信安标委就《信息安全技(jì)術(shù) 網絡安全等級保護定級指南》征求意見

1月19日，全國信息安全标準化技(jì)術(shù)委員會(huì)秘書(shū)處發布《關于國家(jiā)标準〈信息安全技(jì)術(shù) 網絡安全等級保護定級指南〉征求意見稿征求意見的通(tōng)知》。通(tōng)知指出，經标準編制(zhì)單位的辛勤努力，現已形成國家(jiā)标準《信息安全技(jì)術(shù) 網絡安全等級保護定級指南》征求意見稿。為(wèi)确保标準質量，信安标委秘書(shū)處面向社會(huì)廣泛征求意見，截止日期為(wèi)2018年03月05日。征求意見稿面向社會(huì)征求意見，标志(zhì)着《網絡安全等級保護定級指南》的編制(zhì)出台已經進入最後沖刺階段。

據悉本标準編寫任務由全國信息安全标準化技(jì)術(shù)委員會(huì)下達，2017年4月立項，具體(tǐ)由亞信科技(jì)（成都）有(yǒu)限公司負責具體(tǐ)編制(zhì)工作(zuò)，參與單位包括公安部信息安全等級保護評估中心、阿裏雲計(jì)算(suàn)有(yǒu)限公司、深圳市騰訊計(jì)算(suàn)機系統有(yǒu)限公司、啓明(míng)星辰信息技(jì)術(shù)集團有(yǒu)限公司。

全國信息安全标準化技(jì)術(shù)委員會(huì)經國家(jiā)标準化管理(lǐ)委員會(huì)批準成立（簡稱“信安标委”，TC260），是在信息安全專業領域內(nèi)，從事全國标準化工作(zuò)的技(jì)術(shù)工作(zuò)組織，負責全國信息安全标準化的技(jì)術(shù)歸口工作(zuò)。主要工作(zuò)範圍包括信息安全技(jì)術(shù)、機制(zhì)、服務、管理(lǐ)、評估等領域的标準化技(jì)術(shù)工作(zuò)。

以下是通(tōng)知原文以及相關文件和(hé)說明(míng)。

家(jiā)标準《信息安全技(jì)術(shù) 信息系統安全等級保護定級指南》（修訂）編制(zhì)說明(míng)

一、工作(zuò)簡況

本标準編寫任務由全國信息安全标準化技(jì)術(shù)委員會(huì)下達，2017年4月立項，具體(tǐ)由亞信科技(jì)（成都）有(yǒu)限公司負責具體(tǐ)編制(zhì)工作(zuò)，參與單位包括公安部信息安全等級保護評估中心、阿裏雲計(jì)算(suàn)有(yǒu)限公司、深圳市騰訊計(jì)算(suàn)機系統有(yǒu)限公司、啓明(míng)星辰信息技(jì)術(shù)集團有(yǒu)限公司。

本标準主要工作(zuò)過程如下：

自2017年4月進行(xíng)該标準項目申報以來(lái)，成立了由亞信科技(jì)（成都）有(yǒu)限公司、公安部信息安全等級保護評估中心、阿裏雲計(jì)算(suàn)有(yǒu)限公司、深圳市騰訊計(jì)算(suàn)機系統有(yǒu)限公司、啓明(míng)星辰信息技(jì)術(shù)集團有(yǒu)限公司等共同組織的标準編制(zhì)組。編制(zhì)組人(rén)員包括：李明(míng)、曲潔、張振峰、任衛紅、袁靜、朱建平、馬力、劉東紅、王歡、沈錫镛楊曉光、段偉恒。前期标準編制(zhì)組組織人(rén)員進行(xíng)相關技(jì)術(shù)調研，初步确定修訂思路與主要內(nèi)容。在此基礎上(shàng)邀請(qǐng)電(diàn)力、廣電(diàn)、海關等重要行(xíng)業專家(jiā)進行(xíng)技(jì)術(shù)研討(tǎo)，與會(huì)專家(jiā)分别針對标準修訂思路、主體(tǐ)方向、具體(tǐ)技(jì)術(shù)細節等方面提出了很(hěn)好的建議。

2017年5月，标準編制(zhì)組初步形成标準草案（第1稿），并組織本領域及行(xíng)業安全專家(jiā)進行(xíng)研討(tǎo)。與會(huì)專家(jiā)針對标準術(shù)語、定級流程、大(dà)數(shù)據定級方法、雲計(jì)算(suàn)平台定級方法、工業控制(zhì)系定級方法以及标準文本規範性等方面提出了修改意見和(hé)建議。編制(zhì)組認真研究、分析了專家(jiā)意見，并根據專家(jiā)意見完善了标準文本。

