網絡安全常用標準手冊

一、網絡安全監(jiān)督管理制度相關標準

（一）關鍵信息基礎設施保護

《中華人民共和國網絡安全法》第三十一條規(guī)定，國家對公共

通信和信息服務、能源、交通、水利、金融、公共服務、電子政務

等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄

露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎

設施，在網絡安全等級保護制度的基礎上，實行重點保護。目前關

鍵信息基礎設施網絡安全保護工作，主要有《信息安全技術關鍵信

息基礎設施網絡安全框架》、《信息安全技術關鍵信息基礎設施網

絡安全保護基本要求》、《信息安全技術關鍵信息基礎設施安全控

制措施》、《信息安全技術關鍵信息基礎設施安全檢查評估指南》、

《信息安全技術關鍵信息基礎設施安全保障指標體系》等五項標

準，其中部分標準還在起草制定中，可先行了解參考。

序號標準號標準名稱發(fā)布日期實施日期備注

《信息安全技術關鍵信息基礎設施網絡

信息安全技術關

安全框架》作為基礎標準，闡明構成框架

1——鍵信息基礎設施網————

的基本要素及其關系，統一通用術語和定

絡安全框架

義。

信息安全技術關《信息安全技術關鍵信息基礎設施網絡

鍵信息基礎設施網安全保護基本要求》作為基線類標準，對

2——————

絡安全保護基本要關鍵信息基礎設施運營者開展網絡安全保

求護工作提出最低要求。

信息安全技術關《信息安全技術關鍵信息基礎設施安全

3——鍵信息基礎設施安————控制措施》作為實施類標準，根據基本要

全控制措施求提出相應的控制措施。

《信息安全技術關鍵信息基礎設施安全

信息安全技術關

檢查評估指南》作為測評類標準，依據基

4——鍵信息基礎設施安————

本要求明確關鍵信息基礎設施檢查評估的

全檢查評估指南

目的、流程、內容和結果。

1

序號標準號標準名稱發(fā)布日期實施日期備注

《信息安全技術關鍵信息基礎設施安全

信息安全技術關保障指標體系》作為測評類標準，依據檢

5——鍵信息基礎設施安————査評估結果、日常安全檢測等情況對關鍵

全保障指標體系信息基礎設施安全保障狀況進行定量評

價。

（二）網絡安全等級保護

《中華人民共和國網絡安全法》第二十一條規(guī)定，國家實行網

絡安全等級保護制度。2019年網絡安全等級保護進入2.0時代，保

護對象范圍在傳統信息系統的基礎上增加了云計算、移動互聯、物

聯網、大數據等，對等級保護制度提出了新的要求。各單位應嚴格

對照相關網絡安全國家標準，落實等級保護工作中的網絡定級及評

審、備案及審核、等級測評、安全建設整改等要求。

序號標準號標準名稱發(fā)布日期實施日期備注

信息安全技術本標準規(guī)定了等級保護對象實施網絡安全

GB/T

1網絡安全等級保2019/8/302020/3/1等級保護工作的過程，適用于指導網絡安

25058-2019

護實施指南全等級保護工作的實施。

本標準規(guī)定了網絡安全等級保護第一級到

第四級等級保護對象的安全設計技術要

信息安全技術

求，適用于指導運營使用單位、網絡安全

GB/T網絡安全等級保

22019/5/102019/12/1企業(yè)、網絡安全服務機構開展網絡安全等

25070-2019護安全設計技術

要求級保護安全技術方案的設計和實施，也可

作為網絡安全職能部門進行監(jiān)督、檢査和

指導的依據。

本標準規(guī)定了網絡安全等級保護的第一級

信息安全技術

GB/T到第四級等級保護對象的安全通用要求和

3網絡安全等級保2019/5/102019/12/1

22239-2019安全擴展要求，適用于指導分等級的非涉

護基本要求

