序号

变化点

修订内容

条款解读

1

标准名称

标准的名称由原来的GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》改为“信息安全技术  网络安全等级保护定级指南”。

为适应《网络安全法》，配合落实“网络安全等级保护制度”进行同步调整。

2

术语定义

新增了网络安全、通信网络设施、数据资源和受侵害的客体术语定义，修订了等级保护对象等术语定义，等级保护对象主要包括信息系统、通信网络设施和数据资源等。

等级保护对象从信息系统，扩展到信息系统、通信网络设施和数据资源等，内容更广泛。

3

定级流程

要求安全保护等级初步定级为第二级及以上的等级保护对象，其网络运营者依据本标准组织专家进行评审、主管部门核准和备案审核，最终确定安全保护等级。

明确要求第二级及以上的定级，需组织专家评审，提供主管部门核准意见。第一级的等级保护，自行确定，可不进行专家评审。

4

定级对象确定方法

除保留原有的定级对象确定方法外，增加了对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源定级对象的确定方法。

对于大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象；物联网、移动互联技术各要素，不单独定级；数据资源可独立定级等。

5

确定安全保护等级方法

增加了对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源定级对象的安全保护等级方法的特别说明。

确定了定级方法流程的五个步骤，描述了定级方法的七步步骤，为企业定级提供详细的方法依据。

6

确定通信网络设施、云计算平台/系统等级方法

对于通信网络设施、云计算平台/系统等定级对象，需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上不低于其承载的等级保护对象的安全保护等级。

对于高级别的云租户系统不能部署到低级别的云平台上；对于已过等保或计划过等保测评的云租户，不应部署在未过等保测评的云计算平台上。

7

确定数据资源等级方法

对于数据资源，综合考虑其规模、价值等因素及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于第三级。

大数据将作为定级对象，独立定级，尤其是涉及公民个人信息的大数据平台/系统，要求开展等级保护测评工作。

8

明确定级流程

明确了定级工作的流程，即：确定定级对象→初步确定等级→专家评审→主管部门核准→公安机关备案审查。

从企业“自主定级”向“初步定级”的转变，强调的专家评审和主管部门核准的重要性。