信安標委就《信息安全技術 網絡安全等級保護定級指南》征求意見

1月19日，全國信息安全標準化技術委員會秘書處發(fā)布《關于國家標準〈信息安全技術 網絡安全等級保護定級指南〉征求意見稿征求意見的通知》。通知指出，經標準編制單位的辛勤努力，現已形成國家標準《信息安全技術 網絡安全等級保護定級指南》征求意見稿。為確保標準質量，信安標委秘書處面向社會廣泛征求意見，截止日期為2018年03月05日。征求意見稿面向社會征求意見，標志著《網絡安全等級保護定級指南》的編制出臺已經進入最后沖刺階段。

據悉本標準編寫任務由全國信息安全標準化技術委員會下達，2017年4月立項，具體由亞信科技（成都）有限公司負責具體編制工作，參與單位包括公安部信息安全等級保護評估中心、阿里云計算有限公司、深圳市騰訊計算機系統(tǒng)有限公司、啟明星辰信息技術集團有限公司。

全國信息安全標準化技術委員會經國家標準化管理委員會批準成立（簡稱“信安標委”，TC260），是在信息安全專業(yè)領域內，從事全國標準化工作的技術工作組織，負責全國信息安全標準化的技術歸口工作。主要工作范圍包括信息安全技術、機制、服務、管理、評估等領域的標準化技術工作。

以下是通知原文以及相關文件和說明。

家標準《信息安全技術 信息系統(tǒng)安全等級保護定級指南》（修訂）編制說明

一、工作簡況

本標準編寫任務由全國信息安全標準化技術委員會下達，2017年4月立項，具體由亞信科技（成都）有限公司負責具體編制工作，參與單位包括公安部信息安全等級保護評估中心、阿里云計算有限公司、深圳市騰訊計算機系統(tǒng)有限公司、啟明星辰信息技術集團有限公司。

本標準主要工作過程如下：

自2017年4月進行該標準項目申報以來，成立了由亞信科技（成都）有限公司、公安部信息安全等級保護評估中心、阿里云計算有限公司、深圳市騰訊計算機系統(tǒng)有限公司、啟明星辰信息技術集團有限公司等共同組織的標準編制組。編制組人員包括：李明、曲潔、張振峰、任衛(wèi)紅、袁靜、朱建平、馬力、劉東紅、王歡、沈錫鏞楊曉光、段偉恒。前期標準編制組組織人員進行相關技術調研，初步確定修訂思路與主要內容。在此基礎上邀請電力、廣電、海關等重要行業(yè)專家進行技術研討，與會專家分別針對標準修訂思路、主體方向、具體技術細節(jié)等方面提出了很好的建議。

2017年5月，標準編制組初步形成標準草案（第1稿），并組織本領域及行業(yè)安全專家進行研討。與會專家針對標準術語、定級流程、大數據定級方法、云計算平臺定級方法、工業(yè)控制系定級方法以及標準文本規(guī)范性等方面提出了修改意見和建議。編制組認真研究、分析了專家意見，并根據專家意見完善了標準文本。

2017年9月14日，全國信息安全標準化技術委員會組織專家對該標準草案進行了第一次專家評審會。與會專家針對大數據定級對象、定級流程、術語等方面內容提出了修改意見和建議。編制組會后認真組織進行了研究分析，根據專家意見進一步修改完善了標準草案。

二、標準編制原則和確定主要內容的論據及解決的主要問題

1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。為確保信息系統(tǒng)的運維、使用單位科學、合理的確定系統(tǒng)的安全保護等級，進一步推動等級保護工作，2008年頒布了國家標準《信息安全技術 信息安全等級保護定級指南》）（GB/T 22240-2008）。

隨著國家標準的落地實施已有近十年時間，各信息系統(tǒng)運維使用單位按照該標準的定級方法和要求均開展了各單位的定級工作，有力的推動了等級保護工作。但在這個過程，也出現了個別單位定級不準，甚至級別差別較大的現象，另外國家標準未明確針對新技術新應用的定級方法提出針對性的定級方法。為進一步在標準中明確以上內容，特別是加快推動新技術新應用等級保護工作的開展，有必要針對該標準進行修訂，以便推動更好的開展等級保護各項工作。

