《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)是2019年12月1日實(shí)施的一項(xiàng)中國(guó)國(guó)家標(biāo)準(zhǔn)，歸口于全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)。

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全通用要求和安全擴(kuò)展要求。該標(biāo)準(zhǔn)適用于指導(dǎo)分等級(jí)的非涉密對(duì)象的安全建設(shè)和監(jiān)督管理。

制定過(guò)程

修訂背景

《信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)在中國(guó)推行信息安全等級(jí)保護(hù)制度的過(guò)程中起到了非常重要的作用，被廣泛應(yīng)用于各個(gè)行業(yè)或領(lǐng)域指導(dǎo)用戶開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)整改、等級(jí)測(cè)評(píng)等工作。但是隨著信息技術(shù)的發(fā)展，采用新技術(shù)、新應(yīng)用構(gòu)建的云計(jì)算平臺(tái)、移動(dòng)互聯(lián)接入、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)應(yīng)用等系統(tǒng)的大量出現(xiàn)，已有10年歷史的這三項(xiàng)標(biāo)準(zhǔn)在時(shí)效性、易用性、可操作性上需要進(jìn)一步修訂完善。同時(shí)，2017年6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施，進(jìn)一步明確了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的法律地位，網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象、保護(hù)措施要求、范圍等都發(fā)生了很大的變化，需要修訂原來(lái)的標(biāo)準(zhǔn)，以適應(yīng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求。 [3]

編制進(jìn)程

2014年11月19日，國(guó)家標(biāo)準(zhǔn)計(jì)劃《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(20141151-T-469)下達(dá)，項(xiàng)目周期12個(gè)月， 由TC260(全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì))歸口上報(bào)及執(zhí)行 ，主管部門為國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)。全國(guó)標(biāo)準(zhǔn)信息公共服務(wù)平臺(tái)顯示，該計(jì)劃已完成網(wǎng)上公示、起草、征求意見(jiàn)、審查、批準(zhǔn)、發(fā)布工作。 [4]

2019年5月10日，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)由中華人民共和國(guó)國(guó)家市場(chǎng)監(jiān)督管理總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布。 [2]

2019年12月1日，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)實(shí)施，全部代替國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)。 [1]

修訂依據(jù)

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)依據(jù)中國(guó)國(guó)家標(biāo)準(zhǔn)《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)規(guī)則》(GB/T 1.1-2009)規(guī)則起草。 [2]

修訂情況

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)與《信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)相比，主要變化如下：

將標(biāo)準(zhǔn)名稱變更為《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》;

調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理;

調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求;

取消了原來(lái)安全控制點(diǎn)的S、A、G標(biāo)注，增加一個(gè)附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安仝要求之間的關(guān)系，說(shuō)明如何根據(jù)定級(jí)結(jié)果選擇安全要求;

調(diào)整了原來(lái)附錄A和附錄B的順序，增加了附錄C描述網(wǎng)絡(luò)安全等級(jí)保護(hù)總體框架，并提出關(guān)鍵技術(shù)使用要求。 [2]

起草工作

主要起草單位：公安部第三研究所(公安部信息安全等級(jí)保護(hù)評(píng)估中心) 、國(guó)家能源局信息中心 、阿里云計(jì)算有限公司 、中國(guó)科學(xué)院信息工程研究所(信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室) 、新華三技術(shù)有限公司 、華為技術(shù)有限公司 、啟明星辰信息技術(shù)集團(tuán)股份有限公司 、北京鼎普科技股份有限公司 、中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所 、公安部第一研究所 、國(guó)家信息中心 、山東微分電子科技有限公司 、中國(guó)電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心) 、浙江大學(xué) 、工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國(guó)軟件評(píng)測(cè)中心) 、浙江國(guó)利信安科技有限公司 、機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所 、杭州科技職業(yè)技術(shù)學(xué)院 。 [1]

主要起草人：馬力 、陳廣勇 、張振峰 、郭啟全 、葛波蔚 、祝國(guó)邦 、陸磊 、曲潔 、于東升 、李秋香 、任衛(wèi)紅 、胡紅升 、陳雪鴻 、馮冬芹 、王江波 、張宗喜 、張宇翔 、畢馬寧 、沙淼淼 、李明 、黎水林 、于晴 、李超 、劉之濤 、袁靜 、霍珊珊 、黃順京 、尹湘培 、蘇艷芳 、陶源 、陳雪秀 、于俊杰 、沈錫鏞 、杜靜 、周穎 、吳薇 、劉志宇 、宮月 、王昱鑌 、祿凱 、章恒 、高亞楠 、段偉恒 、馬閩 、賈馳千 、陸耿虹 、高夢(mèng)州 、趙泰 、孫曉軍 、許鳳凱 、王紹杰 、馬紅霞 、劉美麗 。 [1]

標(biāo)準(zhǔn)目次

內(nèi)容范圍

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019) 規(guī)定了第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全保護(hù)的基本要求，每個(gè)級(jí)別的基本要求均由安全通用要求和安全擴(kuò)展要求構(gòu)成。 [3]