密對象的安全建設和監(jiān)督管理。

2

序號標準號標準名稱發(fā)布日期實施日期備注

本標準從安全管理中心的功能、接口、自

信息安全技術身安全等方面，對GB/T25070中提出的安

GB/T網絡安全等級保2018/12/2全管理中心及其安全技術和機制進行了進

42019/7/1

36958-2018護安全管理中心8一步規(guī)范，提出了通用的安全技術要求，

技術要求指導安全廠商和用戶依據本標準要求設計

和建設安全管理中心。

信息安全技術

GB/T本標準規(guī)定了定級方法，為各系統建設使

5網絡安全等級保2020/4/282020/11/1

22240-2020用單位定級工作提供指導。

護定級指南

二、網絡安全管理運維工作相關標準

（一）信息安全管理體系

信息安全管理體系（ISMS）是組織在整體或特定范圍內建立信

息安全方針和目標，以及完成這些目標所用方法的體系。各單位應

結合自身實際建立信息安全管理體系，可以有效規(guī)范工作人員行為，

保證各種技術手段的有效落實，合理統籌管理軟硬件，對有序、高

效開展網絡安全工作具有重大意義。

序號標準號標準名稱發(fā)布日期實施日期備注

信息安全技術本標準依據GB17859-1999的五個安全保

GB/T

1信息系統安全2006/05/2006/12/護等級的劃分，規(guī)定了信息系統安全所需

20269-2006

管理要求3101要的各個安全等級的管理要求。

本標準規(guī)定了信息安全工程的管理要求，

是對信息安全工程中所涉及到的需求方、

實施方與第三方工程實施的指導性文件，

信息安全技術各方可以此為依據建立安全工程管理體

GB/T2006/05/2006/12/

2信息系統安全系。本標準按照GB17859-1999劃分的五

20282-20063101

工程管理要求個安全保護等級，規(guī)定了信息安全工程的

不同要求。本標準適用于該系統的需求方

和實施方的工程管理，其他有關各方也可

參照使用。

3

序號標準號標準名稱發(fā)布日期實施日期備注

信息技術安全本標準規(guī)定了在組織環(huán)境下建立、實現、

GB/T2016/08/2017/03/

3技術信息安全維護和持續(xù)改進信息安全管理體系要

22080-20162901

管理體系要求求。

本標準依據GB/T22080-2008，關注設計

和實施一個成功的信息安全管理體系

信息技術安全

（ISMS）所需要的關鍵方，描述了ISMS

技術信息安全

4GB/T2015/05/2016/01/規(guī)范及其設計的過程，從開始到產生實

31496-2015管理體系實施1501

施計劃，適用于各種規(guī)模和類型的組織

指南

（例如，商業(yè)企業(yè)、政府機構、非贏利

組織）。

本標準為信息安全風險管理提供指南。本

信息技術安全

GB/T2015/06/2016/02/標準支持GB/T22080所規(guī)約的一般概念，

5技術信息安全

31722-20150201旨在為基于風險管理方法來符合要求地

風險管理

實現信息安全提供幫助。

本標準就信息安全治理的概念和原則提

信息技術安全供指南，通過本標準，組織可以對其范

GB/T2016/08/2017/03/

6圍內的信息安全相關活動進行評價、指

32923-2016技術信息安全2901

治理導、監(jiān)視和溝通。本標準適用于所有類型

和規(guī)模的組織。

（二）風險管理

實施網絡安全風險管理，將安全風險控制在可接受的水平是網

絡安全工作的基本方法論。隨著政府部門、企事業(yè)單位以及各行各

業(yè)對信息系統依賴程度的日益增強，運用風險評估去識別安全風險、

