ICS 35.040 L 80 GB 中华人民共和国国家标准 GB/T22239—2019 代替GB/T22239—2008 信息安全技术 网络安全等级保护基本要求 Information security technology- Baseline for classified protection of cybersecurity 2019-05-10发布 2019-12-01实施 国家市场监督管理总局 发布 中国国家标准化管理委员会 GB/T22239—2019 目 次 前言 II 引言 INV 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 网络安全等级保护概述 5.1 等级保护对象 5.2 不同级别的安全保护能力 5.3 安全通用要求和安全扩展要求 6 第 级安全要求 6.1 安全通用要求 6.2 云计算安全扩展要求 6.3 移动互联安全扩展要求 10 6.4 物联网安全扩展要求· 10 6.5 工业控制系统安全扩展要求 11 二级安全要求 12 7.1 安全通用要求 12 7.2 云计算安全扩展要求.. 21 7.3 移动互联安全扩展要求 23 7.4 物联网安全扩展要求 24 7.5 工业控制系统安全扩展要求 24 第三级安全要求， 26 8.1 安全通用要求 26 8.2 云计算安全扩展要求 38 8.3 移动互联安全扩展要求 40 8.4 物联网安全扩展要求· 42 8.5 工业控制系统安全扩展要求 43 第四级安全要求 45 9.1 安全通用要求 45 9.2 云计算安全扩展要求 57 9.3 移动互联安全扩展要求 9.4 物联网安全扩展要求 61 9.5 工业控制系统安全扩展要求 63 10 第五级安全要求 64 附录A（规范性附录） 关于安全通用要求和安全扩展要求的选择和使用 65 GB/T22239—2019 附录B（规范性附录) 关于等级保护对象整体安全保护能力的要求 69 附录C（规范性附录） 等级保护安全框架和关键技术使用要求 70 附录D（资料性附录) 云计算应用场景说明· 72 附录E（资料性附录） 移动互联应用场景说明 73 附录F(资料性附录) 物联网应用场景说明 74 附录G（资料性附录） 工业控制系统应用场景说明 75 附录H(资料性附录) 大数据应用场景说明. 78 参考文献 83 II GB/T22239—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T22239—2008《信息安全技术 信息系统安全等级保护基本要求》，与 GB/T22239—2008相比，主要变化如下： 将标准名称变更为《信息安全技术 网络安全等级保护基本要求》； 调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全 管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理； 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物 联网安全扩展要求和工业控制系统安全扩展要求： 取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安 全要求之间的关系，说明如何根据定级结果选择安全要求； 调整了原来附录A和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出 关键技术使用要求。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、国家能源局信息中心、 阿里云计算有限公司、中国科学院信息工程研究所（信息安全国家重点实验室）、新华三技术有限公司、 华为技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息 产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电 子科技集团公司第十五研究所（信息产业信息安全测评中心）、浙江大学、工业和信息化部计算机与微电 子发展研究中心（中国软件评测中心）、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研 究所、杭州科技职业技术学院 本标准主要起草人：马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、 任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙森淼、李明、黎水林、于晴、李超、 刘之涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪秀、于俊杰、沈锡铺、杜静、周颖、吴薇、刘志宇、 宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵泰、孙晓军、许凤凯、王绍杰、 马红霞、刘美丽。 本标准所代替标准的历次版本发布情况为： GB/T22239—2008。 II GB/T22239—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T22239—2008《信息安全技术 信息系统安全等级保护基本要求》，与 GB/T22239—2008相比，主要变化如下： 将标准名称变更为《信息安全技术 网络安全等级保护基本要求》； 调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全 管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理； 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物 联网安全扩展要求和工业控制系统安全扩展要求： 取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安 全要求之间的关系，说明如何根据定级结果选择安全要求； 调整了原来附录A和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出 关键技术使用要求。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、国家能源局信息中心、 阿里云计算有限公司、中国科学院信息工程研究所（信息安全国家重点实验室）、新华三技术有限公司、 华为技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息 产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电 子科技集团公司第十五研究所（信息产业信息安全测评中心）、浙江大学、工业和信息化部计算机与微电 子发展研究中心（中国软件评测中心）、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研 究所、杭州科技职业技术学院 本标准主要起草人：马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、 任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙森淼、李明、黎水林、于晴、李超、 刘之涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪秀、于俊杰、沈锡铺、杜静、周颖、吴薇、刘志宇、 宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵泰、孙晓军、许凤凯、王绍杰、 马红霞、刘美丽。 本标准所代替标准的历次版本发布情况为： GB/T22239—2008。 II GB/T22239—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T22239—2008《信息安全技术 信息系统安全等级保护基本要求》，与 GB/T22239—2008相比，主要变化如下： 将标准名称变更为《信息安全技术 网络安全等级保护基本要求》； 调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全 管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理； 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物 联网安全扩展要求和工业控制系统安全扩展要求： 取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安 全要求之间的关系，说明如何根据定级结果选择安全要求； 调整了原来附录A和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出 关键技术使用要求。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、国家能源局信息中心、 阿里云计算有限公司、中国科学院信息工程研究所（信息安全国家重点实验室）、新华三技术有限公司、 华为技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息 产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电 子科技集团公司第十五研究所（信息产业信息安全测评中心）、浙江大学、工业和信息化部计算机与微电 子发展研究中心（中国软件评测中心）、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研 究所、杭州科技职业技术学院 本标准主要起草人：马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、 任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙森淼、李明、黎水林、于晴、李超、 刘之涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪秀、于俊杰、沈锡铺、杜静、周颖、吴薇、刘志宇、 宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