等級(jí)保護(hù)標(biāo)準(zhǔn)體系簡(jiǎn)介

1、信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系簡(jiǎn)介標(biāo)準(zhǔn)體系簡(jiǎn)介 公安部信息安全等級(jí)保護(hù)評(píng)估中心公安部信息安全等級(jí)保護(hù)評(píng)估中心 馬力馬力o 信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系o 信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)n 管理辦法管理辦法n 實(shí)施指南實(shí)施指南n 定級(jí)指南定級(jí)指南n 基本要求基本要求n 測(cè)評(píng)要求測(cè)評(píng)要求o 信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系o 信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)n 管理辦法管理辦法n 實(shí)施指南實(shí)施指南n 定級(jí)指南定級(jí)指南n 基本要求基本要求n 測(cè)評(píng)要求測(cè)評(píng)要求 多年來，在有關(guān)部門支持

2、下，在國(guó)多年來，在有關(guān)部門支持下，在國(guó)內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國(guó)信內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形安全等級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體成了比較完整的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。匯集成系。匯集成信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)匯編信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)匯編供有關(guān)單位、部門使用。供有關(guān)單位、部門使用。 在安全建設(shè)整改工作中的作用 等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)o信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系由等級(jí)保護(hù)工作過程

3、中所需的所有標(biāo)準(zhǔn)組成，整個(gè)標(biāo)準(zhǔn)體系可以從多個(gè)角度分析o從基本分類角度看n基礎(chǔ)類標(biāo)準(zhǔn)n技術(shù)類標(biāo)準(zhǔn)n管理類標(biāo)準(zhǔn)o從對(duì)象角度看n基礎(chǔ)標(biāo)準(zhǔn)n系統(tǒng)標(biāo)準(zhǔn)n產(chǎn)品標(biāo)準(zhǔn)n安全服務(wù)標(biāo)準(zhǔn)n安全事件標(biāo)準(zhǔn)等o 從等級(jí)保護(hù)生命周期看n 通用/基礎(chǔ)標(biāo)準(zhǔn)n 系統(tǒng)定級(jí)用標(biāo)準(zhǔn)n 安全建設(shè)用標(biāo)準(zhǔn)n 等級(jí)測(cè)評(píng)用標(biāo)準(zhǔn)n 運(yùn)行維護(hù)用標(biāo)準(zhǔn)等一是：定級(jí)備案二是：建設(shè)整改三是：等級(jí)測(cè)評(píng)四是：監(jiān)督檢查（一）基礎(chǔ)1 1、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859-1999GB17859-19992 2、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T 25058-2010GB/T 25058-2010（二）系統(tǒng)定級(jí)環(huán)節(jié)3 3、信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指

4、南GB/T22240-2008GB/T22240-2008（三）建設(shè)整改環(huán)節(jié)4 4、信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22239-2008GB/T22239-2008（四）等級(jí)測(cè)評(píng)環(huán)節(jié)5 5、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求( (國(guó)標(biāo)報(bào)批稿) )6 6、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南( (國(guó)標(biāo)報(bào)批稿) )o信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)，以下簡(jiǎn)稱管理辦法）o計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999，簡(jiǎn)稱劃分準(zhǔn)則）o信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T 25058-2010 （簡(jiǎn)稱實(shí)施指南）o信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（GB/T 22240-2008，簡(jiǎn)稱定

5、級(jí)指南）o信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008，簡(jiǎn)稱基本要求）o信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（簡(jiǎn)稱測(cè)評(píng)要求）o信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南 （簡(jiǎn)稱測(cè)評(píng)過程指南）o 信息安全等級(jí)保護(hù)制度要干什么信息安全等級(jí)保護(hù)制度要干什么o 信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)n 管理辦法管理辦法n 實(shí)施指南實(shí)施指南n 定級(jí)指南定級(jí)指南n 基本要求基本要求n 測(cè)評(píng)要求測(cè)評(píng)要求等級(jí)確定與備案 自查與等級(jí)測(cè)評(píng)等級(jí)保護(hù)運(yùn)行與管理基本要求，實(shí)施指南、 安全產(chǎn)品標(biāo)準(zhǔn) 定級(jí)指南、實(shí)施指南 監(jiān)督管理要求、 基本要求、測(cè)評(píng)要求 基本要求，定級(jí)指南、實(shí)施指南，設(shè)計(jì)規(guī)范、