解決信息安全問題得到了廣泛的認識和應用。各單位應積極開展風

險評估和管理工作，主動避免風險，有效控制和管理風險。

序號標準號標準名稱發(fā)布日期實施日期備注

信息安全技術本標準提出了風險評估的基本概念、要

GB/T2007/06/2007/11/

1信息安全風險素關系、分析原理、實施流程和評估方

20984-20071401

評估規(guī)范法，以及風險評估在信息系統生命周期

4

序號標準號標準名稱發(fā)布日期實施日期備注

不同階段的實施要點和工作形式適用于

規(guī)范組織開展的風險評估工作。

本標準規(guī)定了信息安全風險評估實施的

信息安全技術過程和方法，適用于各類安全評估機構

GB/T2015/05/2016/01/

2信息安全風險或被評估組織對非涉密信息系統的信息

31509-20151501

評估實施指南安全風險評估項目的管理，指導風險評

估項目的組織、實施、驗收等工作。

本標準給出了信息安全風險處理實施的

信息安全技術

GB/T2016/10/2017/05/管理過程和方法，適用于指導信息系統

3信息安全風險

33132-20161301運營使用單位和信息安全服務機構實施

處理實施指南

信息安全風險處理活動。

本指導文件規(guī)定了信息安全風險管理的

信息安全技術內容和過程，為信息系統生命周期不同階

GB/Z2009/09/2009/12/

4信息安全風險段的信息安全風險管理提供指導。本指導

24364-20093001

管理指南性技術文件適用于指導組織進行信息安

全風險管理工作。

（三）運維管理

部分單位在日常網絡安全工作中存在重安全建設、輕安全運維

的情況，而安全運維是避免網絡安全事件的最有效手段。下述標準

從多個方面為安全運維工作提供了規(guī)范性參考，各單位應積極學習

對照，推動網絡安全運維管理工作規(guī)范化、長效化。

序號標準號標準名稱發(fā)布日期實施日期備注

本標準從技術方面規(guī)定，為目前企業(yè)和

政府在IT安全運維管理方面提供了指

信息安全技術導。主要技內容：從角色和責任、部門

GB/T2018/09/2019/04/

1信息系統安全IT安全策略、IT項目安全資源、管理控

36626-20181701

運維管理指南制、系統開發(fā)生命周期的安全性、信息

和IT設備識別和分類、安全風險管理、

事件管理等幾個方面進行描述。

5

（四）事件管理

網絡安全沒有絕對的安全，管理和處置各類網絡安全事件，是

做好網絡安全工作的重要方面。各單位要認真學習網絡安全事件管

理相關國家標準，明確網絡安全事件的分級分類及處置流程，科學

正確處置各種數據丟失、網絡癱瘓、網站被篡改等網絡安全事件。

序號標準號標準名稱發(fā)布日期實施日期備注

本指導性技術文件描述了信息安全事件

信息技術安的管理過程，提供了規(guī)劃和制定信息安

GB/T全技術信息全事件管理策略和方案的指南，給出了

2017/12/2018/07/

120985.1-20安全事件管管理信息安全事件和開展后續(xù)工作的相

2901

17理第1部分：事關過程和規(guī)程，可用于指導信息安全管

件管理原理理者，信息系統、服務和網絡管理者對

信息安全事件的管理。

信息安全技術本標準規(guī)定了信息系統災難恢復應遵循

2GB/T信息系統災難2007/06/2007/11/的基本要求，適用于信息系統災難恢復的

20988-20071401

恢復規(guī)范規(guī)劃、審批、實施和管理。

本標準規(guī)定了災難恢復中心建設與運維

信息安全技術

的管理過程，適用于開展信息系統災難恢

災難恢復中心

3GB/T2013/12/2014/07/復及業(yè)務連續(xù)性活動的機構或提供信息

