信安標(biāo)委就《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》征求意見

1月19日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布《關(guān)于國家標(biāo)準(zhǔn)〈信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南〉征求意見稿征求意見的通知》。通知指出，經(jīng)標(biāo)準(zhǔn)編制單位的辛勤努力，現(xiàn)已形成國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》征求意見稿。為確保標(biāo)準(zhǔn)質(zhì)量，信安標(biāo)委秘書處面向社會廣泛征求意見，截止日期為2018年03月05日。征求意見稿面向社會征求意見，標(biāo)志著《網(wǎng)絡(luò)安全等級保護(hù)定級指南》的編制出臺已經(jīng)進(jìn)入最后沖刺階段。

據(jù)悉本標(biāo)準(zhǔn)編寫任務(wù)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會下達(dá)，2017年4月立項，具體由亞信科技（成都）有限公司負(fù)責(zé)具體編制工作，參與單位包括公安部信息安全等級保護(hù)評估中心、阿里云計算有限公司、深圳市騰訊計算機(jī)系統(tǒng)有限公司、啟明星辰信息技術(shù)集團(tuán)有限公司。

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會經(jīng)國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)成立（簡稱“信安標(biāo)委”，TC260），是在信息安全專業(yè)領(lǐng)域內(nèi)，從事全國標(biāo)準(zhǔn)化工作的技術(shù)工作組織，負(fù)責(zé)全國信息安全標(biāo)準(zhǔn)化的技術(shù)歸口工作。主要工作范圍包括信息安全技術(shù)、機(jī)制、服務(wù)、管理、評估等領(lǐng)域的標(biāo)準(zhǔn)化技術(shù)工作。

以下是通知原文以及相關(guān)文件和說明。

家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》（修訂）編制說明

一、工作簡況

本標(biāo)準(zhǔn)編寫任務(wù)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會下達(dá)，2017年4月立項，具體由亞信科技（成都）有限公司負(fù)責(zé)具體編制工作，參與單位包括公安部信息安全等級保護(hù)評估中心、阿里云計算有限公司、深圳市騰訊計算機(jī)系統(tǒng)有限公司、啟明星辰信息技術(shù)集團(tuán)有限公司。

本標(biāo)準(zhǔn)主要工作過程如下：

自2017年4月進(jìn)行該標(biāo)準(zhǔn)項目申報以來，成立了由亞信科技（成都）有限公司、公安部信息安全等級保護(hù)評估中心、阿里云計算有限公司、深圳市騰訊計算機(jī)系統(tǒng)有限公司、啟明星辰信息技術(shù)集團(tuán)有限公司等共同組織的標(biāo)準(zhǔn)編制組。編制組人員包括：李明、曲潔、張振峰、任衛(wèi)紅、袁靜、朱建平、馬力、劉東紅、王歡、沈錫鏞楊曉光、段偉恒。前期標(biāo)準(zhǔn)編制組組織人員進(jìn)行相關(guān)技術(shù)調(diào)研，初步確定修訂思路與主要內(nèi)容。在此基礎(chǔ)上邀請電力、廣電、海關(guān)等重要行業(yè)專家進(jìn)行技術(shù)研討，與會專家分別針對標(biāo)準(zhǔn)修訂思路、主體方向、具體技術(shù)細(xì)節(jié)等方面提出了很好的建議。

2017年5月，標(biāo)準(zhǔn)編制組初步形成標(biāo)準(zhǔn)草案（第1稿），并組織本領(lǐng)域及行業(yè)安全專家進(jìn)行研討。與會專家針對標(biāo)準(zhǔn)術(shù)語、定級流程、大數(shù)據(jù)定級方法、云計算平臺定級方法、工業(yè)控制系定級方法以及標(biāo)準(zhǔn)文本規(guī)范性等方面提出了修改意見和建議。編制組認(rèn)真研究、分析了專家意見，并根據(jù)專家意見完善了標(biāo)準(zhǔn)文本。