2017年9月14日，全國信息安全标準化技(jì)術(shù)委員會(huì)組織專家(jiā)對該标準草案進行(xíng)了第一次專家(jiā)評審會(huì)。與會(huì)專家(jiā)針對大(dà)數(shù)據定級對象、定級流程、術(shù)語等方面內(nèi)容提出了修改意見和(hé)建議。編制(zhì)組會(huì)後認真組織進行(xíng)了研究分析，根據專家(jiā)意見進一步修改完善了标準草案。

二、标準編制(zhì)原則和(hé)确定主要內(nèi)容的論據及解決的主要問題

1994年國務院頒布的《中華人(rén)民共和(hé)國計(jì)算(suàn)機信息系統安全保護條例》規定，“計(jì)算(suàn)機信息系統實行(xíng)安全等級保護，安全等級的劃分标準和(hé)安全等級保護的具體(tǐ)辦法，由公安部會(huì)同有(yǒu)關部門(mén)制(zhì)定”。為(wèi)确保信息系統的運維、使用單位科學、合理(lǐ)的确定系統的安全保護等級，進一步推動等級保護工作(zuò)，2008年頒布了國家(jiā)标準《信息安全技(jì)術(shù) 信息安全等級保護定級指南》）（GB/T 22240-2008）。

随着國家(jiā)标準的落地實施已有(yǒu)近十年時(shí)間(jiān)，各信息系統運維使用單位按照該标準的定級方法和(hé)要求均開(kāi)展了各單位的定級工作(zuò)，有(yǒu)力的推動了等級保護工作(zuò)。但(dàn)在這個(gè)過程，也出現了個(gè)别單位定級不準，甚至級别差别較大(dà)的現象，另外國家(jiā)标準未明(míng)确針對新技(jì)術(shù)新應用的定級方法提出針對性的定級方法。為(wèi)進一步在标準中明(míng)确以上(shàng)內(nèi)容，特别是加快推動新技(jì)術(shù)新應用等級保護工作(zuò)的開(kāi)展，有(yǒu)必要針對該标準進行(xíng)修訂，以便推動更好的開(kāi)展等級保護各項工作(zuò)。

1、編制(zhì)原則

本标準在編制(zhì)過程中遵循以下原則：

a)  實用性原則

本标準在編制(zhì)過程中，綜合考慮我國目前網絡安全工作(zuò)需要，各類等級保護對象安全現狀，在充分全面的調研基礎上(shàng)開(kāi)展，使得(de)标準更貼近實際需要，保證可(kě)操作(zuò)性。

b)   先進性原則

标準是先進經驗的總結，同時(shí)也代表技(jì)術(shù)發展的趨勢。本标準在編制(zhì)過程中，充分調研國外相關方面技(jì)術(shù)經驗，吸收其精華，保證标準的技(jì)術(shù)先進性。

2、主要修訂內(nèi)容

本标準的主要修訂內(nèi)容包括以下部分：

a) 标準名稱：為(wèi)适應網絡安全法，配合落實“網絡安全等級保護制(zhì)度”，标準的名稱由原來(lái)的GB/T22240-2008《信息安全技(jì)術(shù) 信息系統安全等級保護定級指南》改為(wèi)“信息安全技(jì)術(shù)網絡安全等級保護定級指南”

b) 術(shù)語定義：新增了網絡、基礎信息網絡、關鍵信息基礎設施等術(shù)語定義，修訂了等級保護對象等術(shù)語定義。

c) 定級對象确定方法：除保留原有(yǒu)的定級對象确定方法外，增加了對基礎信息網絡、大(dà)數(shù)據、雲計(jì)算(suàn)平台、物聯網、采用移動互聯技(jì)術(shù)的網絡等定級對象的确定方法。

d) 确定安全保護等級方法：增加了基礎信息網絡、雲計(jì)算(suàn)平台、大(dà)數(shù)據、物聯網、采用移動互聯技(jì)術(shù)的網絡等定級對象的安全保護等級方法的特别說明(míng)。

e) 定級流程：明(míng)确了定級工作(zuò)的流程，即為(wèi)：确定定級對象—初步确定等級—專家(jiā)評審—主管部門(mén)審核—公安機關備案審查。

f) 增加附錄A 定級方法流程和(hé)附錄B 各級等級保護對象定級工作(zuò)要求。

3、主要章節內(nèi)容

本标準共分為(wèi)10章，2個(gè)附錄，每章內(nèi)容如下：

第1、2、3章，為(wèi)标準的常規性描述，包括範圍、規範性引用文件、術(shù)語和(hé)定義。

第4章為(wèi)定級原理(lǐ)及流程。給出了等級保護對象五個(gè)安全保護等級的具體(tǐ)定義，将等級保護對象受到破壞時(shí)所侵害的客體(tǐ)和(hé)對客體(tǐ)造成的侵害程度兩方面因素作(zuò)為(wèi)定級要素，并給出了定級要素與等級保護對象安全保護等級的對應關系。給出了定級工作(zuò)的流程步驟。

