一、任務(wù)來(lái)源

《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》于2008年成為國(guó)家標(biāo)準(zhǔn)，標(biāo)

準(zhǔn)號(hào)為GB/T22239-2008。GB/T22239-2008在我國(guó)推行信息安全等級(jí)保護(hù)制度的過(guò)程

中起到了非常重要的作用，被廣泛應(yīng)用于各個(gè)行業(yè)的用戶(hù)開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)的

建設(shè)整改、等級(jí)測(cè)評(píng)工作中。但是隨著信息技術(shù)的發(fā)展，已有6年歷史的GB/T22239-2008

在時(shí)效性、易用性、可操作性上還需進(jìn)一步完善，2013年，公安部第三研究所聯(lián)合國(guó)家

能源局信息中心以及北京網(wǎng)御星云信息技術(shù)有限公司向安標(biāo)委申請(qǐng)對(duì)GB/T22239進(jìn)行

修訂。

根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2013年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，對(duì)原國(guó)

家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T22239-2008修訂任務(wù)由

公安部第三研究所負(fù)責(zé)，項(xiàng)目編號(hào)為2013bzxd-WG5-002。

二、主要工作過(guò)程

1）2013年12月，公安部第三研究所、國(guó)家能源局信息中心以及北京網(wǎng)御星云信息

技術(shù)有限公司成立了標(biāo)準(zhǔn)編制組。

2）2014年1月至3月，標(biāo)準(zhǔn)編制組按照計(jì)劃調(diào)研了國(guó)際和國(guó)內(nèi)無(wú)線接入、云計(jì)算

平臺(tái)、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況，分析并總結(jié)了新技術(shù)和新

應(yīng)用中的安全關(guān)注點(diǎn)和要素；同時(shí)標(biāo)準(zhǔn)編制組調(diào)研了相關(guān)的其他國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，

分析了GB/T22239-2008的修訂可能對(duì)其他標(biāo)準(zhǔn)產(chǎn)生的影響，完成了《等級(jí)保護(hù)基本要

求修訂研究報(bào)告》。

3）2014年4月至6月標(biāo)準(zhǔn)編制組在前述工作成果《等級(jí)保護(hù)基本要求修訂研究報(bào)

告》的基礎(chǔ)上，對(duì)原國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T

22239-2008）按照級(jí)別和層面進(jìn)行了修訂項(xiàng)的梳理，形成了《基本要求草案修訂匯總表》，

修訂出標(biāo)準(zhǔn)草案第一稿。

4）2014年5月，為適應(yīng)無(wú)線移動(dòng)接入、虛擬計(jì)算環(huán)境、云計(jì)算平臺(tái)應(yīng)用、大數(shù)據(jù)

應(yīng)用和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況下等級(jí)保護(hù)工作開(kāi)展，公安部十一局牽頭

會(huì)同有關(guān)部門(mén)組織2014年新領(lǐng)域的國(guó)家標(biāo)準(zhǔn)立項(xiàng)，思路為GB/T22239-2008的基礎(chǔ)上，

針對(duì)無(wú)線移動(dòng)接入、虛擬計(jì)算環(huán)境、云計(jì)算平臺(tái)應(yīng)用、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新

領(lǐng)域形成“基本要求”的分冊(cè)，上述思路的變化直接影響了國(guó)家標(biāo)準(zhǔn)GB/T22239-2008

的修訂思路、內(nèi)容和計(jì)劃。

5）為了適應(yīng)無(wú)線移動(dòng)接入、虛擬計(jì)算環(huán)境、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工控系統(tǒng)

等新技術(shù)、新應(yīng)用情況下信息安全等級(jí)保護(hù)工作的開(kāi)展，對(duì)GB/T22239-2008進(jìn)行修訂

的思路和方法確定為針對(duì)無(wú)線移動(dòng)接入、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工控系統(tǒng)等新技術(shù)、

新應(yīng)用領(lǐng)域形成基本要求的多個(gè)部分。第一階段完成六個(gè)部分，即——GB/T

22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第1部分安全通用要求；

——GB/T22239.2-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分云計(jì)算

安全擴(kuò)展要求；——GB/T22239.3-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第

3部分移動(dòng)互聯(lián)安全擴(kuò)展要求；——GB/T22239.4-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)

保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求；——GB/T22239.5-XXXX信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第5部分工業(yè)控制安全擴(kuò)展要求；——GB/T22239.5-XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第6部分大數(shù)據(jù)安全擴(kuò)展要求。

6）2014年7月至2015年3月各個(gè)標(biāo)準(zhǔn)編制組（公安部信息安全等級(jí)保護(hù)評(píng)估中心

負(fù)責(zé)第1部分安全通用要求、第2部分云計(jì)算安全擴(kuò)展要求和第6部分大數(shù)據(jù)安全

擴(kuò)展要求；北京鼎普科技股份有限公司負(fù)責(zé)第3部分移動(dòng)互聯(lián)安全擴(kuò)展要求；公安部

第一研究所負(fù)責(zé)第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求；浙江大學(xué)負(fù)責(zé)第5部分工業(yè)控制安全

擴(kuò)展要求）組織了標(biāo)準(zhǔn)各個(gè)部分的編制和修訂工作，形成了基本要求系列標(biāo)準(zhǔn)六個(gè)部分

的草案第一稿。

7）2015年4月29日，公安部評(píng)估中心組織專(zhuān)家對(duì)基本要求標(biāo)準(zhǔn)各個(gè)部分進(jìn)行了評(píng)