30285-2013建設與運維管3115

系統災難恢復及業(yè)務連續(xù)性服務的服務

理規(guī)范

機構。

本指導性技術文件為信息安全事件的分

類分級提供指導，用于信息安全事件的

信息安全技術

GB/Z2007/06/2007/11/防范與處置，為事前準備、事中應對、

4信息安全事件

20986-20071401事后處理提供一個基礎指南，可供信息

分類分級指南

系統和基礎信息傳輸網絡的運營和使用

單位以及信息安全主管部門參考使用。

標準范圍包括：對災難備份與恢復服務

信息安全技術提供者應具備的服務提供者能力要求、

GB/T2018/12/2019/07/

5災難恢復服務服務過程要求，以及對提供信息系統災

36957-20182801

要求難備份與恢復服務的組織進行評估的方

法。

6

序號標準號標準名稱發(fā)布日期實施日期備注

本標準適用于信息系統災難恢復服務機

構。主要技術內容:1.確立災難恢復服務

機構的服務資質等級；2.規(guī)定各等級災難

信息安全技術

GB/T2018/12/2019/07/恢復服務機構的基本資格；3.明確各等級

6災難恢復服務

37046-20182801災難恢復服務機構的基本能力要求；4.制

能力評估準則

定各等級災難恢復服務機構的質量管理

能力衡量標準；5.提出各等級災難恢復服

務機構的災難恢復服務能力要求。

（五）監(jiān)測預警

網絡安全監(jiān)測預警，是重要的網絡安全日常基礎性工作。各單

位應深入了解網絡攻擊的類型、技術、方式，明確網絡安全事件或

威脅的重要程度和可能造成的影響，規(guī)范開展網絡安全監(jiān)測預警工

作，提高網絡安全風險威脅防御保障能力，為抵御攻擊夯實基礎。

序號標準號標準名稱發(fā)布日期實施日期備注

本標準給出了網絡安全預警的分級指南

與處理流程，為及時準確了解網絡安全

信息安全技術

GB/T2016/08/2017/03/事件或威脅的影響程度、可能造成的后

1網絡安全預警

32924-20162901果，及采取有效措施提供指導，也適用

指南

于網絡與信息系統主管和運營部門參考

開展網絡安全事件或威脅的處置工作。

本標準明確了網絡攻擊的基本要求，提出

信息安全技術

GB/T2018/12/2019/07/了網絡攻擊與防范的基本行為準則適用

2網絡攻擊定義

37027-20182801于對計算機網絡實施攻擊和防范的個

及描述規(guī)范

人、企事業(yè)單位和社會團體等組織。

（六）可信計算

隨著物聯網、大數據、云計算等新技術普及，網絡安全壓力增

大，采用可信技術以確保數據存儲可信、操作行為可信、體系結構

7

可信、資源配置可信和策略管理可信。

序號標準號標準名稱發(fā)布日期實施日期備注

信息安全技術本標準規(guī)定了可信平臺主板的組成結構、

GB/T可信計算規(guī)范2013/11/2014/02/信任鏈構建流程、功能接口，適用于基于

1

29827-2013可信平臺主板1201可信平臺控制模塊的可信平臺主板的設

功能接口計、生產和使用。

本標準規(guī)定了可信平臺主板的組成結

信息安全技術

GB/T2013/11/2014/02/構、信任鏈構建流程、功能接口，適用

2可信計算規(guī)范

29828-20131201于基于可信平臺控制模塊的可信平臺主

可信連接架構

板的設計、生產和使用。

本標準適用于云計算環(huán)境下可信服務器

平臺的研發(fā)、生產、集成?？尚欧掌鞯?/p>

測試及管理可參照本標準。本標準主要

內容包括：1.TPCM和TSB在可信服務器平

信息安全技術

臺中應用；2.虛擬環(huán)境下，可信服務器平

GB/T可信計算規(guī)范2018/09/2019/04/

