路安全等級保護基本要求》;
調整分類為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理;
調整各個級別的安全要求為安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求;
取消了原來安全控制點的S、A、G標註,增加一個附錄A描述等級保護對象的定級結果和安仝要求之間的關係,說明如何根據定級結果選擇安仝要求;
調整了原來附錄A和附錄B的順序,增加了附錄C描述網路安全等級保護總體框架,並提出關鍵技術使用要求。
起草工作
主要起草人:馬力 、陳廣勇 、張振峰 、郭啟全 、葛波蔚 、祝國邦 、陸磊 、曲潔 、於東升 、李秋香 、任衛紅 、胡紅升 、陳雪鴻 、馮冬芹 、王江波 、張宗喜 、張宇翔 、畢馬寧 、沙淼淼 、李明 、黎水林 、于晴 、李超 、劉之濤 、袁靜 、霍珊珊 、黃順京 、尹湘培 、蘇艷芳 、陶源 、陳雪秀 、於俊傑 、沈錫鏞 、杜靜 、周穎 、吳薇 、劉志宇 、宮月 、王昱鑌 、祿凱 、章恆 、高亞楠 、段偉恆 、馬閩 、賈馳千 、陸耿虹 、高夢州 、趙泰 、孫曉軍 、許鳳凱 、王紹傑 、馬紅霞 、劉美麗 。
標準目次
前言 | |
---|
引言 | |
---|
1範圍 | |
---|
2規範性引用檔案 | |
---|
3術語和定義 | |
---|
4縮略語 | |
---|
5網路安全等級保護概述 | |
---|
6第一級安全要求 | |
---|
7第二級安全要求 | |
---|
8第三級安全要求 | |
---|
9第四級安全要求 | |
---|
10第五級安全要求 | |
---|
附錄A(規範性附錄)關於安全通用要求和安全擴展要求的選擇和使用 | |
---|
附錄B(規範性附錄)關於等級保護對象整體安全保護能力的要求 | |
---|
附錄C(規範性附錄)等級保護安全框架和關鍵技術使用要求 | |
---|
附錄D(資料性附錄)雲計算套用場景說明 | |
---|
附錄E(資料性附錄)移動互聯套用場景說明 | |
---|
附錄F(資料性附錄)物聯網套用場景說明 | |
---|
附錄G(資料性附錄)工業控制系統套用場景說明 | |
---|
附錄H(資料性附錄)大數據套用場景說明 | |
---|
參考文獻 | |
---|
參考資料:
內容範圍
《信息安全技術—網路安全等級保護基本要求》(GB/T 22239-2019) 規定了第一級到第四級等級保護對象的安全保護的基本要求,每個級別的基本要求均由安全通用要求和安全擴展要求構成。
安全要求細分為技術要求和管理要求。其中技術要求部分為“安全物理環境”、“安全通信網路”、“安全區域邊界”、“安全計算環境”、“安全管理中心”;管理要求部分為“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”、“安全運維管理”,兩者合計共分為10大類。
安全技術要求的分類體現了“從外部到內部”的縱深防禦思想,對等級保護對象的安全防護應考慮從通信網路、區域邊界和計算環境從外到內的整體防護,同時考慮其所處的物理環境的安全防護,對級別較高的還需要考慮對分布在整個系統中的安全功能或安全組件的集中技術管理手段。
安全管理要求的分類體現了“從要素到活動”的綜合管理思想,安全管理需要的“機構”、“制度”和“人員”三要素缺一不可,同時應對系統的建設整改過程和運行維護過程中重要活動實施控制和管理,對級別較高的需要構建完備的安全管理體系。
《信息安全技術—網路安全等級保護基本要求》(GB/T 22239-2019)適用於指導分等級的非涉密對象的安全建設和監督管理。
引用檔案
GB 17859 計算機信息系統安全保護等級劃分準則 | GB/T 2240 信息安全技術信息系統安全等級保護定級指南 |
| GB/T 31167-2014 信息安全技術雲計算服務安全指南 |
GB/T 31168-2014 信息安全技術雲計算服務安全能力要求 | GB/T 32919-2016 信息安全技術工業控制系統安全控制套用指南 |
參考資料:
意義價值
《信息安全技術—網路安全等級保護基本要求》(GB/T 22239-2019)體現了綜合防禦、縱深防禦、主動防禦思想。 《網路安全法》明確了“國家實行網路安全等級保護制度”、“關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護”等內容,為網路安全等級保護工作賦予了新的內涵。為配合《網路安全法》的實施和落地,指導網路運營者按照網路安全等級保護制度的要求,履行網路安全保護義務,重新調整和修訂等級保護系列標準意義重大。尤其是等級保護對象已經從狹義的信息系統,擴展到網路基礎設施、雲計算平台、大數據平台、物聯網、工業控制系統、採用移動互聯技術的系統等,重新調整和修訂等級保護系列標準,基於新技術和新要求提出新的技術防護體系和管理措施、安全建設設計實現方式以及等級測評方法等非常必要,可有效指導網路運營者、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,指導測評機構更加規範化和標準化的開展等級測評工作,進而全面提升網路運營者的網路安全防護能力。