6、測(cè)評(píng)要求安全規(guī)劃與設(shè)計(jì) 安全建設(shè)與實(shí)現(xiàn) 監(jiān)督管理要求實(shí)施指南o 管理辦法管理辦法(43(43文件文件) )（總要求）（總要求）o 實(shí)施指南（實(shí)施指南（GB/T25058-2010GB/T25058-2010）o 定級(jí)指南（定級(jí)指南（GB/T22240-2008GB/T22240-2008）o 基本要求（基本要求（GB/T22239-2008GB/T22239-2008）o 測(cè)評(píng)要求測(cè)評(píng)要求o 建設(shè)指南建設(shè)指南o 信息安全等級(jí)保護(hù)制度要干什么信息安全等級(jí)保護(hù)制度要干什么o 信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)n 管理辦法管理辦法n 實(shí)施指南實(shí)施指南n 定級(jí)指南定級(jí)

7、指南n 基本要求基本要求n 測(cè)評(píng)要求測(cè)評(píng)要求o 管理辦法第八條:o 信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全職能部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理 。o管理辦法第九條:o信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南具體實(shí)施等級(jí)保護(hù)工作。o管理辦法第十條:o信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 o管理辦法第十二條:o在信息系統(tǒng)建設(shè)過程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全等級(jí)保

8、護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，參照等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。o 管理辦法第十三條:o 運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照信息安全技術(shù)信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術(shù)信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。 o管理辦法第十四條:o信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系

9、統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。o 信息安全等級(jí)保護(hù)制度要干什么信息安全等級(jí)保護(hù)制度要干什么o 信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)n 管理辦法管理辦法n 實(shí)施指南實(shí)施指南n 定級(jí)指南定級(jí)指南n 基本要求基本要求n 測(cè)評(píng)要求測(cè)評(píng)要求介紹和描述了實(shí)施信息系統(tǒng)等級(jí)保護(hù)過程介紹和描述了實(shí)施信息系統(tǒng)等級(jí)保護(hù)過程中涉及的階段、過程和需要完成的活動(dòng)，通過中涉及的階段、過程和需要完成的活動(dòng)，通過對(duì)過程和活動(dòng)的介紹，使大家了解對(duì)信息系統(tǒng)對(duì)過程和活動(dòng)的介紹，使大家了解對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的流程方法，以及不同的角色在實(shí)施等級(jí)保護(hù)的

10、流程方法，以及不同的角色在不同階段的作用等。不同階段的作用等。等級(jí)變更等級(jí)變更局部調(diào)整局部調(diào)整信息系統(tǒng)定級(jí)信息系統(tǒng)定級(jí)總體安全規(guī)劃總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)安全運(yùn)行維護(hù)信息系統(tǒng)終止信息系統(tǒng)終止u 以信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)為主要線索，u 定義信息系統(tǒng)等級(jí)保護(hù)實(shí)施的主要階段和過程u 對(duì)每個(gè)階段介紹和描述主要的過程和實(shí)施活動(dòng) u 對(duì)每個(gè)活動(dòng)說明實(shí)施主體、主要活動(dòng)內(nèi)容和輸入輸出等o 正文由9個(gè)章節(jié)1個(gè)附錄構(gòu)成n1. 范圍n2.規(guī)范性引用文件n3術(shù)語定義n4. 等級(jí)保護(hù)實(shí)施概述n5.信息系統(tǒng)定級(jí)n6.總體安全規(guī)劃n7.安全設(shè)計(jì)/實(shí)施n8.安全運(yùn)行維護(hù)n9.信息系統(tǒng)終止n附錄A

11、 主要過程及其輸出o 階段o 過程o 主要活動(dòng)o 子活動(dòng)o 活動(dòng)輸入o 活動(dòng)輸出o 階段階段n 過程過程o 活動(dòng)活動(dòng)n 子活動(dòng)子活動(dòng)例如例如: :o 信息系統(tǒng)定級(jí)信息系統(tǒng)定級(jí)n 信息系統(tǒng)分析信息系統(tǒng)分析o 系統(tǒng)識(shí)別和描繪系統(tǒng)識(shí)別和描繪n 識(shí)別信息系統(tǒng)的基本信息識(shí)別信息系統(tǒng)的基本信息n 識(shí)別信息系統(tǒng)的管理框架識(shí)別信息系統(tǒng)的管理框架n o 信息系統(tǒng)劃分信息系統(tǒng)劃分主要輸入主要輸入主要輸出主要輸出過程過程系統(tǒng)立項(xiàng)文檔系統(tǒng)立項(xiàng)文檔系統(tǒng)建設(shè)文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔系統(tǒng)管理文檔信息系統(tǒng)分析信息系統(tǒng)分析系統(tǒng)總體描述文件系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)詳細(xì)描述文件安全保護(hù)等級(jí)確定安全保護(hù)等級(jí)確定系統(tǒng)總