2017年9月14日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會組織專家對該標(biāo)準(zhǔn)草案進(jìn)行了第一次專家評審會。與會專家針對大數(shù)據(jù)定級對象、定級流程、術(shù)語等方面內(nèi)容提出了修改意見和建議。編制組會后認(rèn)真組織進(jìn)行了研究分析，根據(jù)專家意見進(jìn)一步修改完善了標(biāo)準(zhǔn)草案。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1994年國務(wù)院頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定，“計算機(jī)信息系統(tǒng)實行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。為確保信息系統(tǒng)的運維、使用單位科學(xué)、合理的確定系統(tǒng)的安全保護(hù)等級，進(jìn)一步推動等級保護(hù)工作，2008年頒布了國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息安全等級保護(hù)定級指南》）（GB/T 22240-2008）。

隨著國家標(biāo)準(zhǔn)的落地實施已有近十年時間，各信息系統(tǒng)運維使用單位按照該標(biāo)準(zhǔn)的定級方法和要求均開展了各單位的定級工作，有力的推動了等級保護(hù)工作。但在這個過程，也出現(xiàn)了個別單位定級不準(zhǔn)，甚至級別差別較大的現(xiàn)象，另外國家標(biāo)準(zhǔn)未明確針對新技術(shù)新應(yīng)用的定級方法提出針對性的定級方法。為進(jìn)一步在標(biāo)準(zhǔn)中明確以上內(nèi)容，特別是加快推動新技術(shù)新應(yīng)用等級保護(hù)工作的開展，有必要針對該標(biāo)準(zhǔn)進(jìn)行修訂，以便推動更好的開展等級保護(hù)各項工作。

1、編制原則

本標(biāo)準(zhǔn)在編制過程中遵循以下原則：

a)  實用性原則

本標(biāo)準(zhǔn)在編制過程中，綜合考慮我國目前網(wǎng)絡(luò)安全工作需要，各類等級保護(hù)對象安全現(xiàn)狀，在充分全面的調(diào)研基礎(chǔ)上開展，使得標(biāo)準(zhǔn)更貼近實際需要，保證可操作性。

b)   先進(jìn)性原則

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗的總結(jié)，同時也代表技術(shù)發(fā)展的趨勢。本標(biāo)準(zhǔn)在編制過程中，充分調(diào)研國外相關(guān)方面技術(shù)經(jīng)驗，吸收其精華，保證標(biāo)準(zhǔn)的技術(shù)先進(jìn)性。

2、主要修訂內(nèi)容

本標(biāo)準(zhǔn)的主要修訂內(nèi)容包括以下部分：

a) 標(biāo)準(zhǔn)名稱：為適應(yīng)網(wǎng)絡(luò)安全法，配合落實“網(wǎng)絡(luò)安全等級保護(hù)制度”，標(biāo)準(zhǔn)的名稱由原來的GB/T22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》改為“信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南”

b) 術(shù)語定義：新增了網(wǎng)絡(luò)、基礎(chǔ)信息網(wǎng)絡(luò)、關(guān)鍵信息基礎(chǔ)設(shè)施等術(shù)語定義，修訂了等級保護(hù)對象等術(shù)語定義。

c) 定級對象確定方法：除保留原有的定級對象確定方法外，增加了對基礎(chǔ)信息網(wǎng)絡(luò)、大數(shù)據(jù)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等定級對象的確定方法。

d) 確定安全保護(hù)等級方法：增加了基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等定級對象的安全保護(hù)等級方法的特別說明。

