网络安全等级保护基本要求应用指南

Foreword

On June 1, 2017, the Cybersecurity Law of the People’s Republic of China was officially implemented. Serving as the basic law in cybersecurity field, it is clearly stipulated that the state should implement the system of classified protection of cybersecurity, and that the critical information infrastructure should be protected on the basis of the system. It is legally established that the system of classified protection of network security is the basic system in the field of network security in China. At present, cybersecurity protection has entered the era of 2.0. In May 2019, the National Standardization Committee officially issued GB/T 22239—2019 the Baseline for Cybersecurity Classified Protection (hereinafter referred to as the Baseline). The Baseline is the core standard to guide operators to carry out cybersecurity classified protection construction rectification, level evaluation and other practices. The correct understanding and application of this standard is the basis for the deep implementation of the national cybersecurity classified protection system.

In order to cooperate with the implementation and application of cybersecurity classified protection system in 2.0 Era under the new situation, combined with the cybersecurity practices in recent years, we developed this book for users reference. This book interprets the standard content of general security requirements in basic requirements in detail. We hope that readers can better understand and master the new standard of cybersecurity classified protection system in 2.0 Era through this book. Please refer to other related books for the interpretation of the standard content of the extended security requirements in the basic requirements.

The chief editor of this book is Guo Qiquan, the associate editors in chief are Liu Jianwei and Wang Xinjie, and other main contributors are Guo Qiquan, Liu Jianwei, Wang Xinjie, Zhu Guobang, Fan Chunling, Pan Wenbo, Wang Lianqiang, and Yang Yuzhong.

the Author

July 10, 2021

Introduction

The Cybersecurity Law of the People’s Republic of China was formally implemented on June 1, 2017, which clearly stipulated that the State shall implement the system of classified protection of cybersecurity, and proposed that the critical information infrastructure shall be specifically protected on the basis of the cybersecurity classified protection system. For further promotion of the implementation of the cybersecurity classified protection system, the Cybersecurity Bureau under the Ministry of Public Security has organized the technical support units of cybersecurity classified protection to upgrade and revise the standard system of the multilevel security protection and issued a series of muchneeded national standards related to classified protection of cybersecurity, such as Information Security Technology—Baseline for Classified Protection of Cybersecurity (GB/T 22239—2019) .

Among them, GB/T 22239—2019 is the core standard to guide users to carry out security development rectification, classified evaluation of classified protection of cybersecurity. The correct understanding and use of this standard is the basis for the smooth deployment of cybersecurity classified protection work under the new situation. The Cybersecurity Bureau under the Ministry of Public Security organized and formed an application guide drafting group consists of several excellent evaluation agencies and cybersecurity product and solution providers. This set of application guide series is compiled for users reference from standard terms interpretation, related products and services, and application scenarios. This book interprets in detail the content of the extended security requirements in the GB/T 22239—2019 in the hope that readers can better understand and comprehend the new standard content of cybersecurity classified protection 2.0, and carry out the development and rectification work of cybersecurity classified protection. For a detailed interpretation of the general security requirements section in the GB/T 22239—2019, please refer to other relevant books. Due to the limited knowledge of the authors, there are inevitably some inadequacies in this book, please feel free to kindly provide your feedback and correction.

为配合《中华人民共和国网络安全法》的实施，指导网络运营者贯彻落实网络安全等级保护制度，国家市场监督管理总局、中国国家标准化管理委员会发布了国家标准：《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）（以下简称《基本要求》）。

《基本要求》是网络安全等级保护制度的重要组成部分，是开展网络安全等级保护建设、等级测评等工作的核心标准。正确理解和使用《基本要求》，是有效开展新网络安全等级保护工作的基础。

为便于读者循序渐进地学习、理解《基本要求》，本书首先对该标准所涉及的等级保护基本概念、应用场景等分别进行了介绍，使读者对《基本要求》的结构、适用范围等有一个总体的了解，在此基础上，对《基本要求》各条款进行了详细的解读、说明，便于读者更好地理解和掌握并应用于实际工作中。

郭启权，公安部网络安全保护局总工程师。

刘建伟，北京航空航天大学网络空间安全学院 院长，主要研究领域包括：密码学、5G网络安全、移动通信网络安全、天空地一体化网络安全、电子健康网络安全、智能移动终端安全、星地数据链安全等。

王新杰，北京时代新威信息技术有限公司总经理。 2003年开始从事网络安全行业，参与了“全国信息安全标准化”系列标准的研制。主要担任：信息安全等级保护高级测评师 、全国信息安全标准化技术委员会（SAC/TC 260）委员、国际信息系统安全认证联盟（(ISC)2）中国顾问。

市面仅有的全面解读中国网络安全等级保护标准体系及等级保护实施的读本；

业内专家对中国网络安全等级保护制度的深入阐释；

来自官方团队的中国网络安全等级保护标准体系全面解读；

切实指导中国网络安全等级保护落地实施的指南；

助力一带一路等国外组织和公司在中国做好信息安全合规，确保业务平顺