審。會(huì)后，標(biāo)準(zhǔn)編制組按照專(zhuān)家提出的修改建議，對(duì)草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案

第二稿。

8）2015年12月8日，公安部評(píng)估中心再次組織專(zhuān)家對(duì)基本要求標(biāo)準(zhǔn)各個(gè)部分進(jìn)行

了第二次評(píng)審。會(huì)后，標(biāo)準(zhǔn)編制組再次按照專(zhuān)家提出的修改建議，對(duì)草案進(jìn)行了修改，

形成了標(biāo)準(zhǔn)草案第三稿。

9）2016年3月，標(biāo)準(zhǔn)編制組將基本要求標(biāo)準(zhǔn)各個(gè)部分（草案第三稿）征求公安部

十一局和沈昌祥院士的意見(jiàn)。標(biāo)準(zhǔn)編制組再次按照專(zhuān)家提出的修改建議，對(duì)草案進(jìn)行了

修改，形成了標(biāo)準(zhǔn)草案第四稿。

10）2016年6月，標(biāo)準(zhǔn)編制組將基本要求標(biāo)準(zhǔn)第1部分安全通用要求（草案第四

稿和草案第五稿）征求沈昌祥院士的意見(jiàn)。標(biāo)準(zhǔn)編制組再次按照專(zhuān)家提出的修改建議，

對(duì)草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案第六稿。

11）2016年7月1日，公安部評(píng)估中心再次組織專(zhuān)家對(duì)基本要求標(biāo)準(zhǔn)各個(gè)部分進(jìn)行

7

了第三次評(píng)審。會(huì)后，標(biāo)準(zhǔn)編制組再次按照專(zhuān)家提出的修改建議，對(duì)草案進(jìn)行了修改，

形成了標(biāo)準(zhǔn)草案第七稿。

三、標(biāo)準(zhǔn)的主要修訂內(nèi)容

1）為配合國(guó)家落實(shí)“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，標(biāo)準(zhǔn)的名稱(chēng)由原來(lái)的GB/T22239-2008

《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為“信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)

保護(hù)基本要求”，標(biāo)準(zhǔn)由原來(lái)的一個(gè)標(biāo)準(zhǔn)變更為多個(gè)部分組成的標(biāo)準(zhǔn)，分別為：

——GB/T22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第1部分安全通用要求；

——GB/T22239.2-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第2部分云計(jì)算安全擴(kuò)展要求；

——GB/T22239.3-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第3部分移動(dòng)互聯(lián)安全擴(kuò)展要求；

——GB/T22239.4-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求；

——GB/T22239.5-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第5部分工業(yè)控制安全擴(kuò)展要求。

——GB/T22239.6-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第6部分大數(shù)據(jù)安全擴(kuò)展要求。

2）等級(jí)保護(hù)對(duì)象由原來(lái)的信息系統(tǒng)，調(diào)整為：安全等級(jí)保護(hù)的對(duì)象包括網(wǎng)絡(luò)基礎(chǔ)

設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)等。

3）各級(jí)技術(shù)要求的“物理安全”、“網(wǎng)絡(luò)安全”、“主機(jī)安全”、“應(yīng)用安全”和“數(shù)

據(jù)安全和備份與恢復(fù)”修訂為“物理和環(huán)境安全”、“網(wǎng)絡(luò)和通信安全”、“設(shè)備和計(jì)算安

全”、“應(yīng)用和數(shù)據(jù)安全”；各級(jí)管理要求的“安全管理制度”、“安全管理機(jī)構(gòu)”、“人員

安全管理”、“系統(tǒng)建設(shè)管理”和“系統(tǒng)運(yùn)維管理”修訂為“安全策略和管理制度”、“安

全管理機(jī)構(gòu)和人員”、“安全建設(shè)管理”、“安全運(yùn)維管理”；

4）取消了原來(lái)安全控制點(diǎn)的S、A、G標(biāo)注，增加一個(gè)附錄B安全要求的選擇和使

用描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系，說(shuō)明如何根據(jù)定級(jí)的S、A結(jié)

果選擇安全要求的相關(guān)條款，簡(jiǎn)化了標(biāo)準(zhǔn)正文部分的內(nèi)容。

5）增加了一個(gè)附錄A等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)。

四、與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

7

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)沒(méi)有沖突與矛盾的地方。

五、有關(guān)問(wèn)題的說(shuō)明

項(xiàng)目組在標(biāo)準(zhǔn)編制過(guò)程中，經(jīng)歷了內(nèi)部討論與論證、專(zhuān)家評(píng)審等過(guò)程，項(xiàng)目組在工

作過(guò)程中遵循編制原則，對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)修訂工作。在整個(gè)過(guò)

程中未遇到重大意見(jiàn)分歧，但對(duì)專(zhuān)家提出的意見(jiàn)和建議，我們做了應(yīng)答和處理，更好地

完善了我們的標(biāo)準(zhǔn)編制工作。

本項(xiàng)目是對(duì)國(guó)家推薦性標(biāo)準(zhǔn)GB/T22239-2008的修訂，建議修訂后的標(biāo)準(zhǔn)還是為國(guó)

家推薦性標(biāo)準(zhǔn)。

六、廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議

標(biāo)準(zhǔn)修訂完成后，——GB/T22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本

要求第1部分安全通用要求將替代原來(lái)的GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)

安全等級(jí)保護(hù)基本要求》。

建議廢止GB