e) 定級流程：明確了定級工作的流程，即為：確定定級對象—初步確定等級—專家評審—主管部門審核—公安機(jī)關(guān)備案審查。

f) 增加附錄A 定級方法流程和附錄B 各級等級保護(hù)對象定級工作要求。

3、主要章節(jié)內(nèi)容

本標(biāo)準(zhǔn)共分為10章，2個附錄，每章內(nèi)容如下：

第1、2、3章，為標(biāo)準(zhǔn)的常規(guī)性描述，包括范圍、規(guī)范性引用文件、術(shù)語和定義。

第4章為定級原理及流程。給出了等級保護(hù)對象五個安全保護(hù)等級的具體定義，將等級保護(hù)對象受到破壞時所侵害的客體和對客體造成的侵害程度兩方面因素作為定級要素，并給出了定級要素與等級保護(hù)對象安全保護(hù)等級的對應(yīng)關(guān)系。給出了定級工作的流程步驟。

第5章為確定定級對象。將基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)和使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等確定為不同的定級對象。

第6章為初步確定安全保護(hù)等級，概要描述了定級方法。安全保護(hù)等級由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的定級對象安全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級。從系統(tǒng)服務(wù)安全角度反映的定級對象安全保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者初步確定為定級對象的安全保護(hù)等級。對于大數(shù)據(jù)等定級對象，應(yīng)根據(jù)數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素確定其安全保護(hù)等級。對于基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺等定級對象，應(yīng)根據(jù)其承載或?qū)⒁休d的等級保護(hù)對象的重要程度確定其安全保護(hù)等級，原則上應(yīng)不低于其承載的等級保護(hù)對象的安全保護(hù)等級。

第7、8、9章為定級工作的后續(xù)工作流程內(nèi)容。

第10章為等級變更。

附錄A為定級方法流程，描述了定級方法的七步步驟。

附錄B為各級等級保護(hù)對象定級工作要求。特別描述了第二級及以上等級保護(hù)對象的定級工作內(nèi)容以及第四級等級保護(hù)對象的專家評審要求。

三、主要試驗[或驗證]情況分析

在標(biāo)準(zhǔn)修訂過程中，關(guān)于云計算平臺、工業(yè)控制系統(tǒng)的定級工作參照此標(biāo)準(zhǔn)進(jìn)行了試驗，相關(guān)單位提出了意見和建議，編制組進(jìn)行了分析并修改標(biāo)準(zhǔn)文本。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)內(nèi)容為自主知識產(chǎn)權(quán)。

本標(biāo)準(zhǔn)不涉及專利。

五、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

在標(biāo)準(zhǔn)修訂過程中，分別參考了美國FIPS 199、NIST SP800-53A等相關(guān)標(biāo)準(zhǔn)和要求的最新修訂內(nèi)容，并參考了國際上關(guān)于云計算、供應(yīng)鏈等熱點領(lǐng)域的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)都直接或間接影響了本次標(biāo)準(zhǔn)的修訂內(nèi)容。

六、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。

等級保護(hù)系列標(biāo)準(zhǔn)《基本要求》、《測評要求》、《測評過程指南》等標(biāo)準(zhǔn)也處于修訂過程，本標(biāo)準(zhǔn)在修訂過程中保持了與其他標(biāo)準(zhǔn)間的相關(guān)性和兼容性。

七、重大分歧意見的處理經(jīng)過和依據(jù)

在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，編制組做了應(yīng)答和處理，更好地完善了本標(biāo)準(zhǔn)修訂工作。

八、標(biāo)準(zhǔn)性質(zhì)的建議

本項目是對國家推薦性標(biāo)準(zhǔn)GB/T 22240-2008的修訂，建議修訂后的標(biāo)準(zhǔn)仍為國家推薦性標(biāo)準(zhǔn)。

九、貫徹標(biāo)準(zhǔn)的要求和措施建議

無特殊要求。

十、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

標(biāo)準(zhǔn)修訂完成后，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》 將替代原來的GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南 》。

建議廢止 GB/T22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》。

十一、其它應(yīng)予說明的事項

無。

文章摘自中國網(wǎng)絡(luò)安全保護(hù)等級網(wǎng)