ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T22239—2019

代替

GB/T22239—2008

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)基本要求

Informationsecuritytechnology—

Baselineforclassifiedprotectionofcybersecurity

2019-05-10發(fā)布2019-12-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T22239—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

網(wǎng)絡(luò)安全等級保護(hù)概述

5…………………3

等級保護(hù)對象

5.1………………………3

不同級別的安全保護(hù)能力

5.2…………4

安全通用要求和安全擴(kuò)展要求

5.3……………………4

第一級安全要求

6…………………………4

安全通用要求

6.1………………………4

云計(jì)算安全擴(kuò)展要求

6.2………………9

移動互聯(lián)安全擴(kuò)展要求

6.3……………10

物聯(lián)網(wǎng)安全擴(kuò)展要求

6.4………………10

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

6.5………………………11

第二級安全要求

7…………………………12

安全通用要求

7.1………………………12

云計(jì)算安全擴(kuò)展要求

7.2………………21

移動互聯(lián)安全擴(kuò)展要求

7.3……………23

物聯(lián)網(wǎng)安全擴(kuò)展要求

7.4………………24

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

7.5………………………24

第三級安全要求

8…………………………26

安全通用要求

8.1………………………26

云計(jì)算安全擴(kuò)展要求

8.2………………38

移動互聯(lián)安全擴(kuò)展要求

8.3……………40

物聯(lián)網(wǎng)安全擴(kuò)展要求

8.4………………42

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

8.5………………………43

第四級安全要求

9…………………………45

安全通用要求

9.1………………………45

云計(jì)算安全擴(kuò)展要求

9.2………………57

移動互聯(lián)安全擴(kuò)展要求

9.3……………60

物聯(lián)網(wǎng)安全擴(kuò)展要求

9.4………………61

工業(yè)控制系統(tǒng)安全擴(kuò)展要求

9.5………………………63

第五級安全要求

10………………………64

附錄規(guī)范性附錄關(guān)于安全通用要求和安全擴(kuò)展要求的選擇和使用

A()……………65

Ⅰ

GB/T22239—2019

附錄規(guī)范性附錄關(guān)于等級保護(hù)對象整體安全保護(hù)能力的要求

B()…………………69

附錄規(guī)范性附錄等級保護(hù)安全框架和關(guān)鍵技術(shù)使用要求

C()………70

附錄資料性附錄云計(jì)算應(yīng)用場景說明

D()……………72

附錄資料性附錄移動互聯(lián)應(yīng)用場景說明

E()…………73

附錄資料性附錄物聯(lián)網(wǎng)應(yīng)用場景說明

F()……………74

附錄資料性附錄工業(yè)控制系統(tǒng)應(yīng)用場景說明

G()……………………75

附錄資料性附錄大數(shù)據(jù)應(yīng)用場景說明

H()……………78

參考文獻(xiàn)

……………………83

Ⅱ

GB/T22239—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求與

GB/T22239—2008《》,

相比主要變化如下

GB/T22239—2008,:

將標(biāo)準(zhǔn)名稱變更為信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

———《》;

調(diào)整分類為安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全

———、、、、、

管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理

、、、、;

調(diào)整各個(gè)級別的安全要求為安全通用要求云計(jì)算安全擴(kuò)展要求移動互聯(lián)安全擴(kuò)展要求物

———、、、

聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求

;

取消了原來安全控制點(diǎn)的標(biāo)注增加一個(gè)附錄描述等級保護(hù)對象的定級結(jié)果和安

———S、A、G,A

全要求之間的關(guān)系說明如何根據(jù)定級結(jié)果選擇安全要求

,;

調(diào)整了原來附錄和附錄的順序增加了附錄描述網(wǎng)絡(luò)安全等級保護(hù)總體框架并提出

———AB,C,

關(guān)鍵技術(shù)使用要求

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部信息安全等級保護(hù)評估中心國家能源局信息中心

:()、、

阿里云計(jì)算有限公司中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室新華三技術(shù)有限公司

、()、、

華為技術(shù)有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司北京鼎普科技股份有限公司中國電子信息

、、、

產(chǎn)業(yè)集團(tuán)有限公司第六研究所公安部第一研究所國家信息中心山東微分電子科技有限公司中國電

、、、、

子科技集團(tuán)公司第十五研究所信息產(chǎn)業(yè)信息安全測評中心浙江大學(xué)工業(yè)和信息化部計(jì)算機(jī)與微電

()、、

子發(fā)展研究中心中國軟件評測中心浙江國利信安科技有限公司機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研

()、、

究所杭州科技職業(yè)技術(shù)學(xué)院

、。

本標(biāo)準(zhǔn)主要起草人馬力陳廣勇張振峰郭啟全葛波蔚祝國邦陸磊曲潔于東升李秋香

:、、、、、、、、、、

任衛(wèi)紅胡紅升陳雪鴻馮冬芹王江波張宗喜張宇翔畢馬寧沙淼淼李明黎水林于晴李超

、、、、、、、、、、、、、

劉之濤袁靜霍珊珊黃順京尹湘培蘇艷芳陶源陳雪秀于俊杰沈錫鏞杜靜周穎吳薇劉志宇

、、、、、、、、、、、、、、

宮月王昱鑌祿凱章恒高亞楠段偉恒馬閩賈馳千陸耿虹高夢州趙泰孫曉軍許鳳凱王紹杰

、、、、、、、、、、、、、、

馬紅霞劉美麗

、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T22239—2008。

Ⅲ

GB/T22239—2019

引言

為了配合中華人民共和國網(wǎng)絡(luò)安全法的實(shí)施同時(shí)適應(yīng)云計(jì)算移動互聯(lián)物聯(lián)網(wǎng)工業(yè)控制和大

《》,、、、

數(shù)據(jù)等新技術(shù)新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護(hù)工作的開展需對進(jìn)行修訂修訂

、,GB/T22239—2008,

的思路和方法是調(diào)整原國家標(biāo)準(zhǔn)的內(nèi)容針對共性安全保護(hù)需求提出安全通用要

GB/T22239—2008,

求針對云計(jì)算移動互聯(lián)物聯(lián)網(wǎng)工業(yè)控制和大數(shù)據(jù)等新技術(shù)新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出

,、、、、

安全擴(kuò)展要求形成新的網(wǎng)絡(luò)安全等級保護(hù)基本要求標(biāo)準(zhǔn)

,。

本標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全等級保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一

。

與本標(biāo)準(zhǔn)相關(guān)的標(biāo)準(zhǔn)包括

:

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南

———GB/T25058;

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

———GB/T22240;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求

———GB/T25070;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求

———GB/T28448;

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

———GB/T28449。

在本標(biāo)準(zhǔn)中黑體字部分表示較高等級中增加或增強(qiáng)的要求

,。

Ⅳ

GB/T22239—2019

信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)基本要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級保護(hù)的第一級到第四級等級保護(hù)對象的安全通用要求和安全擴(kuò)展

要求

。

本標(biāo)準(zhǔn)適用于指導(dǎo)分等級的非涉密對象的安全建設(shè)和監(jiān)督管理

。

注第五級等級保護(hù)對象是非常重要的監(jiān)督管理對象對其有特殊的管理模式和安全要求所以不在本標(biāo)準(zhǔn)中進(jìn)行

:,,

描述

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

GB17859

信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

GB/T22240

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T31168—2014

信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

GB/T32919—2016

3術(shù)語和定義