《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)是2019年12月1日實施的一項中國國家標準,歸口于全國信息安全標準化技術委員會。
《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)規(guī)定了網絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。該標準適用于指導分等級的非涉密對象的安全建設和監(jiān)督管理。
制定過程
修訂背景
《信息安全技術—信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)在中國推行信息安全等級保護制度的過程中起到了非常重要的作用,被廣泛應用于各個行業(yè)或領域指導用戶開展信息系統(tǒng)安全等級保護的建設整改、等級測評等工作。但是隨著信息技術的發(fā)展,采用新技術、新應用構建的云計算平臺、移動互聯(lián)接入、物聯(lián)網、工業(yè)控制系統(tǒng)和大數據應用等系統(tǒng)的大量出現,已有10年歷史的這三項標準在時效性、易用性、可操作性上需要進一步修訂完善。同時,2017年6月1日,《網絡安全法》正式實施,進一步明確了網絡安全等級保護制度的法律地位,網絡安全等級保護對象、保護措施要求、范圍等都發(fā)生了很大的變化,需要修訂原來的標準,以適應網絡安全等級保護制度要求。 [3]
編制進程
2014年11月19日,國家標準計劃《信息安全技術—網絡安全等級保護基本要求》(20141151-T-469)下達,項目周期12個月, 由TC260(全國信息安全標準化技術委員會)歸口上報及執(zhí)行 ,主管部門為國家標準化管理委員會。全國標準信息公共服務平臺顯示,該計劃已完成網上公示、起草、征求意見、審查、批準、發(fā)布工作。 [4]
2019年5月10日,國家標準《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)由中華人民共和國國家市場監(jiān)督管理總局、中國國家標準化管理委員會發(fā)布。 [2]
2019年12月1日,國家標準《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)實施,全部代替國家標準《信息安全技術—信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)。 [1]
修訂依據
國家標準《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)依據中國國家標準《標準化工作導則 第1部分:標準的結構和編寫規(guī)則》(GB/T 1.1-2009)規(guī)則起草。 [2]
修訂情況
《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)與《信息安全技術—信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)相比,主要變化如下:
將標準名稱變更為《信息安全技術—網絡安全等級保護基本要求》;
調整分類為安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理;
調整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求;
取消了原來安全控制點的S、A、G標注,增加一個附錄A描述等級保護對象的定級結果和安仝要求之間的關系,說明如何根據定級結果選擇安全要求;
調整了原來附錄A和附錄B的順序,增加了附錄C描述網絡安全等級保護總體框架,并提出關鍵技術使用要求。 [2]
起草工作
主要起草單位:公安部第三研究所(公安部信息安全等級保護評估中心) 、國家能源局信息中心 、阿里云計算有限公司 、中國科學院信息工程研究所(信息安全國家重點實驗室) 、新華三技術有限公司 、華為技術有限公司 、啟明星辰信息技術集團股份有限公司 、北京鼎普科技股份有限公司 、中國電子信息產業(yè)集團有限公司第六研究所 、公安部第一研究所 、國家信息中心 、山東微分電子科技有限公司 、中國電子科技集團公司第十五研究所(信息產業(yè)信息安全測評中心) 、浙江大學 、工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件評測中心) 、浙江國利信安科技有限公司 、機械工業(yè)儀器儀表綜合技術經濟研究所 、杭州科技職業(yè)技術學院 。 [1]
主要起草人:馬力 、陳廣勇 、張振峰 、郭啟全 、葛波蔚 、祝國邦 、陸磊 、曲潔 、于東升 、李秋香 、任衛(wèi)紅 、胡紅升 、陳雪鴻 、馮冬芹 、王江波 、張宗喜 、張宇翔 、畢馬寧 、沙淼淼 、李明 、黎水林 、于晴 、李超 、劉之濤 、袁靜 、霍珊珊 、黃順京 、尹湘培 、蘇艷芳 、陶源 、陳雪秀 、于俊杰 、沈錫鏞 、杜靜 、周穎 、吳薇 、劉志宇 、宮月 、王昱鑌 、祿凱 、章恒 、高亞楠 、段偉恒 、馬閩 、賈馳千 、陸耿虹 、高夢州 、趙泰 、孫曉軍 、許鳳凱 、王紹杰 、馬紅霞 、劉美麗 。 [1]
標準目次
前言 |
Ⅲ |
---|---|
引言 |
Ⅳ |
1范圍 |
1 |
2規(guī)范性引用文件 |
1 |
3術語和定義 |
1 |
4縮略語 |
3 |
5網絡安全等級保護概述 |
3 |
6第一級安全要求 |
4 |
7第二級安全要求 |
12 |
8第三級安全要求 |
26 |
9第四級安全要求 |
45 |
10第五級安全要求 |
64 |
附錄A(規(guī)范性附錄)關于安全通用要求和安全擴展要求的選擇和使用 |
65 |
附錄B(規(guī)范性附錄)關于等級保護對象整體安全保護能力的要求 |
69 |
附錄C(規(guī)范性附錄)等級保護安全框架和關鍵技術使用要求 |
70 |
附錄D(資料性附錄)云計算應用場景說明 |
72 |
附錄E(資料性附錄)移動互聯(lián)應用場景說明 |
73 |
附錄F(資料性附錄)物聯(lián)網應用場景說明 |
74 |
附錄G(資料性附錄)工業(yè)控制系統(tǒng)應用場景說明 |
75 |
附錄H(資料性附錄)大數據應用場景說明 |
