◆甘清云

?

《信息系統(tǒng)安全等級保護定級指南》修訂思考

◆甘清云

（中國直升機設(shè)計研究所 天津 300300）

2017年10月，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》（征求意見稿）對外公示進行意見征集。本文介紹了定級指南修訂的主要內(nèi)容、進一步完善的思考。

等級保護定級指南；修訂

0 引言

《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008）于2008年發(fā)布實施以來各信息系統(tǒng)責(zé)任單位按照該標(biāo)準的定級方法和要求開展了信息系統(tǒng)定級工作，大力推動了等級保護工作。標(biāo)準頒布已有十余年，GB/T 22240-2008中部分內(nèi)容已不適宜當(dāng)前的信息安全新技術(shù)和新應(yīng)用，因此需要對GB/T 22240-2008進行修訂完善。

1 《信息系統(tǒng)安全等級保護定級指南》簡介

《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008）于2008年6月19日發(fā)布，2008年11月1日實施。指南依據(jù)等級保護相關(guān)管理文件，從信息系統(tǒng)所承載的業(yè)務(wù)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要作用和業(yè)務(wù)對信息系統(tǒng)的依賴程度這兩方面出發(fā)，提出確定信息系統(tǒng)安全保護等級的方法。規(guī)范章節(jié)除范圍、規(guī)范性引用文件、術(shù)語和定義外，分為：定級原理、定級方法、等級變更。

本標(biāo)準修訂任務(wù)由全國信息安全標(biāo)準化技術(shù)委員會下達，2017年4月立項，具體由亞信科技（成都）有限公司負責(zé)具體編制工作，參與單位包括公安部信息安全等級保護評估中心、阿里云計算有限公司、深圳市騰訊計算機系統(tǒng)有限公司、啟明星辰信息技術(shù)集團有限公司。

2017年5月，標(biāo)準編制組初步形成標(biāo)準草案（第1稿），并組織本領(lǐng)域及行業(yè)安全專家進行研討。2017年9月14日，全國信息安全標(biāo)準化技術(shù)委員會組織專家對該標(biāo)準草案進行了第一次專家評審會。2017年10月形成《信息安全技術(shù) 信息安全等級保護定級指南》（征求意見稿）。

2 定級指南修訂的主要內(nèi)容

（1）標(biāo)準名稱的修訂

為適應(yīng)《中華人民共和國網(wǎng)絡(luò)安全法》，配合落實“網(wǎng)絡(luò)安全等級保護制度”，標(biāo)準的名稱由原來的GB/T22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》改為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南”。雖然標(biāo)準名稱只是由信息系統(tǒng)改為網(wǎng)絡(luò)，但是其內(nèi)涵還是相當(dāng)豐富的

（2）定級對象確定方法和確定安全保護等級方法的修訂。

除保留原有的定級對象確定方法外，增加了對基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、大數(shù)據(jù)等定級對象的確定方法; 增加了基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)等定級對象的安全保護等級方法的特別說明：對于基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)平臺等支撐類網(wǎng)絡(luò)，應(yīng)根據(jù)其承載或?qū)⒁休d的等級保護對象的重要程度確定其安全保護等級，原則上應(yīng)不低于其承載的等級保護對象的安全保護等級；對于大數(shù)據(jù)，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素，根據(jù)數(shù)據(jù)資源（完整性、保密性、可用性）遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素確定其安全保護等級。原則上，大數(shù)據(jù)安全保護等級不低于第三級；對于確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，原則上其安全保護等級不低于第三級。

（3）安全保護等級中第三級的修訂

GB/T 22240-2008中的第三級是信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。修訂后的第三級是等級保護對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。簡單來說，就是修訂后的三級比修訂前的三級范圍更廣了。

（4）定級工作流程的修訂

GB/T 22240-2008中給出了確定等級的一般流程。這次修訂增加了等級保護對象定級工作的一般流程，如圖1所示。

圖1 等級保護對象定級工作一般流程

（5）增加附錄

增加附錄A 定級方法流程和附錄B 各級等級保護對象定級工作要求。附錄A與 GB/T 22240-2008中給出的確定等級的一般流程基本一致。附錄B中要求安全保護等級初步確定為第二級及以上的等級保護對象，其運營使用單位應(yīng)當(dāng)依據(jù)本標(biāo)準進行初步定級、專家評審、主管部門審批、公安機關(guān)備案審查，最終確定其安全保護等級；安全保護等級初步確定為第四級的等級保護對象，在開展專家評審工作時，其運營使用單位應(yīng)當(dāng)請國家信息安全等級保護專家評審委員會進行評審。

3 定級指南進一步完善的思考

（1）需要從網(wǎng)絡(luò)安全等級保護標(biāo)準體系的高度謀劃其他規(guī)范的修訂

網(wǎng)絡(luò)安全等級保護標(biāo)準體系主要包括《網(wǎng)絡(luò)安全等級保護定級指南》、《網(wǎng)絡(luò)安全等級保護實施指南》、《網(wǎng)絡(luò)安全等級保護基本要求》（包括6個部分：安全通用要求、云計算安全擴展要求、移動互聯(lián)網(wǎng)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求、大數(shù)據(jù)安全擴展要求）、《網(wǎng)絡(luò)安全等級保護測評要求》（包括6個部分）、《網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求》（包括6個部分）、《網(wǎng)絡(luò)安全等級保護測評過程指南》《網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南》、《網(wǎng)絡(luò)安全等級保護測評機構(gòu)能力要求和評估規(guī)范》。在等級保護定級指南的修訂過程中要充分考慮與等級保護標(biāo)準體系中其他相關(guān)標(biāo)準的銜接。

（2） 需要與《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》等相協(xié)調(diào)

2018年6月27日公安部針對《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》向社會公開征求意見。在《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》中，第三章節(jié)中的第十五條、第十六條、第十七條、第十八條、第十九條是網(wǎng)絡(luò)等級定級的內(nèi)容。

《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條：國家實行網(wǎng)絡(luò)安全等級保護制度。國家在正在修訂和出臺相關(guān)配套制度、標(biāo)準體系。所以標(biāo)準修訂過程中需要充分考慮與制度或政策文件相協(xié)調(diào)。

4 結(jié)束語

2017年10月《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》（征求意見稿）面向社會進行意見征集，標(biāo)準編制工作組收到了不少的意見建議，相信他們一定會吸納好的意見建議，打磨出一份高質(zhì)量的網(wǎng)絡(luò)安全等級保護定級指南，為指導(dǎo)網(wǎng)絡(luò)運營者開展等級保護對象的定級工作做出積極貢獻。

[1]梅潔，張樂東.信息安全等級保護定級常見問題探究[J].保密科學(xué)技術(shù)，2011.

[2]辛士界.信息安全等級保護定級的方法與應(yīng)用[J].信息技術(shù)，2011.

[3]繆彥深.信息安全等級保護定級的方法與應(yīng)用[J].電腦知識與技術(shù)，2017.

[4]龔文濤，郎穎瑩.基于等級保護的網(wǎng)絡(luò)系統(tǒng)定級流程研究[J].自動化技術(shù)與應(yīng)用，2018.