12、體描述文件系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)安全保護(hù)等級(jí)系統(tǒng)安全保護(hù)等級(jí)定級(jí)建議書定級(jí)建議書o 信息安全等級(jí)保護(hù)制度要干什么信息安全等級(jí)保護(hù)制度要干什么o 信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)n 管理辦法管理辦法n 實(shí)施指南實(shí)施指南n 定級(jí)指南定級(jí)指南n 基本要求基本要求n 測(cè)評(píng)要求測(cè)評(píng)要求o 安全保護(hù)等級(jí)安全保護(hù)等級(jí) 等級(jí)的確定是不依賴于安全保護(hù)措施的，具有等級(jí)的確定是不依賴于安全保護(hù)措施的，具有一定的一定的“客觀性客觀性”，即該系統(tǒng)在存在之初便由，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)，其自身所實(shí)現(xiàn)的使命決定了它的安

13、全保護(hù)等級(jí)，而非由而非由“后天后天”的安全保護(hù)措施決定。的安全保護(hù)措施決定。o 正文由6個(gè)章節(jié)構(gòu)成n 1. 范圍n 2. 規(guī)范性引用文件n 3. 術(shù)語定義n 4. 定級(jí)原理n 5. 定級(jí)方法n 6. 級(jí)別變更o五個(gè)等級(jí)的定義n第一級(jí), 信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。n第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。n第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 n第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩

14、序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。n第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)o確定定級(jí)對(duì)象；o確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體；o綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度；o得到業(yè)務(wù)信息安全等級(jí)；o確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體；o綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度；o得到系統(tǒng)服務(wù)安全等級(jí)；o由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。

15、 o 第一級(jí)第一級(jí) S1A1G1S1A1G1o 第二級(jí)第二級(jí) S1A2G2S1A2G2，S2A2G2S2A2G2，S2A1G2S2A1G2o 第三級(jí)第三級(jí) S1A3G3S1A3G3，S2A3G3S2A3G3，S3A3G3S3A3G3，S3A2G3S3A2G3，S3A1G3S3A1G3o 第四級(jí)第四級(jí) S1A4G4S1A4G4，S2A4G4S2A4G4，S3A4G4S3A4G4，S4A4G4S4A4G4，S4A3G4S4A3G4，S4A2G4S4A2G4，S4A1G4S4A1G4o 信息安全等級(jí)保護(hù)制度要干什么信息安全等級(jí)保護(hù)制度要干什么o 信息安全等級(jí)保護(hù)工作使用的主要標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)工作

16、使用的主要標(biāo)準(zhǔn)n 管理辦法管理辦法n 實(shí)施指南實(shí)施指南n 定級(jí)指南定級(jí)指南n 基本要求基本要求n 測(cè)評(píng)要求測(cè)評(píng)要求37o 03年，27號(hào)文件進(jìn)一步明確信息安全等級(jí)保護(hù)制度o 04年，66號(hào)文件要求“盡快制定、完善法律法規(guī)和標(biāo)準(zhǔn)體系”o 編制歷程n04年10月，接受公安部的標(biāo)準(zhǔn)編制任務(wù)n05年 6月，完成初稿，廣泛征求安全領(lǐng)域?qū)＜液托袠I(yè)用戶意見；n05年10月，征求意見稿第一稿，國(guó)信辦、安標(biāo)委評(píng)審n05年11月，征求意見稿第三稿n06年 6月，試點(diǎn)工作n07年04月，征求意見稿第四稿，安標(biāo)委專家評(píng)審n07年05月，形成報(bào)批稿n08年6月19日，正式發(fā)布，08年11月1日正式實(shí)施。38o GB 1

