信息安全技术网络安全安全等级保护基本要求第1部分安.doc

信息安全技术 网络安全安全等级保护基本要求 第1部分 安全通用要求编制说明一、 任务来源信息安全技术 信息系统安全等级保护基本要求于2008年成为国家标准，标准号为GB/T 22239-2008。GB/T 22239-2008在我国推行信息安全等级保护制度的过程中起到了非常重要的作用，被广泛应用于各个行业的用户开展信息系统安全等级保护的建设整改、等级测评工作中。但是随着信息技术的发展，已有6年历史的GB/T 22239-2008在时效性、易用性、可操作性上还需进一步完善，2013年，公安部第三研究所联合国家能源局信息中心以及北京网御星云信息技术有限公司向安标委申请对GB/T 22239进行修订。根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，对原国家标准信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008修订任务由公安部第三研究所负责，项目编号为2013bzxd-WG5-002。二、 主要工作过程1）2013年12月，公安部第三研究所、国家能源局信息中心以及北京网御星云信息技术有限公司成立了标准编制组。2）2014年1月至3月，标准编制组按照计划调研了国际和国内无线接入、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况，分析并总结了新技术和新应用中的安全关注点和要素；同时标准编制组调研了相关的其他国家标准和行业标准，分析了GB/T 22239-2008的修订可能对其他标准产生的影响，完成了等级保护基本要求修订研究报告。3）2014年4月至6月标准编制组在前述工作成果等级保护基本要求修订研究报告的基础上，对原国家标准信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）按照级别和层面进行了修订项的梳理，形成了基本要求草案修订汇总表，修订出标准草案第一稿。4）2014年5月，为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展，公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项，思路为GB/T 22239-2008的基础上，针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“基本要求”的分册，上述思路的变化直接影响了国家标准GB/T 22239-2008的修订思路、内容和计划。5）为了适应无线移动接入、虚拟计算环境、云计算、大数据、物联网和工控系统等新技术、新应用情况下信息安全等级保护工作的开展，对GB/T 22239-2008进行修订的思路和方法确定为针对无线移动接入、云计算、大数据、物联网和工控系统等新技术、新应用领域形成基本要求的多个部分。第一阶段完成六个部分，即GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求；GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求；GB/T 22239.3-XXXX 信息安全技术 网络安全等级保护基本要求 第3部分 移动互联安全扩展要求；GB/T 22239.4-XXXX 信息安全技术 网络安全等级保护基本要求 第4部分 物联网安全扩展要求；GB/T 22239.5-XXXX 信息安全技术 网络安全等级保护基本要求 第5部分 工业控制安全扩展要求；GB/T 22239.5-XXXX 信息安全技术 网络安全等级保护基本要求 第6部分 大数据安全扩展要求。6）2014年7月至2015年3月各个标准编制组（公安部信息安全等级保护评估中心负责第1部分 安全通用要求、第2部分 云计算安全扩展要求和第6部分 大数据安全扩展要求；北京鼎普科技股份有限公司负责第3部分 移动互联安全扩展要求；公安部第一研究所负责第4部分 物联网安全扩展要求；浙江大学负责第5部分 工业控制安全扩展要求）组织了标准各个部分的编制和修订工作，形成了基本要求系列标准六个部分的草案第一稿。7）2015年4月29日，公安部评估中心组织专家对基本要求标准各个部分进行了评审。会后，标准编制组按照专家提出的修改建议，对草案进行了修改，形成了标准草案第二稿。8）2015年12月8日，公安部评估中心再次组织专家对基本要求标准各个部分进行了第二次评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准草案第三稿。9）2016年3月，标准编制组将基本要求标准各个部分（草案第三稿）征求公安部十一局和沈昌祥院士的意见。标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准草案第四稿。10）2016年6月，标准编制组将基本要求标准 第1部分 安全通用要求（草案第四稿和草案第五稿）征求沈昌祥院士的意见。标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准草案第六稿。11）2016年7月1日，公安部评估中心再次组织专家对基本要求标准各个部分进行了第三次评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，形成了标准草案第七稿。三、 标准的主要修订内容1）为配合国家落实“网络安全等级保护制度”，标准的名称由原来的GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求改为“信息安全技术 网络安全等级保护基本要求”，标准由原来的一个标准变更为多个部分组成的标准，分别为：GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求；GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求；GB/T 22239.3-XXXX 信息安全技术 网络安全等级保护基本要求 第3部分 移动互联安全扩展要求；GB/T 22239.4-XXXX 信息安全技术 网络安全等级保护基本要求 第4部分 物联网安全扩展要求；GB/T 22239.5-XXXX 信息安全技术 网络安全等级保护基本要求 第5部分 工业控制安全扩展要求。GB/T 22239.6-XXXX 信息安全技术 网络安全等级保护基本要求 第6部分 大数据安全扩展要求。2）等级保护对象由原来的信息系统，调整为：安全等级保护的对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等。3）各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”修订为“物理和环境安全”、“网络和通信安全”、“设备和计算安全”、“应用和数据安全”；各级管理要求的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”修订为“安全策略和管理制度”、“安全管理机构和人员”、“安全建设管理”、“安全运维管理”；4）取消了原来安全控制点的S、A、G标注，增加一个附录B 安全要求的选择和使用 描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级的S、A结果选择安全要求的相关条款，简化了标准正文部分的内容。5）增加了一个附录A 等级保护安全框架和关键技术 。四、 与相关法律法规及国家有关规定、国内相关标准的关系本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。五、 有关问题的说明项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工作过程中遵循编制原则，对国内外现状做了大量调研，完成了标准修订工作。在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作。本项目是对国家推荐性标准GB/T22239-2008的修订，建议修订后的标准还是为国家推荐性标准。六、 废止现行有关标准的建议标准修订完成后