3臺完整性度量、傳遞與報告；3.虛擬TPCM

36639-2018服務器可信支1701

的組成結構、功能及安全性要求；4.虛擬

撐平臺

機可信遷移及遠程證明的流程及功能要

求；5.根據服務器主板的特點，對GB/T

29827-2013《信息安全技術可信計算規(guī)范

可信平臺主板功能接口》的功能擴展。

信息安全技術本標準規(guī)定了可信軟件基的功能結構、工

GB/T

4可信計算規(guī)范2019/8/302020/3/1作流程、保障要求和交互接口規(guī)范，適用

37935-2019

可信軟件基于可信軟件基的設計、生產和測評。

（七）電子政務

隨著政府部門辦公信息化程度不斷提高，網絡安全隱患也隨之

暴露，越來越成為不法分子攻擊的重點目標。為加強電子政務辦公

領域網絡安全反顧和，國家從網絡、軟件、硬件、技術、管理等多

個方面出臺一系列國家標準，各單位要認真學習遵循、同步整改。

8

序號標準號標準名稱發(fā)布日期實施日期備注

信息安全技術本標準建立了政府部門信息技術服務外

GB/T政府部門信息包信息安全管理模型，提出了政府部門信

2016/08/2017/03/

132926-20息技術服務外包信息安全管理生命周期

技術服務外包2901

16

信息安全管理各階段活動的管理要求，適用于政府部門

規(guī)范采購和使用信息技術服務。

本標準是GB/T29245—2012《信息安全技

術政府部門信息安全管理基本要求》框

架下的政府部門信息安全保障標準體系

信息安全技術政

的組成部分，用于指導各級政府部門對所

GB/T府聯網計算機終

22016/8/292017/3/1管轄范圍內聯網計算機終端的管理和安

32925-2016端安全管理基本

要求全檢查工作，使其具備一定的安全防護能

力，可與各種具體的計算機終端應用場

景、操作系統和應用軟件的配置指南配合

使用。

本標準規(guī)定了辦公設備安全技術要求和

安全管理功能要求，適用于政府部門等

GB/T信息安全技術

2012/12/2013/06/機構中對辦公設備具有高安全要求的信

329244-201辦公設備基本

3101息處理環(huán)境，用于辦公設備的采購、測

2安全要求

評、維護和管理，也可為辦公設備的設

計提供參考。

本標準基于電子政務移動辦公系統的基

信息安全技術

GB/T本結構和主要安全風險，提出了電子政

2017/12/2018/07/

435282-20電子政務移動務移動辦公系統的整體安全框架，規(guī)定

2901

17辦公系統安全了移動終端安全、信道安全、移動接入

技術規(guī)范安全和服務端安全應滿足的技術要求。

本標準規(guī)定了計算機終端核心配置基線

信息安全技術的基本要素，規(guī)范了基于XML的核心配

GB/T

計算機終端核心2017/12/2018/07/置基線標記規(guī)則，給出了核心配置基線

535283-20

配置基線結構規(guī)2901應用方法實例，適用于計算機終端的核

17

范心配置自動化工作，包括計算機終端核

心配置自動化工具的設計、開發(fā)和應用。

9

序號標準號標準名稱發(fā)布日期實施日期備注

本標準將為安全辦公U盤產品定義了一組

與具體實現無關的、完整的、緊密關聯的

最小安全要求集合；標準描述了安全辦公

信息安全技

GB/TU盤使用中的環(huán)境和面臨的威脅；陳述相

術安全辦公2018/12/2019/07/

637091-20應保證級別的安全辦公U盤應該達到的安

U盤安全技術2801

18全目的和必須滿足的安全技術要求和安

要求

全保證要求，以及它們之間的基本原理。

本項目將結合目前國內外最新技術的發(fā)