第5章為(wèi)确定定級對象。将基礎信息網絡、雲計(jì)算(suàn)平台、工業控制(zhì)系統、物聯網、大(dà)數(shù)據和(hé)使用移動互聯技(jì)術(shù)的網絡等确定為(wèi)不同的定級對象。

第6章為(wèi)初步确定安全保護等級，概要描述了定級方法。安全保護等級由業務信息安全和(hé)系統服務安全兩方面确定。從業務信息安全角度反映的定級對象安全保護等級稱業務信息安全保護等級。從系統服務安全角度反映的定級對象安全保護等級稱系統服務安全保護等級。将業務信息安全保護等級和(hé)系統服務安全保護等級的較高(gāo)者初步确定為(wèi)定級對象的安全保護等級。對于大(dà)數(shù)據等定級對象，應根據數(shù)據規模、數(shù)據價值等因素确定其安全保護等級。對于基礎信息網絡、雲計(jì)算(suàn)平台等定級對象，應根據其承載或将要承載的等級保護對象的重要程度确定其安全保護等級，原則上(shàng)應不低(dī)于其承載的等級保護對象的安全保護等級。

第7、8、9章為(wèi)定級工作(zuò)的後續工作(zuò)流程內(nèi)容。

第10章為(wèi)等級變更。

附錄A為(wèi)定級方法流程，描述了定級方法的七步步驟。

附錄B為(wèi)各級等級保護對象定級工作(zuò)要求。特别描述了第二級及以上(shàng)等級保護對象的定級工作(zuò)內(nèi)容以及第四級等級保護對象的專家(jiā)評審要求。

三、主要試驗[或驗證]情況分析

在标準修訂過程中，關于雲計(jì)算(suàn)平台、工業控制(zhì)系統的定級工作(zuò)參照此标準進行(xíng)了試驗，相關單位提出了意見和(hé)建議，編制(zhì)組進行(xíng)了分析并修改标準文本。

四、知識産權情況說明(míng)

本标準內(nèi)容為(wèi)自主知識産權。

本标準不涉及專利。

五、采用國際标準和(hé)國外先進标準情況

在标準修訂過程中，分别參考了美國FIPS 199、NIST SP800-53A等相關标準和(hé)要求的最新修訂內(nèi)容，并參考了國際上(shàng)關于雲計(jì)算(suàn)、供應鏈等熱點領域的标準，這些(xiē)标準都直接或間(jiān)接影(yǐng)響了本次标準的修訂內(nèi)容。

六、與現行(xíng)相關法律、法規、規章及相關标準的協調性

本标準與現行(xíng)法律、法規以及國家(jiā)标準沒有(yǒu)沖突與矛盾的地方。

等級保護系列标準《基本要求》、《測評要求》、《測評過程指南》等标準也處于修訂過程，本标準在修訂過程中保持了與其他标準間(jiān)的相關性和(hé)兼容性。

七、重大(dà)分歧意見的處理(lǐ)經過和(hé)依據

在整個(gè)過程中未遇到重大(dà)意見分歧，但(dàn)對專家(jiā)提出的意見和(hé)建議，編制(zhì)組做(zuò)了應答(dá)和(hé)處理(lǐ)，更好地完善了本标準修訂工作(zuò)。

八、标準性質的建議

本項目是對國家(jiā)推薦性标準GB/T 22240-2008的修訂，建議修訂後的标準仍為(wèi)國家(jiā)推薦性标準。

九、貫徹标準的要求和(hé)措施建議

無特殊要求。

十、替代或廢止現行(xíng)相關标準的建議

标準修訂完成後，《信息安全技(jì)術(shù) 網絡安全等級保護定級指南》 将替代原來(lái)的GB/T22240-2008《信息安全技(jì)術(shù)信息系統安全等級保護定級指南 》。

建議廢止 GB/T22240-2008《信息安全技(jì)術(shù) 信息系統安全等級保護定級指南》。

十一、其它應予說明(míng)的事項

無。

文章摘自中國網絡安全保護等級網