安全要求細(xì)分為技術(shù)要求和管理要求。其中技術(shù)要求部分為“安全物理環(huán)境”、“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計(jì)算環(huán)境”、“安全管理中心”;管理要求部分為“安全管理制度”、“安全管理機(jī)構(gòu)”、“安全管理人員”、“安全建設(shè)管理”、“安全運(yùn)維管理”，兩者合計(jì)共分為10大類。 [3]

安全技術(shù)要求的分類體現(xiàn)了“從外部到內(nèi)部”的縱深防御思想，對(duì)等級(jí)保護(hù)對(duì)象的安全防護(hù)應(yīng)考慮從通信網(wǎng)絡(luò)、區(qū)域邊界和計(jì)算環(huán)境從外到內(nèi)的整體防護(hù)，同時(shí)考慮其所處的物理環(huán)境的安全防護(hù)，對(duì)級(jí)別較高的還需要考慮對(duì)分布在整個(gè)系統(tǒng)中的安全功能或安全組件的集中技術(shù)管理手段。 [3]

安全管理要求的分類體現(xiàn)了“從要素到活動(dòng)”的綜合管理思想，安全管理需要的“機(jī)構(gòu)”、“制度”和“人員”三要素缺一不可，同時(shí)應(yīng)對(duì)系統(tǒng)的建設(shè)整改過(guò)程和運(yùn)行維護(hù)過(guò)程中重要活動(dòng)實(shí)施控制和管理，對(duì)級(jí)別較高的需要構(gòu)建完備的安全管理體系。 [3]

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)適用于指導(dǎo)分等級(jí)的非涉密對(duì)象的安全建設(shè)和監(jiān)督管理。[

引用文件

參考資料：

意義價(jià)值

《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)體現(xiàn)了綜合防御、縱深防御、主動(dòng)防御思想。 《網(wǎng)絡(luò)安全法》明確了“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”、“關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”等內(nèi)容，為網(wǎng)絡(luò)安全等級(jí)保護(hù)工作賦予了新的內(nèi)涵。為配合《網(wǎng)絡(luò)安全法》的實(shí)施和落地，指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，重新調(diào)整和修訂等級(jí)保護(hù)系列標(biāo)準(zhǔn)意義重大。尤其是等級(jí)保護(hù)對(duì)象已經(jīng)從狹義的信息系統(tǒng)，擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等，重新調(diào)整和修訂等級(jí)保護(hù)系列標(biāo)準(zhǔn)，基于新技術(shù)和新要求提出新的技術(shù)防護(hù)體系和管理措施、安全建設(shè)設(shè)計(jì)實(shí)現(xiàn)方式以及等級(jí)測(cè)評(píng)方法等非常必要，可有效指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施，指導(dǎo)測(cè)評(píng)機(jī)構(gòu)更加規(guī)范化和標(biāo)準(zhǔn)化的開(kāi)展等級(jí)測(cè)評(píng)工作，進(jìn)而全面提升網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全防護(hù)能力。

ISO發(fā)布信息安全管理體系審核指南

ISO發(fā)布信息安全管理體系審核指南 1保護(hù)敏感的公司信息和個(gè)人數(shù)據(jù)的安全不僅對(duì)任何企業(yè)都至關(guān)重要，而且也是一項(xiàng)法律義務(wù)。許多組織都借助……

移動(dòng)智能終端安全管理體系認(rèn)證證書(shū)

移動(dòng)智能終端安全管理體系認(rèn)證證書(shū) 辦理移動(dòng)智能終端安全管理體系認(rèn)證證書(shū)申請(qǐng)移動(dòng)智能終端安全管理體系認(rèn)證證書(shū)流程1、按照服務(wù)質(zhì)量評(píng)價(jià)體……

電子政務(wù)移動(dòng)辦公系統(tǒng)管理體系認(rèn)證證書(shū)

電子政務(wù)移動(dòng)辦公系統(tǒng)管理體系認(rèn)證證書(shū) 申請(qǐng)好處∶1、爭(zhēng)強(qiáng)產(chǎn)品在市場(chǎng)上的競(jìng)爭(zhēng)力2、提高公司的知名度3、吸引經(jīng)銷商代理商的加盟4、把牌匾復(fù)……

信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書(shū)

信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書(shū) 信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書(shū)信息技術(shù)運(yùn)行維護(hù)服務(wù)規(guī)范認(rèn)證證書(shū)是什么？隨著經(jīng)濟(jì)的發(fā)展，信息技術(shù)……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國(guó)際質(zhì)量認(rèn)證工作經(jīng)驗(yàn)，各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開(kāi)展節(jié)能。在積極促進(jìn)國(guó)際貿(mào)易，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，保護(hù)消費(fèi)者安全健康，構(gòu)建社會(huì)誠(chéng)信體系，參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí)，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念，正在朝著建立社會(huì)公信力高，有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國(guó)際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開(kāi)展，為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠(chéng)信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠，證書(shū)真實(shí)有效，認(rèn)監(jiān)委可查，如有疑問(wèn)，可點(diǎn)擊了解詳情，竭誠(chéng)為您服務(wù)!