展情況，制定安全辦公U盤安全技術要求。

本標準從信息技術方面規(guī)定了按照《信息

安全技術安全可靠辦公信息系統技術要

信息安全技求》對辦公信息系統進行測試所需要的內

GB/T

術辦公信息2018/12/2019/07/

7容，適用于政府部門等對信息處理環(huán)境具

37096-202801

系統安全測

18有較高安全要求的辦公信息系統的測試，

試規(guī)范

用于安全辦公信息系統的測試，也可為辦

公信息系統的設計提供參考。

本標準主要面向基于國產CPU/OS的辦公

信息系統(黨委、政府、軍隊、檔案館等

信息安全技術

GB/T系統)的硬件需求、基礎軟件需求及業(yè)務

辦公信息系統2018/12/2019/07/

837095-20系統需求，從功能性、可靠性、性能、

安全基本技術2801

18安全性、可維護性、可移植性等方面制

要求

定系統的評價指標，為系統的建設提供

技術依據。

本標準從信息技術方面規(guī)定了按照《信

信息安全技息安全技術安全可靠辦公信息系統技

GB/T

術辦公信息2018/12/2019/07/術要求》的基礎進行信息系統建設、開

937094-20

系統安全管2801發(fā)的內容，適用于政府部門等對信息處

18

理要求理環(huán)境具有較高安全要求的辦公信息系

統的建設。

本標準按照國家信息安全等級保護的要

信息安全技術求，規(guī)定了終端計算機的安全技術要求

GB/T終端計算機通

2012/12/2013/06/和測試評價方法，適用于指導終端計算

1029240-20

用安全技術要3101機的設計生產企業(yè)、使用單位和信息安

12

求與測試評價全服務機構實施終端計算機等級保護安

方法

全技術的設計、實現和評估工作。

10

序號標準號標準名稱發(fā)布日期實施日期備注

本標準適用于各級政務部門、研究機構、

企事業(yè)單位等的互聯網郵件系統、電子

GB/T信息安全技術政務外網郵件系統、電子政務內網郵件

112018/12/2019/07/

37002-20電子郵件系統系統或單位內網郵件系統的設計、實現

2801

18安全技術要求和使用，也適用于相關生產廠商用于設

計、研制、開發(fā)、制造、測試、管理、

集成和維護。

信息安全技術本標準適用于地市級(含以下)政府單位，

GB/Z基于互聯網電基于互聯網開展不涉及國家秘密的電子

2018/03/2018/10/

1224294.1-子政務信息安政務信息安全建設，為工程技術人員設計

1501

2018全實施指南基于互聯網電子政務信息安全保障架構

第1部分：總則提供技術參考。

本標準明確了互聯網電子政務分域控制

的兩個階段，在接入控制階段，對接入控

制結構、接入安全設備功能、接入認證、

信息安全技術接入控制規(guī)則、接入控制管理等方面給出

基于互聯網電子指南性建議要求；在安全交換階段，對安

GB/Z

政務信息安全實全交換模式、定制數據安全交換要求、數

1324294.2-2017/05/2017/12/

施指南第2部據流安全交換要求給出指南性建議要求，

20173101

分：接入控制與適用于沒有電子政務外網專線或沒有租

安全交換用通信網絡專線條件的組織機構，為管理

人員、工程技術人員、信息安全產品提供

者進行信息安全規(guī)劃與建設提供管理和

技術參考。

信息安全技

本部分根據信任體系構建策略要求，明

術基于互聯

確相關的身份認證及授權管理功能要

GB/Z網電子政務信

2017/05/2017/12/求，定義身份認證與授權管理技術規(guī)范。

1424294.3-息安全實施指

3101本部分適用于互聯網電子政務系統中身

2017南第3部分：

份認證與授權管理系統的設計、研發(fā)與

身份認證與授

建設。

權管理

11

序號標準號標準名稱發(fā)布日期實施日期備注

GB/Z24292的本部分按照終端安全防護

信息安全技

策略,明確了基于互聯網電子政務終端

術基于互聯

GB/Z的安全防護技術要求。適用于沒有電子

網電子政務信2017/05/2017/12/

1524294.4-政務外網專線或沒有租用通信網絡專線

息安全實施指1201

2017條件的組織機構，基于互聯網開展不涉

南第4部分：

及國家秘密的電子政務信息安全建設,

終端安全防護

提供管理和技術參考。

本標準規(guī)定了政府部門信息安全管理基

GB/T信息安全技術

2012/12/2013/06/本要求，用于指導各級政府部門的信息安

1629245-20政府部門信息安

3101全管理工作。本標準適用于各級政府部

12全管理基本要求

門，其他單位可以參考使用。

本標準給出了政府門戶網站系統安全技

GB/T信息安全技術術控制措施。本標準適用于指導政府部門

1731506-20政府門戶網站系2015/05/2016/01/開展門戶網站系統安全技術防范工作，

15統安全技術指南1501也可作為對政府門戶網站系統實施安全

檢查的依據。

本標準提出了政務計算機終端核心配置

信息安全技術

GB/T的基本概念和要求，規(guī)定了核心配置的自

政務計算機終2013/12/2014/07/

1830278-20動化實現方法，規(guī)范了核心配置實施流

端核心配置規(guī)