《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)是2019年12月1日實(shí)施的一項中國國家標(biāo)準(zhǔn)，歸口于全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會。

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)規(guī)定了網(wǎng)絡(luò)安全等級保護(hù)的第一級到第四級等級保護(hù)對象的安全通用要求和安全擴(kuò)展要求。該標(biāo)準(zhǔn)適用于指導(dǎo)分等級的非涉密對象的安全建設(shè)和監(jiān)督管理。

制定過程

修訂背景

《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)在中國推行信息安全等級保護(hù)制度的過程中起到了非常重要的作用，被廣泛應(yīng)用于各個行業(yè)或領(lǐng)域指導(dǎo)用戶開展信息系統(tǒng)安全等級保護(hù)的建設(shè)整改、等級測評等工作。但是隨著信息技術(shù)的發(fā)展，采用新技術(shù)、新應(yīng)用構(gòu)建的云計算平臺、移動互聯(lián)接入、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)應(yīng)用等系統(tǒng)的大量出現(xiàn)，已有10年歷史的這三項標(biāo)準(zhǔn)在時效性、易用性、可操作性上需要進(jìn)一步修訂完善。同時，2017年6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施，進(jìn)一步明確了網(wǎng)絡(luò)安全等級保護(hù)制度的法律地位，網(wǎng)絡(luò)安全等級保護(hù)對象、保護(hù)措施要求、范圍等都發(fā)生了很大的變化，需要修訂原來的標(biāo)準(zhǔn)，以適應(yīng)網(wǎng)絡(luò)安全等級保護(hù)制度要求。 [3]

編制進(jìn)程

2014年11月19日，國家標(biāo)準(zhǔn)計劃《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(20141151-T-469)下達(dá)，項目周期12個月， 由TC260(全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會)歸口上報及執(zhí)行 ，主管部門為國家標(biāo)準(zhǔn)化管理委員會。全國標(biāo)準(zhǔn)信息公共服務(wù)平臺顯示，該計劃已完成網(wǎng)上公示、起草、征求意見、審查、批準(zhǔn)、發(fā)布工作。 [4]

2019年5月10日，國家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)由中華人民共和國國家市場監(jiān)督管理總局、中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布。 [2]

2019年12月1日，國家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)實(shí)施，全部代替國家標(biāo)準(zhǔn)《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)。 [1]

修訂依據(jù)

國家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)依據(jù)中國國家標(biāo)準(zhǔn)《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則》(GB/T 1.1-2009)規(guī)則起草。 [2]

修訂情況

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)與《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)相比，主要變化如下：

將標(biāo)準(zhǔn)名稱變更為《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》;

調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理;

調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求;

取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，增加一個附錄A描述等級保護(hù)對象的定級結(jié)果和安仝要求之間的關(guān)系，說明如何根據(jù)定級結(jié)果選擇安全要求;

調(diào)整了原來附錄A和附錄B的順序，增加了附錄C描述網(wǎng)絡(luò)安全等級保護(hù)總體框架，并提出關(guān)鍵技術(shù)使用要求。 [2]

起草工作

主要起草單位：公安部第三研究所(公安部信息安全等級保護(hù)評估中心) 、國家能源局信息中心 、阿里云計算有限公司 、中國科學(xué)院信息工程研究所(信息安全國家重點(diǎn)實(shí)驗室) 、新華三技術(shù)有限公司 、華為技術(shù)有限公司 、啟明星辰信息技術(shù)集團(tuán)股份有限公司 、北京鼎普科技股份有限公司 、中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所 、公安部第一研究所 、國家信息中心 、山東微分電子科技有限公司 、中國電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測評中心) 、浙江大學(xué) 、工業(yè)和信息化部計算機(jī)與微電子發(fā)展研究中心(中國軟件評測中心) 、浙江國利信安科技有限公司 、機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所 、杭州科技職業(yè)技術(shù)學(xué)院 。 [1]

主要起草人：馬力 、陳廣勇 、張振峰 、郭啟全 、葛波蔚 、祝國邦 、陸磊 、曲潔 、于東升 、李秋香 、任衛(wèi)紅 、胡紅升 、陳雪鴻 、馮冬芹 、王江波 、張宗喜 、張宇翔 、畢馬寧 、沙淼淼 、李明 、黎水林 、于晴 、李超 、劉之濤 、袁靜 、霍珊珊 、黃順京 、尹湘培 、蘇艷芳 、陶源 、陳雪秀 、于俊杰 、沈錫鏞 、杜靜 、周穎 、吳薇 、劉志宇 、宮月 、王昱鑌 、祿凱 、章恒 、高亞楠 、段偉恒 、馬閩 、賈馳千 、陸耿虹 、高夢州 、趙泰 、孫曉軍 、許鳳凱 、王紹杰 、馬紅霞 、劉美麗 。 [1]

