等级保护对象定级工作的一般流程如图1所示

图1等级保护对象定级工作一般流程

GB/T 222402020

安全保护等级初步确定为第二级及以上的等级保护对象外墙外保温标准规范范本，其网络运营者依据本标准组织进行专家 评审、主管部门核准和备案审核，最终确定其安全保护等级。 注：安全保护等级初步确定为第一级的等级保护对象，其网络运营者可依据本标准自行确定最终安全保护等级，可 不进行专家评审、主管部门核准和备案审核

5.1.1定级对象的基本特征

作为定级对象的信息系统应具有如下基本特征： a）具有确定的主要安全责任主体； b） 承载相对独立的业务应用； C 包含相互关联的多个资源。 注2：避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象 在确定定级对象时，云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足 以上基本特征的基础上，还需分别遵循5.1.2、5.1.3、5.1.4、5.1.5的相关要求

5.1.2云计算平台/系统

在云计算环境中，云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独 的定级对象定级，并根据不同服务模式将云计算平台系统划分为不同的定级对象。 对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象

物联网主要包括感知、网络传输和处理应用等特征要素，需将以上要素作为一个整体对象定级，各 要素不单独定级

5.1.4工业控制系统

工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中，现场采 集/执行、现场控制和过程控制等要素需作为一个整体对象定级，各要素不单独定级；生产管理要素宜单 独定级。 对于大型工业控制系统，可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级 对象。

5.1.5采用移动互联技术的系统

对于电信网、广播电视传输网等通信网络设施，宜根据安全责任主体、服务类型或服务地域等因 划分为不同的定级对象。 跨省的行业或单位的专用通信网可作为一个整体对象定级，或分区域划分为若干个定级对象

数据资源可独立定级。 当安全责任主体相同时，大数据、大数据平台/系统宜作为一个整体对象定级；当安全责任主体不同 时，大数据应独立定级，

定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定 级对象和数据资源，还需参照6.6。 定级对象的安全主要包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害 程度可能不同，因此，安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度 反映的定级对象安全保护等级称为业务信息安全保护等级；从系统服务安全角度反映的定级对象安全 保护等级称为系统服务安全保护等级。 定级方法流程示意图如图2所示，

图2定级方法流程示意图

a）确定受到破坏时所侵害的客体 1）确定业务信息受到破坏时所侵害的客体： 2）确定系统服务受到侵害时所侵害的客体。 b）确定对客体的侵害程度 1 根据不同的受侵害客体，分别评定业务信息安全被破坏对客体的侵害程度 2 根据不同的受侵害客体，分别评定系统服务安全被破坏对客体的侵害程度 c）确定安全保护等级 1）确定业务信息安全保护等级； 2）确定系统服务安全保护等级：

将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护 等级

6.2确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织 合法权益。 侵害国家安全的事项包括以下方面： 影响国家政权稳固和领土主权、海洋权益完整； 影响国家统一、民族团结和社会稳定； 影响国家社会主义市场经济秩序和文化实力： 其他影响国家安全的事项。 侵害社会秩序的事项包括以下方面： 影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序： 影响公共场所的活动秩序、公共交通秩序； 影响人民群众的生活秩序； 其他影响社会秩序的事项。 侵害公共利益的事项包括以下方面： 影响社会成员使用公共设施； 影响社会成员获取公开数据资源； 影响社会成员接受公共服务等方面： 其他影响公共利益的事项。 侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利 I利益等受到损害。 确定受侵害的客体时，首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后 断是否侵害公民、法人和其他组织的合法权益

6.3确定对客体的侵害程度

6.3.1侵害的客观方面

在客观方面，对客体的侵害外在表现为对定级对象的破坏，其侵害方式表现为对业务信息安全的破 不和对系统服务安全的破坏。其中，业务信息安全是指确保定级对象中信息的保密性、完整性和可用性 等，系统服务安全是指确保定级对象可以及时、有效地提供服务，以完成预定的业务目标。由于业务信 息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需 要分别处理这两种侵害方式。 业务信息安全和系统服务安全受到破坏后，可能产生以下侵害后果： 影响行使工作职能； 导致业务能力下降； 引起法律纠纷； 导致财产损失； 造成社会不良影响； 对其他组织和个人造成损失； 其他影响

6.3.2综合判定侵害程度

侵害程度是客观方面的不同外在表现的综合体现，因此，首先根据不同的受侵害客体、不同侵害后

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2可得到业务 全保护等级

表2业务信息安全保护等级矩阵表

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度钢筋标准规范范本，依据表3可得到系统服务 安全保护等级，

系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表3可得到系统服务 黛级

表3系统服务安全保护等级矩阵表

GB/T 222402020

定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定

安全保护等级初步确定为第二级及以上的，定级对象的网络运营者需组织信息安全专家和业务专 家对定级结果的合理性进行评审，并出具专家评审意见。有行业主管（监管）部门的，还需将定级结果报 青行业主管（监管）部门核准海洋标准，并出具核准意见。最后，定级对象的网络运营者按照相关管理规定，将定 波结果提交公安机关进行备案审核。审核不通过，其网络运营者需组织重新定级；审核通过后最终确定 定级对象的安全保护等级， 对于通信网络设施、云计算平台/系统等定级对象，需根据其承载或将要承载的等级保护对象的重 要程度确定其安全保护等级，原则上不低于其承载的等级保护对象的安全保护等级。 对于数据资源，综合考虑其规模、价值等因素，及其遭到破坏后对国家安全、社会秩序、公共利益以 及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为 公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于第三级

当等级保护对象所处理的业务信息和系统服务范围发生变化，可能导致业务信息安全或系统服务 安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时，需根据本标准重新确定定级对象和安 全保护等级。

GB/T22240—2020