GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南

De3

ICS35.040

L80

中华人民共和国国家标准

GB/T22240—2008

信息安全技术

信息系统安全等级保护定级指南

Informationsecuritytechnology-

Classificationguideforclassifiedprotectionofinformationsystem

2008-06-19发布2008-11-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

GB/T22240—2008

目次

目次I

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4定级原理1

4.1信息系统安全保护等级1

4.2信息系统安全保护等级的定级要素2

4.2.1受侵害的客体2

4.2.2对客体的侵害程度2

4.3定级要素与等级的关系2

5定级方法3

5.1定级的一般流程3

5.2确定定级对象4

5.3确定受侵害的客体5

5.4确定对客体的侵害程度5

5.4.1侵害的客观方面6

5.4.2综合判定侵害程度6

5.5确定定级对象的安全保护等级7

6等级变更8

I

GB/T22240—2008

前言

（略）

II

GB/T22240—2008

引言

依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：

——GB/T22239—2008《信息系统安全等级保护基本要求》；

——国家标准《信息系统安全等级保护实施指南》；

——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中

的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

III

GB/T22240—2008

信息安全技术

信息系统安全等级保护定级指南

1范围

本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提

供指导。

2规范性引用文件

下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所

有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方

研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分：安全（GB/T5271.8—2001，idtISO/IEC2382-8：1998）

GB17859计算机信息系统安全保护等级划分准则

3术语和定义

GB/T5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1

等级保护对象targetofclassifiedsecurity

信息安全等级保护工作直接作用的具体的信息和信息系统。

3.2

客体object

受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益

以及公民、法人或其他组织的合法权益。

3.3

客观方面objective

对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

3.4

系统服务systemservice

信息系统为支撑其所承载业务而提供的程序化过程。

4定级原理

4.1信息系统安全保护等级

1

GB/T22240—2008

根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不