17、7859-1999的細(xì)化和發(fā)展n 吸收安全機(jī)制并擴(kuò)展到不同層面n 增加安全管理方面的內(nèi)容n 借鑒PDR、CMM、17799o 關(guān)注可操作性n 最佳實(shí)踐n 當(dāng)前技術(shù)的發(fā)展n 機(jī)制要求（目標(biāo)/要求）信息系統(tǒng)安全等級(jí)保護(hù)基本要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他

18、產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全定級(jí)基線要求狀態(tài)分析方法指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)在安全建設(shè)整改工作中的作用 3940o GB17859-1999是基礎(chǔ)性標(biāo)準(zhǔn)，基本要求17859基礎(chǔ)上的進(jìn)一步細(xì)化和擴(kuò)展。o 定級(jí)指南確定出系統(tǒng)等級(jí)以及業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)后，需要按照相應(yīng)等級(jí)，根據(jù)基本要求選擇相應(yīng)等級(jí)的安全保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實(shí)施。o 測(cè)評(píng)要求是依據(jù)基本要求檢驗(yàn)系統(tǒng)的各項(xiàng)保護(hù)措施是否達(dá)到相應(yīng)等級(jí)的基本要求所規(guī)定的保護(hù)能力。41o 用戶范圍n信息系

19、統(tǒng)的主管部門及運(yùn)營(yíng)使用單位n測(cè)評(píng)機(jī)構(gòu)n安全服務(wù)機(jī)構(gòu)（系統(tǒng)集成商，軟件開發(fā)商）n信息安全監(jiān)管職能部門o 適用環(huán)節(jié)n需求分析n方案設(shè)計(jì)、系統(tǒng)建設(shè)與驗(yàn)收n運(yùn)行維護(hù)、等級(jí)測(cè)評(píng)、自查n 門檻合理 對(duì)每個(gè)級(jí)別的信息系統(tǒng)安全要求設(shè)置合理，按照基本要求建設(shè)后，確實(shí)達(dá)到期望的安全保護(hù)能力n 內(nèi)容完整 綜合技術(shù)、管理各個(gè)方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng)生命周期n 便于使用 安全要求分類方式合理，便于安全保護(hù)、檢測(cè)評(píng)估、監(jiān)督檢查實(shí)施各方的靈活使用424344o 對(duì)抗能力和恢復(fù)能力共同構(gòu)成了信息系統(tǒng)的安全保護(hù)能力。o 安全保護(hù)能力主要表現(xiàn)為信息系統(tǒng)應(yīng)對(duì)威脅的能力，稱為對(duì)抗能力，但當(dāng)信息系統(tǒng)無法阻擋

20、威脅對(duì)自身的破壞時(shí)，信息系統(tǒng)的恢復(fù)能力使系統(tǒng)在一定時(shí)間內(nèi)恢復(fù)到原有狀態(tài)，從而降低負(fù)面影響。45o 第一級(jí)安全保護(hù)能力 應(yīng)具有能夠?qū)箒碜詡€(gè)人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短、系統(tǒng)局部范圍等）、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，并在威脅發(fā)生后，能夠恢復(fù)部分功能。46o 第二級(jí)安全保護(hù)能力 應(yīng)具有能夠?qū)箒碜孕⌒徒M織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個(gè)別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時(shí)間短、覆蓋范圍?。ň植啃裕┑龋?/p>

21、、以及其他相當(dāng)危害程度（無意失誤、設(shè)備故障等）的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。47o 第三級(jí)安全保護(hù)能力n應(yīng)具有能夠?qū)箒碜源笮偷摹⒂薪M織的團(tuán)體（如一個(gè)商業(yè)情報(bào)組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計(jì)算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣（地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。 48o 第四級(jí)安全保護(hù)能力n 應(yīng)具有能夠?qū)箒碜試?guó)家級(jí)別的、敵對(duì)組織的、擁有

22、豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣（多地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復(fù)所有功能。49一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)防護(hù)防護(hù)/檢測(cè)策略/防護(hù)/檢測(cè)/恢復(fù)策略/防護(hù)/檢測(cè)/恢復(fù)/響應(yīng)四級(jí)系統(tǒng)技術(shù)要求特點(diǎn)50一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)管理要求特點(diǎn)一般執(zhí)行（部分活動(dòng)建制度）計(jì)劃實(shí)施（主要過程建制度）統(tǒng)一策略（管理制度體系化）持續(xù)改進(jìn)（管理制度體系化/驗(yàn)證/改進(jìn)）51一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)覆蓋范圍特點(diǎn)通信/邊界（關(guān)鍵資源）通信/邊界/內(nèi)部（重要設(shè)備）通信/邊界/

