8.4.2 等级保护标准体系
等级保护相关标准大致可以分为四类:基础类、应用类、产品类和其他类。
1)安全等级类标准
主要包括GB/T22240-2008《信息安全技术信息系统安全保护等级保护定级指南》和各类行业定级准则。例如2007年发布《关于银行业信息系统安全等级保护定级的专家评审意见》、YDT1729-2008《电信网和互联网安全等级保护实施指南》、YC/T389-2011《烟草行业信息系统安全等级保护与信息安全事件的定级准则》、GD/J037-2011《广播电视相关信息系统安全等级保护定级指南》等。
这些标准对如何确定等级保护等级进行了详细规定。部分行业定级标准或指导文件还在《等级保护定级指南》的基础上进行了细化。例如以通信行业为例,在YDT1729-2008中,不仅确定了5个等级,还针对3级根据是否对通讯行业造成重大影响细化出3.1级和3.2级两个细分等级,并对等级的计算方法进行了修改。