一、任務(wù)來源

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》于2008年成為國家標(biāo)準(zhǔn)，標(biāo)

準(zhǔn)號為GB/T22239-2008。GB/T22239-2008在我國推行信息安全等級保護(hù)制度的過程

中起到了非常重要的作用，被廣泛應(yīng)用于各個行業(yè)的用戶開展信息系統(tǒng)安全等級保護(hù)的

建設(shè)整改、等級測評工作中。但是隨著信息技術(shù)的發(fā)展，已有6年歷史的GB/T22239-2008

在時效性、易用性、可操作性上還需進(jìn)一步完善，2013年，公安部第三研究所聯(lián)合國家

能源局信息中心以及北京網(wǎng)御星云信息技術(shù)有限公司向安標(biāo)委申請對GB/T22239進(jìn)行

修訂。

根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2013年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，對原國

家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008修訂任務(wù)由

公安部第三研究所負(fù)責(zé)，項(xiàng)目編號為2013bzxd-WG5-002。

二、主要工作過程

1）2013年12月，公安部第三研究所、國家能源局信息中心以及北京網(wǎng)御星云信息

技術(shù)有限公司成立了標(biāo)準(zhǔn)編制組。

2）2014年1月至3月，標(biāo)準(zhǔn)編制組按照計(jì)劃調(diào)研了國際和國內(nèi)無線接入、云計(jì)算

平臺、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況，分析并總結(jié)了新技術(shù)和新

應(yīng)用中的安全關(guān)注點(diǎn)和要素；同時標(biāo)準(zhǔn)編制組調(diào)研了相關(guān)的其他國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，

分析了GB/T22239-2008的修訂可能對其他標(biāo)準(zhǔn)產(chǎn)生的影響，完成了《等級保護(hù)基本要

求修訂研究報(bào)告》。

3）2014年4月至6月標(biāo)準(zhǔn)編制組在前述工作成果《等級保護(hù)基本要求修訂研究報(bào)

告》的基礎(chǔ)上，對原國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T

22239-2008）按照級別和層面進(jìn)行了修訂項(xiàng)的梳理，形成了《基本要求草案修訂匯總表》，

修訂出標(biāo)準(zhǔn)草案第一稿。

4）2014年5月，為適應(yīng)無線移動接入、虛擬計(jì)算環(huán)境、云計(jì)算平臺應(yīng)用、大數(shù)據(jù)

應(yīng)用和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況下等級保護(hù)工作開展，公安部十一局牽頭

會同有關(guān)部門組織2014年新領(lǐng)域的國家標(biāo)準(zhǔn)立項(xiàng)，思路為GB/T22239-2008的基礎(chǔ)上，

針對無線移動接入、虛擬計(jì)算環(huán)境、云計(jì)算平臺應(yīng)用、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新

領(lǐng)域形成“基本要求”的分冊，上述思路的變化直接影響了國家標(biāo)準(zhǔn)GB/T22239-2008

的修訂思路、內(nèi)容和計(jì)劃。

5）為了適應(yīng)無線移動接入、虛擬計(jì)算環(huán)境、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工控系統(tǒng)

等新技術(shù)、新應(yīng)用情況下信息安全等級保護(hù)工作的開展，對GB/T22239-2008進(jìn)行修訂

的思路和方法確定為針對無線移動接入、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工控系統(tǒng)等新技術(shù)、

新應(yīng)用領(lǐng)域形成基本要求的多個部分。第一階段完成六個部分，即——GB/T

22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第1部分安全通用要求；

——GB/T22239.2-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第2部分云計(jì)算

安全擴(kuò)展要求；——GB/T22239.3-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第

3部分移動互聯(lián)安全擴(kuò)展要求；——GB/T22239.4-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級

保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求；——GB/T22239.5-XXXX信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)基本要求第5部分工業(yè)控制安全擴(kuò)展要求；——GB/T22239.5-XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第6部分大數(shù)據(jù)安全擴(kuò)展要求。

6）2014年7月至2015年3月各個標(biāo)準(zhǔn)編制組（公安部信息安全等級保護(hù)評估中心

負(fù)責(zé)第1部分安全通用要求、第2部分云計(jì)算安全擴(kuò)展要求和第6部分大數(shù)據(jù)安全

擴(kuò)展要求；北京鼎普科技股份有限公司負(fù)責(zé)第3部分移動互聯(lián)安全擴(kuò)展要求；公安部

第一研究所負(fù)責(zé)第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求；浙江大學(xué)負(fù)責(zé)第5部分工業(yè)控制安全