78 |
參考文獻 |
83 |
內容范圍
《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019) 規(guī)定了第一級到第四級等級保護對象的安全保護的基本要求,每個級別的基本要求均由安全通用要求和安全擴展要求構成。 [3]
安全要求細分為技術要求和管理要求。其中技術要求部分為“安全物理環(huán)境”、“安全通信網絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”、“安全管理中心”;管理要求部分為“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”、“安全運維管理”,兩者合計共分為10大類。 [3]
安全技術要求的分類體現了“從外部到內部”的縱深防御思想,對等級保護對象的安全防護應考慮從通信網絡、區(qū)域邊界和計算環(huán)境從外到內的整體防護,同時考慮其所處的物理環(huán)境的安全防護,對級別較高的還需要考慮對分布在整個系統(tǒng)中的安全功能或安全組件的集中技術管理手段。 [3]
安全管理要求的分類體現了“從要素到活動”的綜合管理思想,安全管理需要的“機構”、“制度”和“人員”三要素缺一不可,同時應對系統(tǒng)的建設整改過程和運行維護過程中重要活動實施控制和管理,對級別較高的需要構建完備的安全管理體系。 [3]
《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)適用于指導分等級的非涉密對象的安全建設和監(jiān)督管理。[
引用文件
GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則 |
GB/T 2240 信息安全技術信息系統(tǒng)安全等級保護定級指南 |
GB/T 25069 信息安全技術術語 |
GB/T 31167-2014 信息安全技術云計算服務安全指南 |
GB/T 31168-2014 信息安全技術云計算服務安全能力要求 |
GB/T 32919-2016 信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南 |
參考資料:
意義價值
《信息安全技術—網絡安全等級保護基本要求》(GB/T 22239-2019)體現了綜合防御、縱深防御、主動防御思想。 《網絡安全法》明確了“國家實行網絡安全等級保護制度”、“關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”等內容,為網絡安全等級保護工作賦予了新的內涵。為配合《網絡安全法》的實施和落地,指導網絡運營者按照網絡安全等級保護制度的要求,履行網絡安全保護義務,重新調整和修訂等級保護系列標準意義重大。尤其是等級保護對象已經從狹義的信息系統(tǒng),擴展到網絡基礎設施、云計算平臺、大數據平臺、物聯(lián)網、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)等,重新調整和修訂等級保護系列標準,基于新技術和新要求提出新的技術防護體系和管理措施、安全建設設計實現方式以及等級測評方法等非常必要,可有效指導網絡運營者、網絡安全企業(yè)、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施,指導測評機構更加規(guī)范化和標準化的開展等級測評工作,進而全面提升網絡運營者的網絡安全防護能力。
ISO發(fā)布信息安全管理體系審核指南 1保護敏感的公司信息和個人數據的安全不僅對任何企業(yè)都至關重要,而且也是一項法律義務。許多組織都借助……
移動智能終端安全管理體系認證證書 辦理移動智能終端安全管理體系認證證書申請移動智能終端安全管理體系認證證書流程1、按照服務質量評價體……
電子政務移動辦公系統(tǒng)管理體系認證證書 申請好處∶1、爭強產品在市場上的競爭力2、提高公司的知名度3、吸引經銷商代理商的加盟4、把牌匾復……
信息技術運行維護服務規(guī)范認證證書 信息技術運行維護服務規(guī)范認證證書信息技術運行維護服務規(guī)范認證證書是什么?隨著經濟的發(fā)展,信息技術……
中企認證咨詢網積累了豐富的國際質量認證工作經驗,各項業(yè)務均成果卓著。始終以服務國家經濟社會發(fā)展和提升人民生活品質為己任,依托產品認證(包括服務認證、自愿性認證)、管理體系認證和認證培訓業(yè)務,著力開展節(jié)能。在積極促進國際貿易,調整經濟結構,保護消費者安全健康,構建社會誠信體系,參與"兩型"社會建設等方面做出了積極貢獻。同時,自身獲得了跨越式發(fā)展,已成為業(yè)務門類全、服務網絡廣、工作手段新、技術力量強、人員素質高的一流認證機構,可以方便快捷地為世界各地的客戶提供高效、優(yōu)質的"一站式"服務。中企認證咨詢網秉承"和諧、進取、責任"的理念,正在朝著建立社會公信力高,有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認證機構的目標努力前行,優(yōu)質的服務、雄厚的技術力量、先進的管理水平保障了中企認證咨詢網業(yè)務的順利開展,為順利實現中企認證咨詢網的質量目標、為認證機構的品牌提供了有力保障。
中企認證咨詢網專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務體系認證、GB/T29490知識產權管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質、十環(huán)認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務。認證價格實惠,證書真實有效,認監(jiān)委可查,如有疑問,可點擊www.969111.cn了解詳情,竭誠為您服務!
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局、國家認證認可監(jiān)督管理委員會、質量認證中心
本文標題:信息安全技術網絡安全等級保護要求
本文地址:http://www.969111.cn/isos/202309/zs_7521.html