GB/T22240-2020《信息安全技术 网络安全等级保护定级指南》是网络安全等级保护工作的核心定级依据，该标准于2020年11月1日正式实施，替代2008版标准，适配云计算、物联网、工业控制系统、大数据等新技术应用场景，明确了非涉密等级保护对象的定级方法、流程、对象界定等强制性/规范性要求，是网络运营者开展等保定级工作的主要依据。以下围绕标准核心规范内容、法定定级要求、实操规范性条款展开解读，同步插入标准原始表格。关于网络安全等级保护，我们之前整理了一系列干货解析，大家可以对照查阅：

一、标准核心适用范围

本标准明确非涉及国家秘密的等级保护对象的安全保护等级定级方法和流程，指导网络运营者开展定级工作，涉密等级保护对象定级不适用本标准。

二、核心术语与定义（规范性界定）

本标准在引用现有国标术语基础上，新增/修改了等保定级工作的核心术语，以下定义为法定规范表述，是定级工作的概念基础：

1. 新增术语

· 网络安全：通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

· 通信网络设施：为信息流通、网络运行等起基础支撑作用的网络设备设施。（注：主要包括电信网、广播电视传输网和行业或单位的专用通信网等。）

· 数据资源：具有或预期具有价值的数据集合。（注：数据资源多以电子形式存在。）

· 受侵害的客体：受法律保护的、等级保护对象受到破坏时所侵害的社会关系。（注：本标准中简称"客体"。）

· 客观方面：对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等。

2. 修订术语

· 等级保护对象、信息系统（重新界定定义范围，适配新技术场景）

三、定级核心原理（规范性规则）

1. 安全保护等级的法定划分根据等级保护对象的重要程度，以及被破坏后对相关客体的侵害程度，法定划分为五级，各级界定为强制性规范：

a) 第一级：被破坏后仅损害公民、法人和其他组织的合法权益，不危害国家安全、社会秩序和公共利益；

b) 第二级：被破坏后对公民、法人等合法权益造成严重/特别严重损害，或危害社会秩序、公共利益，不危害国家安全；

c) 第三级：被破坏后对社会秩序、公共利益造成严重危害，或危害国家安全；

d) 第四级：被破坏后对社会秩序、公共利益造成特别严重危害，或严重危害国家安全；

e) 第五级：被破坏后对国家安全造成特别严重危害（最高等级）。

2. 定级要素等级保护对象的定级仅以两个要素为依据，为规范性要求，缺一不可：

a) 受侵害的客体：分为公民/法人和其他组织的合法权益、社会秩序/公共利益、国家安全三类，判定有法定优先级：国家安全→社会秩序/公共利益→公民/法人和其他组织的合法权益；

b) 对客体的侵害程度：由侵害方式、侵害后果综合决定，法定分为一般损害、严重损害、特别严重损害三类。

3. 定级要素与安全保护等级的对应关系

4. 定级流程（法定必经流程）

标准明确定级工作的一般流程为规范性要求，网络运营者需按流程开展，流程如图所示：

法定特殊条款：初步确定为第一级的，网络运营者可自行确定最终等级，无需专家评审、主管部门核准、备案审核；初步确定为第二级及以上的，必须完成全流程，否则定级结果无效。软件造价喵可在确定定级对象和初步确定等级阶段为网络运营者提供支撑，先高效评估定级对象的系统价值，结合价值评估结果辅助初步判定等级，同时同步对应等级、对应地区的等保测评价格上限，为后续定级工作的预算规划提前提供参考。

四、定级对象的法定界定与划分规范

本标准明确等级保护对象为信息系统、通信网络设施、数据资源等，均需满足“有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源”的基本特征，规范性禁止将单一组件（服务器、终端、网络设备）作为定级对象。

1. 信息系统除基本特征外，细分场景需遵循以下专项定级规范：

· 云计算平台/系统：云客户侧、云服务商侧分别单独定级；大型云平台需将云计算基础设施与辅助服务系统拆分定级；

· 物联网：感知、网络传输、处理应用整体定级，各要素不得单独定级；

· 工业控制系统：现场采集/执行、现场控制、过程控制整体定级，生产管理要素宜单独定级；大型工控系统可按功能、责任主体等拆分定级；

· 移动互联技术系统：移动终端、移动应用、无线网络整体定级（可与关联业务系统合并），各要素不得单独定级。

2. 通信网络设施定级规范：按安全责任主体、服务类型、服务地域划分定级对象；跨省专用通信网，安全责任主体相同的可整体定级，不同的需按责任主体、服务区域拆分定级。

3. 数据资源核心规范性条款：数据资源可独立定级；大数据/大数据平台，安全责任主体相同的宜整体定级，不同的大数据必须独立定级。

五、初步确定等级的法定方法与流程（含原始表格） 

本标准明确定级方法为规范性要求，需分步骤开展，且定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者确定（法定就高原则）。具体如图所示：

1. 初步定级的法定步骤

· 确定受侵害的客体：分别判定业务信息、系统服务被破坏时所侵害的客体（按国家安全→社会秩序/公共利益→公民/法人权益优先级）；

· 确定对客体的侵害程度：分别评定业务信息安全、系统服务安全被破坏对对应客体的侵害程度（一般/严重/特别严重损害）；

2. 侵害程度的判定规范

· 侵害方式：分为业务信息安全破坏（影响数据保密性、完整性、可用性）、系统服务安全破坏（影响服务正常提供）；

· 侵害后果：包括影响工作职能、业务能力下降、法律纠纷、财产损失、社会不良影响等；

· 判定基准：侵害公民/法人权益的，以本单位/本人总体利益为基准；侵害社会秩序/公共利益/国家安全的，以行业/国家总体利益为基准；

· 程度界定：本标准对一般、严重、特别严重损害作出法定描述，各行业可结合自身特点制定专项评定方法。

3. 保护等级判定矩阵根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表２可得到业务信息安全保护等级。

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表３可得到系统服务安全保护等级。

六、最终确定安全保护等级的规范性要求

初步确定等级后，第二级及以上定级对象需遵循以下法定规范性流程完成最终定级，未完成则等级认定无效：

· 专家评审：网络运营者组织网络安全专家+业务专家对定级结果合理性评审，出具正式专家评审意见；

· 主管部门核准：有行业主管/监管部门的，将定级结果报请主管部门核准，出具核准意见；

· 备案审核：按管理规定将定级结果提交公安机关备案审核；审核不通过的，需重新定级；审核通过后，最终确定安全保护等级。

特殊定级对象的规范性要求

· 通信网络设施、云计算平台/系统等支撑类定级对象：等级原则上不低于其承载的等级保护对象的安全保护等级（法定不低于原则）；

· 数据资源/大数据平台：综合规模、价值及侵害程度定级；涉及大量公民个人信息、为公民提供公共服务的大数据平台/系统，原则上安全保护等级不低于第三级（强制性规范条款）。

七、等级变更的法定触发条件与规范

当等级保护对象所处理的业务信息和系统服务范围发生变化，可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时，需根据标准重新确定定级对象和安全保护等级。软件造价喵可快速适配等级变更需求，针对业务信息、系统服务范围的变化，重新开展系统价值评估，同步重新测算变更后安全保护等级对应的等保测评价格上限，为等级变更后的等保工作预算调整、资金规划提供及时、准确的量化参考，确保等保工作与等级变更后的要求匹配。