擴(kuò)展要求）組織了標(biāo)準(zhǔn)各個部分的編制和修訂工作，形成了基本要求系列標(biāo)準(zhǔn)六個部分

的草案第一稿。

7）2015年4月29日，公安部評估中心組織專家對基本要求標(biāo)準(zhǔn)各個部分進(jìn)行了評

審。會后，標(biāo)準(zhǔn)編制組按照專家提出的修改建議，對草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案

第二稿。

8）2015年12月8日，公安部評估中心再次組織專家對基本要求標(biāo)準(zhǔn)各個部分進(jìn)行

了第二次評審。會后，標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對草案進(jìn)行了修改，

形成了標(biāo)準(zhǔn)草案第三稿。

9）2016年3月，標(biāo)準(zhǔn)編制組將基本要求標(biāo)準(zhǔn)各個部分（草案第三稿）征求公安部

十一局和沈昌祥院士的意見。標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對草案進(jìn)行了

修改，形成了標(biāo)準(zhǔn)草案第四稿。

10）2016年6月，標(biāo)準(zhǔn)編制組將基本要求標(biāo)準(zhǔn)第1部分安全通用要求（草案第四

稿和草案第五稿）征求沈昌祥院士的意見。標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，

對草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案第六稿。

11）2016年7月1日，公安部評估中心再次組織專家對基本要求標(biāo)準(zhǔn)各個部分進(jìn)行

7

了第三次評審。會后，標(biāo)準(zhǔn)編制組再次按照專家提出的修改建議，對草案進(jìn)行了修改，

形成了標(biāo)準(zhǔn)草案第七稿。

三、標(biāo)準(zhǔn)的主要修訂內(nèi)容

1）為配合國家落實(shí)“網(wǎng)絡(luò)安全等級保護(hù)制度”，標(biāo)準(zhǔn)的名稱由原來的GB/T22239-2008

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》改為“信息安全技術(shù)網(wǎng)絡(luò)安全等級

保護(hù)基本要求”，標(biāo)準(zhǔn)由原來的一個標(biāo)準(zhǔn)變更為多個部分組成的標(biāo)準(zhǔn)，分別為：

——GB/T22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

第1部分安全通用要求；

——GB/T22239.2-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

第2部分云計(jì)算安全擴(kuò)展要求；

——GB/T22239.3-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

第3部分移動互聯(lián)安全擴(kuò)展要求；

——GB/T22239.4-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求；

——GB/T22239.5-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

第5部分工業(yè)控制安全擴(kuò)展要求。

——GB/T22239.6-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

第6部分大數(shù)據(jù)安全擴(kuò)展要求。

2）等級保護(hù)對象由原來的信息系統(tǒng)，調(diào)整為：安全等級保護(hù)的對象包括網(wǎng)絡(luò)基礎(chǔ)

設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計(jì)算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)等。

3）各級技術(shù)要求的“物理安全”、“網(wǎng)絡(luò)安全”、“主機(jī)安全”、“應(yīng)用安全”和“數(shù)

據(jù)安全和備份與恢復(fù)”修訂為“物理和環(huán)境安全”、“網(wǎng)絡(luò)和通信安全”、“設(shè)備和計(jì)算安

全”、“應(yīng)用和數(shù)據(jù)安全”；各級管理要求的“安全管理制度”、“安全管理機(jī)構(gòu)”、“人員

安全管理”、“系統(tǒng)建設(shè)管理”和“系統(tǒng)運(yùn)維管理”修訂為“安全策略和管理制度”、“安

全管理機(jī)構(gòu)和人員”、“安全建設(shè)管理”、“安全運(yùn)維管理”；

4）取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，增加一個附錄B安全要求的選擇和使

用描述等級保護(hù)對象的定級結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級的S、A結(jié)

果選擇安全要求的相關(guān)條款，簡化了標(biāo)準(zhǔn)正文部分的內(nèi)容。

5）增加了一個附錄A等級保護(hù)安全框架和關(guān)鍵技術(shù)。

四、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

7

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。

五、有關(guān)問題的說明

項(xiàng)目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、專家評審等過程，項(xiàng)目組在工

作過程中遵循編制原則，對國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)修訂工作。在整個過

程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應(yīng)答和處理，更好地

完善了我們的標(biāo)準(zhǔn)編制工作。

本項(xiàng)目是對國家推薦性標(biāo)準(zhǔn)GB/T22239-2008的修訂，建議修訂后的標(biāo)準(zhǔn)還是為國

家推薦性標(biāo)準(zhǔn)。

六、廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議

標(biāo)準(zhǔn)修訂完成后，——GB/T22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本

要求第1部分安全通用要求將替代原來的GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)

安全等級保護(hù)基本要求》。

建議廢止GB