等级安全信息系统有哪些_GBT22239-2008信息安全技术信息系统安全等级保护基本要求标准_零基础信息安全知识点

等级安全信息系统有哪些_GBT22239-2008信息安全技术信息系统安全等级保护基本要求标准_零基础信息安全知识点

犐犆犛３５．０４０ 犔８０ 中华人 民共和 国国家 标准／—犌犅犜２２２３９ ２００８信息安全技术信息系统安全等级保护基本要求犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狋犲犮犺狀狅犾狅 —狔犵狔犅犪狊犲犾犻狀犲犳狅狉犮犾犪狊狊犻犳犻犲犱 狉狅狋犲犮狋犻狅狀狅犳犻狀犳狅狉犿犪狋犻狅狀狊狊狋犲犿狊犲犮狌狉犻狋狆狔狔 ２００８０６１９发布２００８１１０１实施中华人民共和国国家质量监督检验检疫总局发 布中 国 国 家 标 准 化 管 理 委 员 会／—犌犅犜２２２３９ ２００８目次 前言Ⅲ 引言Ⅳ １ 范围１ ２ 规范性引用文件１ ３ 术语和定义１ ４ 信息系统安全等级保护概述１ ４．１ 信息系统安全保护等级１ ４．２ 不同等级的安全保护能力１ ４．３ 基本技术要求和基本管理要求２ ４．４ 基本技术要求的三种类型２ ５ 第一级基本要求２ ５．１ 技术要求２ ５．１．１ 物理安全２ ５．１．２ 网络安全３ ５．１．３ 主机安全３ ５．１．４ 应用安全３ ５．１．５ 数据安全及备份恢复４ ５．２ 管理要求４ ５．２．１ 安全管理制度４ ５．２．２ 安全管理机构４ ５．２．３ 人员安全管理４ ５．２．４ 系统建设管理５ ５．２．５ 系统运维管理６ ６ 第二级基本要求７ ６．１ 技术要求７ ６．１．１ 物理安全７ ６．１．２ 网络安全７ ６．１．３ 主机安全８ ６．１．４ 应用安全９ ６．１．５ 数据安全及备份恢复１０ ６．２ 管理要求１０ ６．２．１ 安全管理制度１０ ６．２．２ 安全管理机构１０ ６．２．３ 人员安全管理１１ ６．２．４ 系统建设管理１１ ６．２．５ 系统运维管理１３ ７ 第三级基本要求１５ ７．１ 技术要求１５Ⅰ ／— 犌犅犜２２２３９ ２００８ ７．１．１ 物理安全１５ ７．１．２ 网络安全１６ ７．１．３ 主机安全１７ ７．１．４ 应用安全１８ ７．１．５ 数据安全及备份恢复２０ ７．２ 管理要求２０ ７．２．１ 安全管理制度２０ ７．２．２ 安全管理机构２１ ７．２．３ 人员安全管理２２ ７．２．４ 系统建设管理２２ ７．２．５ 系统运维管理２４ ８ 第四级基本要求２７ ８．１ 技术要求２７ ８．１．１ 物理安全２７ ８．１．２ 网络安全２８ ８．１．３ 主机安全３０ ８．１．４ 应用安全３１ ８．１．５ 数据安全及备份恢复３３ ８．２ 管理要求３３ ８．２．１ 安全管理制度３３ ８．２．２ 安全管理机构３４ ８．２．３ 人员安全管理３５ ８．２．４ 系统建设管理３６ ８．２．５ 系统运维管理３８ ９ 第五级基本要求４１ 附录 （规范性附录） 关于信息系统整体安全保护能力的要求Ａ４２ 附录 （规范性附录） 基本安全要求的选择和使用Ｂ４３ 参考文献４４ Ⅱ／—犌犅犜２２２３９ ２００８前言本标准的附录 和附录 是规范性附录。

ＡＢ 本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位：公安部信息安全等级保护评估中心。本标准主要起草人：马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、 罗峥、毕马宁。Ⅲ ／— 犌犅犜２２２３９ ２００８引言依据国家信息安全等级保护管理规定制定本标准。 本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括：——— ／—《信息安全技术 信息系统安全等级保护定级指南》；ＧＢＴ２２２４０ ２００８———国家标准《信息安全技术 信息系统安全等级保护实施指南》。本标准与—、 ／—、 ／—、 ／—等标准ＧＢ１７８５９ １９９９ＧＢＴ２０２６９ ２００６ＧＢＴ２０２７０ ２００６ＧＢＴ２０２７１ ２００６ 共同构成了信息系统安全等级保护的相关配套标准。其中—是基础性标准，本标准、ＧＢ１７８５９ １９９９ ／—、 ／— 、 ／— 等是在—基础上的进一步 ＧＢＴ２０２６９ ２００６ＧＢＴ２０２７０ ２００６ＧＢＴ２０２７１ ２００６ＧＢ１７８５９ １９９９ 细化和扩展。本标准在—、 ／—、 ／—、 ／—等技术ＧＢ１７８５９ １９９９ＧＢＴ２０２６９ ２００６ＧＢＴ２０２７０ ２００６ＧＢＴ２０２７１ ２００６ 类标准的基础上，根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的最低保护要 求，即基本安全要求，基本安全要求包括基本技术要求和基本管理要求，本标准适用于指导不同安全保 护等级信息系统的安全建设和监督管理。

在本标准文本中，黑体字表示较低等级中没有出现或增强的要求。 Ⅳ／—犌犅犜２２２３９ ２００８信息安全技术信息系统安全等级保护基本要求 １ 范围 本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适 用于指导分等级的信息系统的安全建设和监督管理。 ２ 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所 有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研 究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。／信息技术 词汇 第 部分：安全（ ／— ，／：ＧＢＴ５２７１．８８ＧＢＴ５２７１．８ ２００１ｉｄｔＩＳＯＩＥＣ２３８２８ １９９８）ＧＢ１７８５９ 计算机信息系统安全保护等级划分准则／—信息安全技术 信息系统安全等级保护定级指南ＧＢＴ２２２４０ ２００８ ３ 术语和定义 ／和确立的以及下列术语和定义适用于本标准。ＧＢＴ５２７１．８ ＧＢ１７８５９ ３．１安全保护能力 狊犲犮狌狉犻狋 狉狅狋犲犮狋犻狅狀犪犫犻犾犻狋 狔狆狔系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。

４ 信息系统安全等级保护概述 ４．１ 信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩 序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见 ／—。 ＧＢＴ２２２４０ ２００８ ４．２ 不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、 一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复 部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶 意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全 漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰 富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资 源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有１

~

网络安全学习，我们一起交流

~