信安标委就《信息安全技術 網絡安全等級保護定級指南(nán)》征求意見

1月19日，全國信息安全标準化技術委員(yuán)會秘書(shū)處發布《關于國家标準〈信息安全技術 網絡安全等級保護定級指南(nán)〉征求意見稿征求意見的通知(zhī)》。通知(zhī)指出，經标準編制單位的辛勤努力，現已形成國家标準《信息安全技術 網絡安全等級保護定級指南(nán)》征求意見稿。爲确保标準質量，信安标委秘書(shū)處面向社會廣泛征求意見，截止日期爲2018年03月05日。征求意見稿面向社會征求意見，标志(zhì)着《網絡安全等級保護定級指南(nán)》的編制出台已經進入最後沖刺階段。

據悉本标準編寫任務由全國信息安全标準化技術委員(yuán)會下(xià)達，2017年4月立項，具體(tǐ)由亞信科技（成都）有限公司負責具體(tǐ)編制工(gōng)作，參與單位包括公安部信息安全等級保護評估中(zhōng)心、阿裏雲計算有限公司、深圳市騰訊計算機系統有限公司、啓明星辰信息技術集團有限公司。

全國信息安全标準化技術委員(yuán)會經國家标準化管理委員(yuán)會批準成立（簡稱“信安标委”，TC260），是在信息安全專業領域内，從事全國标準化工(gōng)作的技術工(gōng)作組織，負責全國信息安全标準化的技術歸口工(gōng)作。主要工(gōng)作範圍包括信息安全技術、機制、服務、管理、評估等領域的标準化技術工(gōng)作。

以下(xià)是通知(zhī)原文以及相關文件和說明。

家标準《信息安全技術 信息系統安全等級保護定級指南(nán)》（修訂）編制說明

一(yī)、工(gōng)作簡況

本标準編寫任務由全國信息安全标準化技術委員(yuán)會下(xià)達，2017年4月立項，具體(tǐ)由亞信科技（成都）有限公司負責具體(tǐ)編制工(gōng)作，參與單位包括公安部信息安全等級保護評估中(zhōng)心、阿裏雲計算有限公司、深圳市騰訊計算機系統有限公司、啓明星辰信息技術集團有限公司。

本标準主要工(gōng)作過程如下(xià)：

自2017年4月進行該标準項目申報以來，成立了由亞信科技（成都）有限公司、公安部信息安全等級保護評估中(zhōng)心、阿裏雲計算有限公司、深圳市騰訊計算機系統有限公司、啓明星辰信息技術集團有限公司等共同組織的标準編制組。編制組人員(yuán)包括：李明、曲潔、張振峰、任衛紅、袁靜、朱建平、馬力、劉東紅、王歡、沈錫镛楊曉光、段偉恒。前期标準編制組組織人員(yuán)進行相關技術調研，初步确定修訂思路與主要内容。在此基礎上邀請電力、廣電、海關等重要行業專家進行技術研讨，與會專家分(fēn)别針對标準修訂思路、主體(tǐ)方向、具體(tǐ)技術細節等方面提出了很好的建議。

2017年5月，标準編制組初步形成标準草案（第1稿），并組織本領域及行業安全專家進行研讨。與會專家針對标準術語、定級流程、大(dà)數據定級方法、雲計算平台定級方法、工(gōng)業控制系定級方法以及标準文本規範性等方面提出了修改意見和建議。編制組認真研究、分(fēn)析了專家意見，并根據專家意見完善了标準文本。

2017年9月14日，全國信息安全标準化技術委員(yuán)會組織專家對該标準草案進行了第一(yī)次專家評審會。與會專家針對大(dà)數據定級對象、定級流程、術語等方面内容提出了修改意見和建議。編制組會後認真組織進行了研究分(fēn)析，根據專家意見進一(yī)步修改完善了标準草案。

二、标準編制原則和确定主要内容的論據及解決的主要問題

1994年國務院頒布的《中(zhōng)華人民共和國計算機信息系統安全保護條例》規定，“計算機信息系統實行安全等級保護，安全等級的劃分(fēn)标準和安全等級保護的具體(tǐ)辦法，由公安部會同有關部門制定”。爲确保信息系統的運維、使用單位科學、合理的确定系統的安全保護等級，進一(yī)步推動等級保護工(gōng)作，2008年頒布了國家标準《信息安全技術 信息安全等級保護定級指南(nán)》）（GB/T 22240-2008）。

随着國家标準的落地實施已有近十年時間，各信息系統運維使用單位按照該标準的定級方法和要求均開(kāi)展了各單位的定級工(gōng)作，有力的推動了等級保護工(gōng)作。但在這個過程，也出現了個别單位定級不準，甚至級别差别較大(dà)的現象，另外(wài)國家标準未明确針對新技術新應用的定級方法提出針對性的定級方法。爲進一(yī)步在标準中(zhōng)明确以上内容，特别是加快推動新技術新應用等級保護工(gōng)作的開(kāi)展，有必要針對該标準進行修訂，以便推動更好的開(kāi)展等級保護各項工(gōng)作。

1、編制原則

本标準在編制過程中(zhōng)遵循以下(xià)原則：

a)  實用性原則

本标準在編制過程中(zhōng)，綜合考慮我(wǒ)國目前網絡安全工(gōng)作需要，各類等級保護對象安全現狀，在充分(fēn)全面的調研基礎上開(kāi)展，使得标準更貼近實際需要，保證可操作性。

b)   先進性原則

标準是先進經驗的總結，同時也代表技術發展的趨勢。本标準在編制過程中(zhōng)，充分(fēn)調研國外(wài)相關方面技術經驗，吸收其精華，保證标準的技術先進性。