23、內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）52某級(jí)系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)要求項(xiàng)控制點(diǎn)要求項(xiàng)53物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理類547 第三級(jí)基本要求7.1 技術(shù)要求7.1.1 物理安全7.1.1.1 物理位置的選擇 本項(xiàng)要求包括 a) 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防 風(fēng)和防雨等能力的建筑內(nèi) b) 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 。類要求項(xiàng)控制點(diǎn)55n 業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為S）n 系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為A）n 通

24、用安全保護(hù)要求（標(biāo)記為G） n 技術(shù)要求（3種標(biāo)注）n 管理要求（統(tǒng)屬G）56o 業(yè)務(wù)信息安全相關(guān)要求（S）n電磁防護(hù)n訪問控制n數(shù)據(jù)完整性n數(shù)據(jù)保密性o 系統(tǒng)服務(wù)保證相關(guān)要求（A）n電力供應(yīng)n軟件容錯(cuò)n備份與恢復(fù)n資源控制o 通用安全保護(hù)要求（G）n 管理要求和大部分技術(shù)要求o控制點(diǎn)增加o要求項(xiàng)增加o要求項(xiàng)增強(qiáng)范圍增大 要求細(xì)化要求粒度細(xì)化58o三級(jí)基本要求：在二級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、軟件容錯(cuò)、抗抵賴等。管理方面，增加了系統(tǒng)備案、安全測(cè)評(píng)、監(jiān)控管理和安全管理中心等控制點(diǎn)。 o四級(jí)基本要求：在三級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在系統(tǒng)和應(yīng)用層

25、面控制點(diǎn)上增加了安全標(biāo)記、可信路徑， 59安全要求類類/層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差/187460o 要求項(xiàng)增多，如，對(duì)“身份鑒別”，一級(jí)要求“進(jìn)行身份標(biāo)識(shí)和鑒別”，二級(jí)增加要求“口令復(fù)雜度、登錄失敗保護(hù)等”；而三級(jí)則要求“采用兩種或兩種以上組合的鑒別技術(shù) ”。o 項(xiàng)目增加，要求增強(qiáng)。61安全要求類/層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安

26、全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差/901152862o 范圍增大，如，對(duì)物理安全的“防靜電”，二級(jí)只要求“關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施”；而三級(jí)則在對(duì)象的范圍上發(fā)生了變化，為“主要設(shè)備應(yīng)采用必要的接地防靜電措施”。范圍的擴(kuò)大，表明了該要求項(xiàng)強(qiáng)度的增強(qiáng)。 。63o 要求細(xì)化：如，人員安全管理中的“安全意識(shí)教育和培訓(xùn)”，二級(jí)要求“應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)

27、知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)”，而三級(jí)在對(duì)培訓(xùn)計(jì)劃進(jìn)行了進(jìn)一步的細(xì)化，為“應(yīng)針對(duì)不同崗位制定不同培訓(xùn)計(jì)劃”，培訓(xùn)計(jì)劃有了針對(duì)性，更符合各個(gè)崗位人員的實(shí)際需要。 64o 粒度細(xì)化：如，網(wǎng)絡(luò)安全中的“訪問控制”，二級(jí)要求“控制粒度為網(wǎng)段級(jí)”，而三級(jí)要求則將控制粒度細(xì)化，為“控制粒度為端口級(jí)”。由“網(wǎng)段級(jí)”到“端口級(jí)”，粒度上的細(xì)化，同樣也增強(qiáng)了要求的強(qiáng)度。 65o 由9個(gè)章節(jié)2個(gè)附錄構(gòu)成n 1.適用范圍n 2.規(guī)范性引用文件n 3.術(shù)語定義n 4.信息系統(tǒng)安全等級(jí)保護(hù)概述n 5.6.7.8.9五個(gè)等級(jí)的基本要求n 附錄A 關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求n 附錄B 基本安全要求的選擇和使用66物

