《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
为了贯彻落实《中华人民共和国网络安全法》,特别是配合网络安全等级保护制度的落地实施,需 对GB/T 22240—2008进行修订。从标准名称、等级保护对象定义、安全保护等级描述以及定级流程等方 面进行补充、细化和完善,从而满足移动互联、云计算、大数据、物联网和工业控制等新技术、新应用 情况下开展网络安全等级保护工作的需要。 GB/T 22239 信息安全技术 网络安全等级保护基本要求;GB/T 25058 信息安全技术 网络安全等级保护实施指南;GB/T 28448 信息安全技术 网络安全等级保护测评要求;GB/T 28449 信息安全技术 网络安全等级保护测评过程指南;对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护 对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。 对于大数据,应综合考虑数据规模、数据价值等因素,根据数据资源(完整性、保密性、可用性) 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素 确定其安全保护等级。原则上,大数据安全保护等级不低于第三级。 对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级;
