等级保护标准概述

GB∕T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB∕T 22239-2019代替GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》
与GB/T 22239-2008相比，主要变化如下：

• 将标准名称变更为《信息安全技术 网络安全等级保护基本要求》；
• 调整分类为安全物理环境在、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理；
• 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求；
• 取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求；
• 调整了原来附录A和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出关键技术使用要求。

GB/T 22239-2019规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
GB/T 22239-2019适用于指导分等级的非涉密对象的安全建设和监督管理。
注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求.所以不在本标准中进行描述。

GB∕T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB∕T 28448-2019代替GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》，与GB/T 28448- 2012 相比,主要变化如下：

• 将标准名称变更为《信息安全技术 网络安全等级保护测评要求》；
• 每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等内容；
• 增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义；
• 将针对控制点的单元测评细化调整为针对要求项的单项测评,删除了“测评框架”(见2012年版的4.1)和“等级测评内容”(见2012年版的4.2)；
• 增加了大数据可参考安全评估方法(见附录B)和测评单元编号说明(见附录C)。 GB∕T
• 28448-2019规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。

GB∕T 28448-2019适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部广]进行网络安全等级保护监督检查时参考使用。

GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》

GB/T 25070-2019代替GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求)
与GB/T 25070-2010 相比，主要变化如下:

• 将标准名称变更为《信息安全技术 网络安全等级保护安全设计技术要求》；
• 各个级别的安全计算环境设计技术要求调整为通用安全计算环境设计技术要求、云安全计算
• 环境设计技术要求、移动互联安全计算环境设计技术要求、物联网系统安全计算环境设计技术要求和工业控制系统安全计算环境设计技术要求；
• 各个级别的安全区城边界设计技术要求调整为通用安全区域边界设计技术要求、云安全区域边界设计技术要求、移动互联安全区域边界设计技术要求、物联网系统安全区域边界设计技术要求和工业控制系统安全区域边界设计技术要求；
• 各个级别的安全通信网络设计技术要求调整为通用安全通信网络设计技术要求、云安全通信
• 网络设计技术要求、移动互联安全通信网络设计技术要求、物联网系统安全通信网络设计技术要求和工业控制系统安全通信网络设计技术要求;
• 删除了附录B中的B.2"子系统间接口”和B.3“重要数据结构”，增加了B.4"第三级系统可信验证实现机制”。

GB/T 25070-2019规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求。
GB/T 25070-2019适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。

GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》

GB/T 28449-2018代替GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》
与GB/T 28449- 2012 相比，除编辑性修改外，主要技术变化如下：

• 标准名称变更为“信息安全技术 网络安全等级保护测评过程指南“；
• 修改了报告编制活动中的任务，由原来的6个任务修改为7个任务(见4.1,2012年版的5.4);
• 在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责，并在一些涉及到多方的工作任务中也予以明确(见7.4,2012年版的8.4)；
• 在信息收集和分析工作任务中增加了信息分析方法的内容(见5.2.2)；
• 增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开展安全测评需要额外重点关注的特殊任务及要求(见附录C)；
• 删除了测评方案示例(见2012年版的附录D) ；
• 删除了信息系统基本情况调查表模版(见2012年版的附录E)。