28、理位置選擇物理安全物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮電力供應(yīng)電磁防護(hù)防靜電溫濕度控制67物理安全要求主要由機(jī)房（包括主、輔機(jī)房、介質(zhì)存放間等）所部署的設(shè)備設(shè)施和采取的安全技術(shù)措施兩方面提供的功能來滿足。部分物理安全要求涉及到終端所在的辦公場(chǎng)地?？刂泣c(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)物理位置的選擇*物理訪問控制*防盜竊和防破壞*防雷擊*防火*防水和防潮*防靜電*溫濕度控制*電力供應(yīng)*電磁防護(hù)*合計(jì)71010106869網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵檢測(cè)惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)70網(wǎng)絡(luò)安全要求中對(duì)廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)等通信網(wǎng)絡(luò)的要求由構(gòu)成通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的網(wǎng)

29、絡(luò)管理機(jī)制提供的功能來滿足。對(duì)局域網(wǎng)安全的要求主要通過采用、防火墻、入侵檢測(cè)系統(tǒng)、惡意代碼防范系統(tǒng)、安全管理中心等設(shè)備提供的安全功能來滿足?？刂泣c(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)結(jié)構(gòu)安全（G）*訪問控制（G）*安全審計(jì)（G）*邊界完整性檢查（S）*入侵防范（G）*惡意代碼防范（G）*網(wǎng)絡(luò)設(shè)備防護(hù)（G）*合計(jì)36777172主機(jī)安全身份鑒別訪問控制可信路徑安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制安全標(biāo)記73主機(jī)包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、安全軟件所安裝的服務(wù)器及管理終端、業(yè)務(wù)終端、辦公終端等。主機(jī)安全要求通過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其他安全軟件（包括防病毒、防入侵、木馬檢測(cè)等軟件）實(shí)現(xiàn)的安全功能來滿

30、足?？刂泣c(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別（S）*安全標(biāo)記（S）*訪問控制（S）*可信路徑（S）*安全審計(jì)（G）*剩余信息保護(hù)（S）*入侵防范（G）*惡意代碼防范（G）*資源控制（A）*合計(jì)46797475應(yīng)用安全身份鑒別訪問控制通信完整性通信保密性安全審計(jì)剩余信息保護(hù)抗抵賴軟件容錯(cuò)資源控制代碼安全76應(yīng)用安全要求通過應(yīng)用系統(tǒng)、應(yīng)用平臺(tái)系統(tǒng)等實(shí)現(xiàn)的安全功能來滿足。如果應(yīng)用系統(tǒng)是多層結(jié)構(gòu)的，一般不同層的應(yīng)用都需要實(shí)現(xiàn)同樣強(qiáng)度的身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)及資源控制等。通信保密性、完整性一般在一個(gè)層面實(shí)現(xiàn)。77數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)數(shù)據(jù)完整性*數(shù)據(jù)保密性

31、*備份和恢復(fù)*合計(jì)23337879管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理80崗位設(shè)置安全管理機(jī)構(gòu)人員配備授權(quán)和審批溝通與合作審核和檢查控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)崗位設(shè)置*人員配備*授權(quán)和審批*溝通和合作*審核和檢查*合計(jì)45558182管理制度安全管理制度制定和發(fā)布評(píng)審和修訂控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)管理制度*制定和發(fā)布*評(píng)審和修訂*合計(jì)23338384人員安全管理人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)外部人員訪問管理85控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)人員錄用*人員離崗*人員考核*安全意識(shí)教育和培訓(xùn)*外部人員訪問管理*合計(jì)455586系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)安全方案設(shè)計(jì)產(chǎn)品采購自

32、行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付安全服務(wù)商選擇系統(tǒng)備案等級(jí)測(cè)評(píng)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)系統(tǒng)定級(jí)*安全方案設(shè)計(jì)*產(chǎn)品采購和使用*自行軟件開發(fā)*外包軟件開發(fā)*工程實(shí)施*測(cè)試驗(yàn)收*系統(tǒng)交付*系統(tǒng)備案*等級(jí)測(cè)評(píng)*安全服務(wù)商選擇*合計(jì)9911118788系統(tǒng)運(yùn)維管理環(huán)境管理資產(chǎn)管理設(shè)備管理介質(zhì)管理監(jiān)控管理和管理中網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理變更管理密碼管理備份和恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)環(huán)境管理*資產(chǎn)管理*介質(zhì)管理*設(shè)備管理*監(jiān)控管理和安全管理中心*網(wǎng)絡(luò)安全管理*系統(tǒng)安全管理*惡意代碼防范管理*密碼管理*變更管理*備份與恢復(fù)管理*安全事件處置*應(yīng)急預(yù)案管理*合計(jì)1012131389o 信息安全