GA/T 1389-2017 信息安全技术 网络安全等级保护定级指南

ICS35.40

L80

中华人民共和国公共安全行业标准

/—

GAT13892017

信息安全技术

网络安全等级保护定级指南

ㅤㅤㅤㅤ

Informationsecurittechnolo—

ygy

Guidelinesforradinofclassifiedrotectionofcbersecurit

ggpyy

2017-05-08发布2017-05-08实施

中华人民共和国公安部发布

/—

GAT13892017

目次

前言…………………………Ⅰ

引言…………………………Ⅱ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4定级原理及流程…………………………2

4.1安全保护等级………………………2

4.2定级要素……………2

4.2.1定级要素概述…………………2

4.2.2受侵害的客体…………………2

4.2.3对客体的侵害程度……………3

4.3定级要素与安全保护等级的关系…………………3

4.4定级流程……………3

5确定定级对象……………4

5.1基础信息网络………………………4

ㅤㅤㅤㅤ

5.2信息系统……………4

5.2.1工业控制系统…………………4

5.2.2云计算平台……………………4

5.2.3物联网…………………………4

5.2.4采用移动互联技术的信息系统………………5

5.2.5其他信息系统…………………5

5.3大数据………………5

6初步确定安全保护等级…………………5

6.1定级方法概述………………………5

6.2确定受侵害的客体…………………6

6.3确定对客体的侵害程度……………6

6.3.1侵害的客观方面………………6

6.3.2综合判定侵害程度……………6

6.4确定安全保护等级…………………6

7专家评审…………………7

8主管部门审核……………7

9公安机关备案审查………………………7

10等级变更…………………7

()………………

附录资料性附录各级等级保护对象定级工作要求

A8

()……………………

附录资料性附录定级方法流程

B9

参考文献……………………10

/—

GAT13892017

引言

《》()《

依据中华人民共和国计算机信息系统安全保护条例国务院147号令和信息安全等级保护管

》(〔〕)。

理办法公通字200743号制定本标准

与本标准相关的国家系列标准包括:

———/—信息安全技术信息系统安全等级保护实施指南;

GBT250582010

———/—信息安全技术信息系统安全等级保护基本要求;

GBT222392008

———/—信息安全技术信息系统安全等级保护测评要求。

GBT284482012

,、、

本标准依据等级保护相关管理文件综合考虑保护对象在国家安全经济建设社会生活中的重要

,、、、

程度以及保护对象遭到破坏后对国家安全社会秩序公共利益以及公民法人和其他组织的合法权益

,。

的危害程度等因素提出确定保护对象安全保护等级的方法

ㅤㅤㅤㅤ

Ⅱ

/—

GAT13892017

信息安全技术

网络安全等级保护定级指南

1范围

本标准规定了网络安全等级保护的定级方法和定级流程。

本标准适用于为等级保护对象的定级工作提供指导。

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

—计算机信息系统安全保护等级划分准则

GB178591999

/—信息安全技术术语

GBT250692010

3术语和定义

—和/—界定的以及下列术语和定义适用于本文件。

GB178591999GBT250692010

ㅤㅤㅤㅤ

3.1

等级保护对象taretofclassifiedrotection

gp

,、(、

网络安全等级保护工作的作用对象主要包括基础信息网络信息系统例如工业控制系统云计算

、、)。

平台物联网使用移动互联技术的信息系统以及其他信息系统和大数据等

3.2

基础信息网络basici

nformationnetwork

、,、、、

为信息流通信息系统运行等起基础支撑作用的信息网络包括电信网广播电视传输网互联网

业务专网等网络设备设施。

3.3

信息系统informationsstem

y

、,

由计算机和类计算机的软硬件及其相关的和配套的设备设施构成的按照一定的应用目标和规则

进行信息处理或过程控制的资源集合。

:,。

注资源可以是物理设备也可以是虚拟设备

3.4

国家关键信息基础设施nationalcriticalinformationinfrastructure

、、、、、

公共通信和信息服务能源金融交通水利公共服务和电子政务等重要行业和领域的基础信息

、,、,

网络重要信息系统和数据资源以及其他一旦遭到破坏丧失功能或数据泄露可能严重危害国家安

、。

全国计民生和公共利益的等级保护对象

3.5

客体obect

j

、。

受法律保护的等级保护对象受到破坏时所侵害的社会关系

1

/—

GAT13892017

3.6

客观方面obectiveasect

jp

,。

对客体造成侵害的客观外在表现包括侵害方式和侵害结果等

4定级原理及流程

4.1安全保护等级

,:

根据等级保护相关管理文件等级保护对象的安全保护等级分为以下级

5

),,、,

a第一级等级保护对象受到破坏后会对公民法人和其他组织的合法权益造成损害但不损害

、;

国家安全社会秩序和公共利益

),,、