GB/T 22240-2020 英文版 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南

GB/T 22240-2020 英文版 Information security technology—Classification guide for classified protection of cybersecurity

GBT 22240-2020 英文版? GB 22240-2020 英文版?

1 ?范圍

????本標(biāo)準(zhǔn)給出了非涉及國家秘密的等級保護(hù)對象的安全保護(hù)等級定級方法和定級流程。

????本標(biāo)準(zhǔn)適用于指導(dǎo)網(wǎng)絡(luò)運(yùn)營者開展非涉及國家秘密的等級保護(hù)對象的定級工作。

2 ?規(guī)范性引用文件

????下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

????GB 17859—1999 ?計(jì)算機(jī)信息系統(tǒng) ?安全保護(hù)等級劃分準(zhǔn)則

????GB/T 22239—2019 ?信息安全技術(shù) ?網(wǎng)絡(luò)安全等級保護(hù)基本要求

????GB/T 25069 ?信息安全技術(shù) ?術(shù)語

????GB/T 29246—2017 ?信息技術(shù) ?安全技術(shù) ?信息安全管理體系 ?概述和詞匯

????GB/T 31167—2014 ?信息安全技術(shù) ?云計(jì)算服務(wù)安全指南

????GB/T 32919—2016 ?信息安全技術(shù) ?工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

????GB/T 35295—2017 ?信息技術(shù) ?大數(shù)據(jù) ?術(shù)語

3 ?術(shù)語和定義

??? GB 17859—1999、GB/T 22239—2019、GB/T 25069、GB/T 29246—2017、GB/T 31167—2014、GB/T 32919—2016和GB/T 35295—2017界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了上述標(biāo)準(zhǔn)中的某些術(shù)語和定義。

3.1

????網(wǎng)絡(luò)安全 ?cybersecurity

????通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

?????[GB/T 22239—2019，定義3.1]

3.2

????等級保護(hù)對象 ?target of classified protection

????網(wǎng)絡(luò)安全等級保護(hù)工作直接作用的對象。

????注：主要包括信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等。

3.3

????信息系統(tǒng) ?information system

????應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件。

????[GB/T 29246—2017，定義2.39]

????注1：信息系統(tǒng)通常由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成，并按照一定的應(yīng)用目標(biāo)和規(guī)則進(jìn)行信息處理或過程控制。

????注2：典型的信息系統(tǒng)如辦公自動(dòng)化系統(tǒng)、云計(jì)算平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)以及采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

3.4

????通信網(wǎng)絡(luò)設(shè)施 ?network infrastructure

????為信息流通、網(wǎng)絡(luò)運(yùn)行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施。

????注：主要包括電信網(wǎng)、廣播電視傳輸網(wǎng)和行業(yè)或單位的專用通信網(wǎng)等。

3.5

????數(shù)據(jù)資源 ?data resources

????具有或預(yù)期具有價(jià)值的數(shù)據(jù)集合。

????注：數(shù)據(jù)資源多以電子形式存在。

3.6

????受侵害的客體 ?object of infringement

????受法律保護(hù)的、等級保護(hù)對象受到破壞時(shí)所侵害的社會(huì)關(guān)系。

????注：本標(biāo)準(zhǔn)中簡稱“客體”。

3.7

????客觀方面 ?objective

????對客體造成侵害的客觀外在表現(xiàn)，包括侵害方式和侵害結(jié)果等。

4 ?定級原理及流程

4.1 ?安全保護(hù)等級

????根據(jù)等級保護(hù)對象在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素，等級保護(hù)對象的安全保護(hù)等級分為以下五級：

????a）第一級，等級保護(hù)對象受到破壞后、會(huì)對相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，但不危害國家安全、社會(huì)秩序和公共利益；

????b）第二級，等級保護(hù)對象受到破壞后，會(huì)對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成危害，但不危害國家安全；

????c）第三級，等級保護(hù)對象受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重危害，或者對國家安全造成危害；

????d）第四級，等級保護(hù)對象受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重危害，或者對國家安全造成嚴(yán)重危害；

????e）第五級，等級保護(hù)對象受到破壞后，會(huì)對國家安全造成特別嚴(yán)重危害。

4.2 ?定級要素

4.2.1 ?定級要素概述

????等級保護(hù)對象的定級要素包括：

????a）受侵害的客體；

????b）對客體的侵害程度。

4.2.2 ?受侵害的客體

????等級保護(hù)對象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：

????a）公民、法人和其他組織的合法權(quán)益；

????b）社會(huì)秩序、公共利益；

????c）國家安全。

4.2.3 ?對客體的侵害程度

????對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護(hù)對象的破壞實(shí)現(xiàn)的，因此對客體的侵害外在表現(xiàn)為對等級保護(hù)對象的破壞，通過侵害方式、侵害后果和侵害程度加以描述。

????等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種。

????a）造成一般損害；

????b）造成嚴(yán)重?fù)p害；

????c）造成特別嚴(yán)重?fù)p害。

4.3 ?定級要素與安全保護(hù)等級的關(guān)系

????定級要素與安全保護(hù)等級的關(guān)系如表1所示。

1 Scope

This standard specifies the classification method and process of security protection class

for targets of classified protection that do not involve state secrets.

This standard is applicable to guide the network operators to carry out the classification of

targets of classified protection that do not involve state secrets.

2 Normative references

The following referenced documents are indispensable for the application of this

document. For dated references, only the edition cited applies. For undated references,

the latest edition of the referenced document (including any amendments) applies.

GB 17859-1999

Classified criteria for security protection of computer information

system

GB/T 22239-2019

Information security technology - Baseline for classified protection

of cybersecurity

GB/T 25069

Information security techniques - Terminology

GB/T 29246-2017

Information technology - Security techniques - Information security

management systems - Overview and vocabulary

GB/T 31167-2014

Information security technology - Security guide of cloud computing

services

GB/T 32919-2016

Information security technology - Application guide to industrial

control system security control

GB/T 35295-2017

Information technology - Big data - Terminology

3 Terms and definitions

For the purposes of this document, the terms and definitions given in GB 17859-1999,

GB/T 22239-2019, GB/T 25069, GB/T 29246-2017, GB/T 31167-2014, GB/T 32919-2016

and GB/T 35295-2017 and the following apply. For the convenience of use, some terms

and definitions given in the above standards are listed again below.

3.1

cybersecurity

capability of guaranteeing stable and reliable operation of the network and ensuring the

integrity, confidentiality and availability of the network data by taking necessary measures

to prevent the network from attack, intrusion, interference, sabotage, illegal use andunexpected accident

[GB/T 22239-2019, Definition 3.1]

3.2

target of classified protection

target on which the classified protection of cybersecurity directly acts

Note:?It mainly includes information system, network infrastructure and data resources.

3.3

information system

applications, services, information technology assets, or other information processing

components

[GB/T 29246-2017, Definition 2.39]

Note 1:?The information system, usually composed of computers or other information terminals and

related equipment, carries out information processing or process control according to certain application

goals and rules.

Note 2:?Typical information systems include office automation system, cloud computing platform/system,

IoT, industrial control system and system adopting mobile communication technology, etc.

3.4

network infrastructure

network equipment and facilities that play a basic supporting role for information

circulation and network operation

Note:?It mainly includes telecommunication network, radio and television transmission network and

special communication network of industries or organizations.

3.5

data resources

collection of data that has or is expected to have value

Note:?Data resources mostly exist in electronic form.

3.6

object of infringement

social relations infringed when the target of classified protection under the protection

according to law is damaged

Note:?It is hereinafter referred to as “object”.