《信息系統安全等級保護定級指南》修訂思考

◆甘清云

?

《信息系統安全等級保護定級指南》修訂思考

◆甘清云

（中國直升機設計研究所 天津 300300）

2017年10月，《信息安全技術網絡安全等級保護定級指南》（征求意見稿）對外公示進行意見征集。本文介紹了定級指南修訂的主要內容、進一步完善的思考。

等級保護定級指南；修訂

0 引言

《信息安全技術 信息系統安全等級保護定級指南》（GB/T 22240-2008）于2008年發布實施以來各信息系統責任單位按照該標準的定級方法和要求開展了信息系統定級工作，大力推動了等級保護工作。標準頒布已有十余年，GB/T 22240-2008中部分內容已不適宜當前的信息安全新技術和新應用，因此需要對GB/T 22240-2008進行修訂完善。

1 《信息系統安全等級保護定級指南》簡介

《信息安全技術 信息系統安全等級保護定級指南》（GB/T 22240-2008）于2008年6月19日發布，2008年11月1日實施。指南依據等級保護相關管理文件，從信息系統所承載的業務在國家安全、經濟建設、社會生活中的重要作用和業務對信息系統的依賴程度這兩方面出發，提出確定信息系統安全保護等級的方法。規范章節除范圍、規范性引用文件、術語和定義外，分為：定級原理、定級方法、等級變更。

本標準修訂任務由全國信息安全標準化技術委員會下達，2017年4月立項，具體由亞信科技（成都）有限公司負責具體編制工作，參與單位包括公安部信息安全等級保護評估中心、阿里云計算有限公司、深圳市騰訊計算機系統有限公司、啟明星辰信息技術集團有限公司。

2017年5月，標準編制組初步形成標準草案（第1稿），并組織本領域及行業安全專家進行研討。2017年9月14日，全國信息安全標準化技術委員會組織專家對該標準草案進行了第一次專家評審會。2017年10月形成《信息安全技術 信息安全等級保護定級指南》（征求意見稿）。

2 定級指南修訂的主要內容

（1）標準名稱的修訂

為適應《中華人民共和國網絡安全法》，配合落實“網絡安全等級保護制度”，標準的名稱由原來的GB/T22240-2008《信息安全技術 信息系統安全等級保護定級指南》改為“信息安全技術 網絡安全等級保護定級指南”。雖然標準名稱只是由信息系統改為網絡，但是其內涵還是相當豐富的

（2）定級對象確定方法和確定安全保護等級方法的修訂。

除保留原有的定級對象確定方法外，增加了對基礎信息網絡、工業控制系統、云計算平臺、物聯網、采用移動互聯技術的網絡、大數據等定級對象的確定方法; 增加了基礎信息網絡、云計算平臺、大數據等定級對象的安全保護等級方法的特別說明：對于基礎信息網絡、云計算平臺、大數據平臺等支撐類網絡，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級；對于大數據，應綜合考慮數據規模、數據價值等因素，根據數據資源（完整性、保密性、可用性）遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素確定其安全保護等級。原則上，大數據安全保護等級不低于第三級；對于確定為關鍵信息基礎設施的，原則上其安全保護等級不低于第三級。

（3）安全保護等級中第三級的修訂

GB/T 22240-2008中的第三級是信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。修訂后的第三級是等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。簡單來說，就是修訂后的三級比修訂前的三級范圍更廣了。

（4）定級工作流程的修訂

GB/T 22240-2008中給出了確定等級的一般流程。這次修訂增加了等級保護對象定級工作的一般流程，如圖1所示。

圖1 等級保護對象定級工作一般流程

（5）增加附錄

增加附錄A 定級方法流程和附錄B 各級等級保護對象定級工作要求。附錄A與 GB/T 22240-2008中給出的確定等級的一般流程基本一致。附錄B中要求安全保護等級初步確定為第二級及以上的等級保護對象，其運營使用單位應當依據本標準進行初步定級、專家評審、主管部門審批、公安機關備案審查，最終確定其安全保護等級；安全保護等級初步確定為第四級的等級保護對象，在開展專家評審工作時，其運營使用單位應當請國家信息安全等級保護專家評審委員會進行評審。

3 定級指南進一步完善的思考

（1）需要從網絡安全等級保護標準體系的高度謀劃其他規范的修訂

網絡安全等級保護標準體系主要包括《網絡安全等級保護定級指南》、《網絡安全等級保護實施指南》、《網絡安全等級保護基本要求》（包括6個部分：安全通用要求、云計算安全擴展要求、移動互聯網安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求、大數據安全擴展要求）、《網絡安全等級保護測評要求》（包括6個部分）、《網絡安全等級保護設計技術要求》（包括6個部分）、《網絡安全等級保護測評過程指南》《網絡安全等級保護測試評估技術指南》、《網絡安全等級保護測評機構能力要求和評估規范》。在等級保護定級指南的修訂過程中要充分考慮與等級保護標準體系中其他相關標準的銜接。

（2） 需要與《網絡安全等級保護條例（征求意見稿）》等相協調

2018年6月27日公安部針對《網絡安全等級保護條例（征求意見稿）》向社會公開征求意見。在《網絡安全等級保護條例（征求意見稿）》中，第三章節中的第十五條、第十六條、第十七條、第十八條、第十九條是網絡等級定級的內容。

《中華人民共和國網絡安全法》第二十一條：國家實行網絡安全等級保護制度。國家在正在修訂和出臺相關配套制度、標準體系。所以標準修訂過程中需要充分考慮與制度或政策文件相協調。

4 結束語

2017年10月《信息安全技術網絡安全等級保護定級指南》（征求意見稿）面向社會進行意見征集，標準編制工作組收到了不少的意見建議，相信他們一定會吸納好的意見建議，打磨出一份高質量的網絡安全等級保護定級指南，為指導網絡運營者開展等級保護對象的定級工作做出積極貢獻。

[1]梅潔，張樂東.信息安全等級保護定級常見問題探究[J].保密科學技術，2011.

[2]辛士界.信息安全等級保護定級的方法與應用[J].信息技術，2011.

[3]繆彥深.信息安全等級保護定級的方法與應用[J].電腦知識與技術，2017.

[4]龔文濤，郎穎瑩.基于等級保護的網絡系統定級流程研究[J].自動化技術與應用，2018.