2、主要修訂内容

本标準的主要修訂内容包括以下(xià)部分(fēn)：

a) 标準名稱：爲适應網絡安全法，配合落實“網絡安全等級保護制度”，标準的名稱由原來的GB/T22240-2008《信息安全技術 信息系統安全等級保護定級指南(nán)》改爲“信息安全技術網絡安全等級保護定級指南(nán)”

b) 術語定義：新增了網絡、基礎信息網絡、關鍵信息基礎設施等術語定義，修訂了等級保護對象等術語定義。

c) 定級對象确定方法：除保留原有的定級對象确定方法外(wài)，增加了對基礎信息網絡、大(dà)數據、雲計算平台、物(wù)聯網、采用移動互聯技術的網絡等定級對象的确定方法。

d) 确定安全保護等級方法：增加了基礎信息網絡、雲計算平台、大(dà)數據、物(wù)聯網、采用移動互聯技術的網絡等定級對象的安全保護等級方法的特别說明。

e) 定級流程：明确了定級工(gōng)作的流程，即爲：确定定級對象—初步确定等級—專家評審—主管部門審核—公安機關備案審查。

f) 增加附錄A 定級方法流程和附錄B 各級等級保護對象定級工(gōng)作要求。

3、主要章節内容

本标準共分(fēn)爲10章，2個附錄，每章内容如下(xià)：

第1、2、3章，爲标準的常規性描述，包括範圍、規範性引用文件、術語和定義。

第4章爲定級原理及流程。給出了等級保護對象五個安全保護等級的具體(tǐ)定義，将等級保護對象受到破壞時所侵害的客體(tǐ)和對客體(tǐ)造成的侵害程度兩方面因素作爲定級要素，并給出了定級要素與等級保護對象安全保護等級的對應關系。給出了定級工(gōng)作的流程步驟。

第5章爲确定定級對象。将基礎信息網絡、雲計算平台、工(gōng)業控制系統、物(wù)聯網、大(dà)數據和使用移動互聯技術的網絡等确定爲不同的定級對象。

第6章爲初步确定安全保護等級，概要描述了定級方法。安全保護等級由業務信息安全和系統服務安全兩方面确定。從業務信息安全角度反映的定級對象安全保護等級稱業務信息安全保護等級。從系統服務安全角度反映的定級對象安全保護等級稱系統服務安全保護等級。将業務信息安全保護等級和系統服務安全保護等級的較高者初步确定爲定級對象的安全保護等級。對于大(dà)數據等定級對象，應根據數據規模、數據價值等因素确定其安全保護等級。對于基礎信息網絡、雲計算平台等定級對象，應根據其承載或将要承載的等級保護對象的重要程度确定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

第7、8、9章爲定級工(gōng)作的後續工(gōng)作流程内容。

第10章爲等級變更。

附錄A爲定級方法流程，描述了定級方法的七步步驟。

附錄B爲各級等級保護對象定級工(gōng)作要求。特别描述了第二級及以上等級保護對象的定級工(gōng)作内容以及第四級等級保護對象的專家評審要求。

三、主要試驗[或驗證]情況分(fēn)析

在标準修訂過程中(zhōng)，關于雲計算平台、工(gōng)業控制系統的定級工(gōng)作參照此标準進行了試驗，相關單位提出了意見和建議，編制組進行了分(fēn)析并修改标準文本。

四、知(zhī)識産權情況說明

本标準内容爲自主知(zhī)識産權。

本标準不涉及專利。

五、采用國際标準和國外(wài)先進标準情況

在标準修訂過程中(zhōng)，分(fēn)别參考了美國FIPS 199、NIST SP800-53A等相關标準和要求的最新修訂内容，并參考了國際上關于雲計算、供應鏈等熱點領域的标準，這些标準都直接或間接影響了本次标準的修訂内容。

六、與現行相關法律、法規、規章及相關标準的協調性

本标準與現行法律、法規以及國家标準沒有沖突與矛盾的地方。

等級保護系列标準《基本要求》、《測評要求》、《測評過程指南(nán)》等标準也處于修訂過程，本标準在修訂過程中(zhōng)保持了與其他标準間的相關性和兼容性。

七、重大(dà)分(fēn)歧意見的處理經過和依據

在整個過程中(zhōng)未遇到重大(dà)意見分(fēn)歧，但對專家提出的意見和建議，編制組做了應答和處理，更好地完善了本标準修訂工(gōng)作。

八、标準性質的建議

本項目是對國家推薦性标準GB/T 22240-2008的修訂，建議修訂後的标準仍爲國家推薦性标準。

九、貫徹标準的要求和措施建議

無特殊要求。

十、替代或廢止現行相關标準的建議

标準修訂完成後，《信息安全技術 網絡安全等級保護定級指南(nán)》 将替代原來的GB/T22240-2008《信息安全技術信息系統安全等級保護定級指南(nán) 》。

建議廢止 GB/T22240-2008《信息安全技術 信息系統安全等級保護定級指南(nán)》。

十一(yī)、其它應予說明的事項

無。

文章摘自中(zhōng)國網絡安全保護等級網