標(biāo)準(zhǔn)目次

內(nèi)容范圍

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019) 規(guī)定了第一級到第四級等級保護(hù)對象的安全保護(hù)的基本要求，每個級別的基本要求均由安全通用要求和安全擴(kuò)展要求構(gòu)成。 [3]

安全要求細(xì)分為技術(shù)要求和管理要求。其中技術(shù)要求部分為“安全物理環(huán)境”、“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計算環(huán)境”、“安全管理中心”;管理要求部分為“安全管理制度”、“安全管理機(jī)構(gòu)”、“安全管理人員”、“安全建設(shè)管理”、“安全運(yùn)維管理”，兩者合計共分為10大類。 [3]

安全技術(shù)要求的分類體現(xiàn)了“從外部到內(nèi)部”的縱深防御思想，對等級保護(hù)對象的安全防護(hù)應(yīng)考慮從通信網(wǎng)絡(luò)、區(qū)域邊界和計算環(huán)境從外到內(nèi)的整體防護(hù)，同時考慮其所處的物理環(huán)境的安全防護(hù)，對級別較高的還需要考慮對分布在整個系統(tǒng)中的安全功能或安全組件的集中技術(shù)管理手段。 [3]

安全管理要求的分類體現(xiàn)了“從要素到活動”的綜合管理思想，安全管理需要的“機(jī)構(gòu)”、“制度”和“人員”三要素缺一不可，同時應(yīng)對系統(tǒng)的建設(shè)整改過程和運(yùn)行維護(hù)過程中重要活動實(shí)施控制和管理，對級別較高的需要構(gòu)建完備的安全管理體系。 [3]

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)適用于指導(dǎo)分等級的非涉密對象的安全建設(shè)和監(jiān)督管理。[

引用文件

參考資料：

意義價值

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)體現(xiàn)了綜合防御、縱深防御、主動防御思想。 《網(wǎng)絡(luò)安全法》明確了“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”、“關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”等內(nèi)容，為網(wǎng)絡(luò)安全等級保護(hù)工作賦予了新的內(nèi)涵。為配合《網(wǎng)絡(luò)安全法》的實(shí)施和落地，指導(dǎo)網(wǎng)絡(luò)運(yùn)營者按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，重新調(diào)整和修訂等級保護(hù)系列標(biāo)準(zhǔn)意義重大。尤其是等級保護(hù)對象已經(jīng)從狹義的信息系統(tǒng)，擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等，重新調(diào)整和修訂等級保護(hù)系列標(biāo)準(zhǔn)，基于新技術(shù)和新要求提出新的技術(shù)防護(hù)體系和管理措施、安全建設(shè)設(shè)計實(shí)現(xiàn)方式以及等級測評方法等非常必要，可有效指導(dǎo)網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展網(wǎng)絡(luò)安全等級保護(hù)安全技術(shù)方案的設(shè)計和實(shí)施，指導(dǎo)測評機(jī)構(gòu)更加規(guī)范化和標(biāo)準(zhǔn)化的開展等級測評工作，進(jìn)而全面提升網(wǎng)絡(luò)運(yùn)營者的網(wǎng)絡(luò)安全防護(hù)能力。

ISO發(fā)布信息安全管理體系審核指南

ISO發(fā)布信息安全管理體系審核指南 1保護(hù)敏感的公司信息和個人數(shù)據(jù)的安全不僅對任何企業(yè)都至關(guān)重要，而且也是一項法律義務(wù)。許多組織都借助……

移動智能終端安全管理體系認(rèn)證證書

移動智能終端安全管理體系認(rèn)證證書 辦理移動智能終端安全管理體系認(rèn)證證書申請移動智能終端安全管理體系認(rèn)證證書流程1、按照服務(wù)質(zhì)量評價體……

電子政務(wù)移動辦公系統(tǒng)管理體系認(rèn)證證書

電子政務(wù)移動辦公系統(tǒng)管理體系認(rèn)證證書 申請好處∶1、爭強(qiáng)產(chǎn)品在市場上的競爭力2、提高公司的知名度3、吸引經(jīng)銷商代理商的加盟4、把牌匾復(fù)……

信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書

信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書 信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書是什么？隨著經(jīng)濟(jì)的發(fā)展，信息技術(shù)……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗，各項業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟(jì)社會發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開展節(jié)能。在積極促進(jìn)國際貿(mào)易，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，保護(hù)消費(fèi)者安全健康，構(gòu)建社會誠信體系，參與"兩型"社會建設(shè)等方面做出了積極貢獻(xiàn)。同時，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念，正在朝著建立社會公信力高，有較強(qiáng)創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展，為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價格實(shí)惠，證書真實(shí)有效，認(rèn)監(jiān)委可查，如有疑問，可點(diǎn)擊kaotong66.com了解詳情，竭誠為您服務(wù)!