网络安全等级保护定级指南（GB/T22240-2020）

网络安全等级保护定级指南（GB/T 22240-2020）是中国于2020年11月1日开始实施的一项国家标准，旨在配合《中华人民共和国网络安全法》的实施，并适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展。以下是对该指南的详细概述：

一、标准基本信息

标准号：GB/T 22240-2020

中文名：信息安全技术 网络安全等级保护定级指南

外文名：Information security technology—Classification guide for classified protection of cybersecurity

发布日期：2020年4月28日

实施日期：2020年11月1日

起草单位：公安部第三研究所、阿里云计算有限公司、深圳市腾讯计算机系统有限公司、启明星辰信息技术集团股份有限公司、亚信科技(成都)有限公司、审计署计算机技术中心等

主要起草人：曲洁、尚旭光、黄顺京、李明、黎水林、张振峰等

二、主要内容

1. 网络安全保护等级划分

该指南明确了网络安全保护等级为五个级别，从低到高分别为：

（1）第一级：用户自主保护级

（2）第二级：系统审计保护级

（3）第三级：安全标记保护级

（4）第四级：结构化保护级

（5）第五级：访问验证保护级

各级别的详细定义和描述可参见GB 17859-1999《计算机信息系统 安全保护等级划分准则》。

2. 定级要素

定级包含两个要素：

（1）受侵害的客体：包括公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。

（2）对客体的侵害程度：分为造成一般损害、造成严重损害、造成特别严重损害。

3. 定级流程

定级流程包括五个步骤：

（1）确定定级对象：明确具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源的对象作为定级对象。

（2）初步确定等级：根据业务信息安全和系统服务安全两方面，确定受侵害的客体和对客体的侵害程度，从而初步确定安全保护等级。

（3）专家评审：组织信息安全专家和业务专家对定级结果的合理性进行评审，并出具专家评审意见。

（4）主管部门核准：有行业主管（监管）部门的，还需将定级结果报请行业主管（监管）部门核准，并出具核准意见。

（5）备案审核：定级对象的网络运营者按照相关管理规定，将定级结果提交公安机关进行备案审核。审核通过后，最终确定定级对象的安全保护等级。

三、总结

《网络安全等级保护定级指南（GB/T 22240-2020）》为信息系统运营者提供了明确的定级方法和流程，有助于他们根据信息系统的实际情况和潜在威胁程度，合理确定安全保护等级，并采取相应的安全措施。同时，该指南的实施也促进了网络安全等级保护工作的规范化和标准化。