1、編制原則

本標準在編制過程中遵循以下原則：

a)  實用性原則

本標準在編制過程中，綜合考慮我國目前網絡安全工作需要，各類等級保護對象安全現狀，在充分全面的調研基礎上開展，使得標準更貼近實際需要，保證可操作性。

b)   先進性原則

標準是先進經驗的總結，同時也代表技術發(fā)展的趨勢。本標準在編制過程中，充分調研國外相關方面技術經驗，吸收其精華，保證標準的技術先進性。

2、主要修訂內容

本標準的主要修訂內容包括以下部分：

a) 標準名稱：為適應網絡安全法，配合落實“網絡安全等級保護制度”，標準的名稱由原來的GB/T22240-2008《信息安全技術 信息系統(tǒng)安全等級保護定級指南》改為“信息安全技術網絡安全等級保護定級指南”

b) 術語定義：新增了網絡、基礎信息網絡、關鍵信息基礎設施等術語定義，修訂了等級保護對象等術語定義。

c) 定級對象確定方法：除保留原有的定級對象確定方法外，增加了對基礎信息網絡、大數據、云計算平臺、物聯網、采用移動互聯技術的網絡等定級對象的確定方法。

d) 確定安全保護等級方法：增加了基礎信息網絡、云計算平臺、大數據、物聯網、采用移動互聯技術的網絡等定級對象的安全保護等級方法的特別說明。

e) 定級流程：明確了定級工作的流程，即為：確定定級對象—初步確定等級—專家評審—主管部門審核—公安機關備案審查。

f) 增加附錄A 定級方法流程和附錄B 各級等級保護對象定級工作要求。

3、主要章節(jié)內容

本標準共分為10章，2個附錄，每章內容如下：

第1、2、3章，為標準的常規(guī)性描述，包括范圍、規(guī)范性引用文件、術語和定義。

第4章為定級原理及流程。給出了等級保護對象五個安全保護等級的具體定義，將等級保護對象受到破壞時所侵害的客體和對客體造成的侵害程度兩方面因素作為定級要素，并給出了定級要素與等級保護對象安全保護等級的對應關系。給出了定級工作的流程步驟。

第5章為確定定級對象。將基礎信息網絡、云計算平臺、工業(yè)控制系統(tǒng)、物聯網、大數據和使用移動互聯技術的網絡等確定為不同的定級對象。

第6章為初步確定安全保護等級，概要描述了定級方法。安全保護等級由業(yè)務信息安全和系統(tǒng)服務安全兩方面確定。從業(yè)務信息安全角度反映的定級對象安全保護等級稱業(yè)務信息安全保護等級。從系統(tǒng)服務安全角度反映的定級對象安全保護等級稱系統(tǒng)服務安全保護等級。將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者初步確定為定級對象的安全保護等級。對于大數據等定級對象，應根據數據規(guī)模、數據價值等因素確定其安全保護等級。對于基礎信息網絡、云計算平臺等定級對象，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級。

第7、8、9章為定級工作的后續(xù)工作流程內容。

第10章為等級變更。

附錄A為定級方法流程，描述了定級方法的七步步驟。

附錄B為各級等級保護對象定級工作要求。特別描述了第二級及以上等級保護對象的定級工作內容以及第四級等級保護對象的專家評審要求。

三、主要試驗[或驗證]情況分析

在標準修訂過程中，關于云計算平臺、工業(yè)控制系統(tǒng)的定級工作參照此標準進行了試驗，相關單位提出了意見和建議，編制組進行了分析并修改標準文本。

四、知識產權情況說明

本標準內容為自主知識產權。

本標準不涉及專利。

五、采用國際標準和國外先進標準情況

在標準修訂過程中，分別參考了美國FIPS 199、NIST SP800-53A等相關標準和要求的最新修訂內容，并參考了國際上關于云計算、供應鏈等熱點領域的標準，這些標準都直接或間接影響了本次標準的修訂內容。

六、與現行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性

本標準與現行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。

等級保護系列標準《基本要求》、《測評要求》、《測評過程指南》等標準也處于修訂過程，本標準在修訂過程中保持了與其他標準間的相關性和兼容性。

七、重大分歧意見的處理經過和依據

在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，編制組做了應答和處理，更好地完善了本標準修訂工作。

八、標準性質的建議

本項目是對國家推薦性標準GB/T 22240-2008的修訂，建議修訂后的標準仍為國家推薦性標準。

九、貫徹標準的要求和措施建議

無特殊要求。

十、替代或廢止現行相關標準的建議

標準修訂完成后，《信息安全技術 網絡安全等級保護定級指南》 將替代原來的GB/T22240-2008《信息安全技術信息系統(tǒng)安全等級保護定級指南 》。

建議廢止 GB/T22240-2008《信息安全技術 信息系統(tǒng)安全等級保護定級指南》。

十一、其它應予說明的事項

無。

文章摘自中國網絡安全保護等級網