《信息安全技术 网络安全等级保护基本要求-编制说明》

一、任务来源

《信息安全技术信息系统安全等级保护基本要求》于2008年成为国家标准，标

准号为GB/T22239-2008。GB/T22239-2008在我国推行信息安全等级保护制度的过程

中起到了非常重要的作用，被广泛应用于各个行业的用户开展信息系统安全等级保护的

建设整改、等级测评工作中。但是随着信息技术的发展，已有6年历史的GB/T22239-2008

在时效性、易用性、可操作性上还需进一步完善，2013年，公安部第三研究所联合国家

能源局信息中心以及北京网御星云信息技术有限公司向安标委申请对GB/T22239进行

修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，对原国

家标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008修订任务由

公安部第三研究所负责，项目编号为2013bzxd-WG5-002。

二、主要工作过程

1）2013年12月，公安部第三研究所、国家能源局信息中心以及北京网御星云信息

技术有限公司成立了标准编制组。

2）2014年1月至3月，标准编制组按照计划调研了国际和国内无线接入、云计算

平台、大数据应用和工控系统应用等新技术、新应用的情况，分析并总结了新技术和新

应用中的安全关注点和要素；同时标准编制组调研了相关的其他国家标准和行业标准，

分析了GB/T22239-2008的修订可能对其他标准产生的影响，完成了《等级保护基本要

求修订研究报告》。

3）2014年4月至6月标准编制组在前述工作成果《等级保护基本要求修订研究报

告》的基础上，对原国家标准《信息安全技术信息系统安全等级保护基本要求》（GB/T

22239-2008）按照级别和层面进行了修订项的梳理，形成了《基本要求草案修订汇总表》，

修订出标准草案第一稿。

4）2014年5月，为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据

应用和工控系统应用等新技术、新应用的情况下等级保护工作开展，公安部十一局牵头

会同有关部门组织2014年新领域的国家标准立项，思路为GB/T22239-2008的基础上，

针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新

领域形成“基本要求”的分册，上述思路的变化直接影响了国家标准GB/T22239-2008

的修订思路、内容和计划。

5）为了适应无线移动接入、虚拟计算环境、云计算、大数据、物联网和工控系统

等新技术、新应用情况下信息安全等级保护工作的开展，对GB/T22239-2008进行修订

的思路和方法确定为针对无线移动接入、云计算、大数据、物联网和工控系统等新技术、

新应用领域形成基本要求的多个部分。第一阶段完成六个部分，即——GB/T

22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求；

——GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分云计算

安全扩展要求；——GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求第

3部分移动互联安全扩展要求；——GB/T22239.4-XXXX信息安全技术网络安全等级

保护基本要求第4部分物联网安全扩展要求；——GB/T22239.5-XXXX信息安全技术

网络安全等级保护基本要求第5部分工业控制安全扩展要求；——GB/T22239.5-XXXX

信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求。

6）2014年7月至2015年3月各个标准编制组（公安部信息安全等级保护评估中心

负责第1部分安全通用要求、第2部分云计算安全扩展要求和第6部分大数据安全

扩展要求；北京鼎普科技股份有限公司负责第3部分移动互联安全扩展要求；公安部

第一研究所负责第4部分物联网安全扩展要求；浙江大学负责第5部分工业控制安全

扩展要求）组织了标准各个部分的编制和修订工作，形成了基本要求系列标准六个部分

的草案第一稿。

7）2015年4月29日，公安部评估中心组织专家对基本要求标准各个部分进行了评

审。会后，标准编制组按照专家提出的修改建议，对草案进行了修改，形成了标准草案

第二稿。

8）2015年12月8日，公安部评估中心再次组织专家对基本要求标准各个部分进行

了第二次评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，

形成了标准草案第三稿。

9）2016年3月，标准编制组将基本要求标准各个部分（草案第三稿）征求公安部

十一局和沈昌祥院士的意见。标准编制组再次按照专家提出的修改建议，对草案进行了

修改，形成了标准草案第四稿。

10）2016年6月，标准编制组将基本要求标准第1部分安全通用要求（草案第四

稿和草案第五稿）征求沈昌祥院士的意见。标准编制组再次按照专家提出的修改建议，

对草案进行了修改，形成了标准草案第六稿。

11）2016年7月1日，公安部评估中心再次组织专家对基本要求标准各个部分进行

7

了第三次评审。会后，标准编制组再次按照专家提出的修改建议，对草案进行了修改，

形成了标准草案第七稿。

三、标准的主要修订内容

1）为配合国家落实“网络安全等级保护制度”，标准的名称由原来的GB/T22239-2008

《信息安全技术信息系统安全等级保护基本要求》改为“信息安全技术网络安全等级

保护基本要求”，标准由原来的一个标准变更为多个部分组成的标准，分别为：

——GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求

第1部分安全通用要求；

——GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求

第2部分云计算安全扩展要求；

——GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求

第3部分移动互联安全扩展要求；

——GB/T22239.4-XXXX信息安全技术网络安全等级保护基本要求

第4部分物联网安全扩展要求；

——GB/T22239.5-XXXX信息安全技术网络安全等级保护基本要求

第5部分工业控制安全扩展要求。

——GB/T22239.6-XXXX信息安全技术网络安全等级保护基本要求

第6部分大数据安全扩展要求。

2）等级保护对象由原来的信息系统，调整为：安全等级保护的对象包括网络基础

设施、信息系统、大数据、云计算平台、物联网、工控系统等。

3）各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数

据安全和备份与恢复”修订为“物理和环境安全”、“网络和通信安全”、“设备和计算安

全”、“应用和数据安全”；各级管理要求的“安全管理制度”、“安全管理机构”、“人员

安全管理”、“系统建设管理”和“系统运维管理”修订为“安全策略和管理制度”、“安

全管理机构和人员”、“安全建设管理”、“安全运维管理”；

4）取消了原来安全控制点的S、A、G标注，增加一个附录B安全要求的选择和使

用描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级的S、A结

果选择安全要求的相关条款，简化了标准正文部分的内容。

5）增加了一个附录A等级保护安全框架和关键技术。

四、与相关法律法规及国家有关规定、国内相关标准的关系

7

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

五、有关问题的说明

项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工

作过程中遵循编制原则，对国内外现状做了大量调研，完成了标准修订工作。在整个过

程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地

完善了我们的标准编制工作。

本项目是对国家推荐性标准GB/T22239-2008的修订，建议修订后的标准还是为国

家推荐性标准。

六、废止现行有关标准的建议

标准修订完成后，——GB/T22239.1-XXXX信息安全技术网络安全等级保护基本

要求第1部分安全通用要求将替代原来的GB/T22239-2008《信息安全技术信息系统

安全等级保护基本要求》。

建议废止GB