網(wǎng)絡(luò)安全等級保護(hù)定級指南（GB/T 22240-2020）是中國于2020年11月1日開始實施的一項國家標(biāo)準(zhǔn)，旨在配合《中華人民共和國網(wǎng)絡(luò)安全法》的實施，并適應(yīng)云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護(hù)工作的開展。以下是對該指南的詳細(xì)概述：

一、標(biāo)準(zhǔn)基本信息

標(biāo)準(zhǔn)號：GB/T 22240-2020

中文名：信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南

外文名：Information security technology—Classification guide for classified protection of cybersecurity

發(fā)布日期：2020年4月28日

實施日期：2020年11月1日

起草單位：公安部第三研究所、阿里云計算有限公司、深圳市騰訊計算機(jī)系統(tǒng)有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、亞信科技(成都)有限公司、審計署計算機(jī)技術(shù)中心等

主要起草人：曲潔、尚旭光、黃順京、李明、黎水林、張振峰等

二、主要內(nèi)容

1. 網(wǎng)絡(luò)安全保護(hù)等級劃分

該指南明確了網(wǎng)絡(luò)安全保護(hù)等級為五個級別，從低到高分別為：

（1）第一級：用戶自主保護(hù)級

（2）第二級：系統(tǒng)審計保護(hù)級

（3）第三級：安全標(biāo)記保護(hù)級

（4）第四級：結(jié)構(gòu)化保護(hù)級

（5）第五級：訪問驗證保護(hù)級

各級別的詳細(xì)定義和描述可參見GB 17859-1999《計算機(jī)信息系統(tǒng) 安全保護(hù)等級劃分準(zhǔn)則》。

2. 定級要素

定級包含兩個要素：

（1）受侵害的客體：包括公民、法人和其他組織的合法權(quán)益；社會秩序、公共利益；國家安全。

（2）對客體的侵害程度：分為造成一般損害、造成嚴(yán)重?fù)p害、造成特別嚴(yán)重?fù)p害。

3. 定級流程

定級流程包括五個步驟：

（1）確定定級對象：明確具有確定的主要安全責(zé)任主體、承載相對獨立的業(yè)務(wù)應(yīng)用、包含相互關(guān)聯(lián)的多個資源的對象作為定級對象。

（2）初步確定等級：根據(jù)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面，確定受侵害的客體和對客體的侵害程度，從而初步確定安全保護(hù)等級。

（3）專家評審：組織信息安全專家和業(yè)務(wù)專家對定級結(jié)果的合理性進(jìn)行評審，并出具專家評審意見。

（4）主管部門核準(zhǔn)：有行業(yè)主管（監(jiān)管）部門的，還需將定級結(jié)果報請行業(yè)主管（監(jiān)管）部門核準(zhǔn)，并出具核準(zhǔn)意見。

（5）備案審核：定級對象的網(wǎng)絡(luò)運營者按照相關(guān)管理規(guī)定，將定級結(jié)果提交公安機(jī)關(guān)進(jìn)行備案審核。審核通過后，最終確定定級對象的安全保護(hù)等級。

三、總結(jié)

《網(wǎng)絡(luò)安全等級保護(hù)定級指南（GB/T 22240-2020）》為信息系統(tǒng)運營者提供了明確的定級方法和流程，有助于他們根據(jù)信息系統(tǒng)的實際情況和潛在威脅程度，合理確定安全保護(hù)等級，并采取相應(yīng)的安全措施。同時，該指南的實施也促進(jìn)了網(wǎng)絡(luò)安全等級保護(hù)工作的規(guī)范化和標(biāo)準(zhǔn)化。