目录
前言
多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织了制定信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。
信息安全等级保护标准体系
信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成
从基本分类角度看
- 基础类标准:GB17859-1999与GB/T 25058-2010
- 技术类标准
- 管理类标准
从对象角度看(主体与客体之分)
- 基础标准
- 系统标准
- 产品标准
- 安全服务标准
- 安全事件标准等
从等级保护生命周期看
- 从通用/基础标准
- 系统定级用标准:GB/T 22240-2008
- 安全建设用标准:GB/T 22239-2008
- 等级测评用标准:《信息系统安全等级保护测评要求/过程指南》(两个国标报批稿)
- 运行维护用标准等
主要政策标准
具体做法
标准定位和关系
总要求:管理办法(43号文件)
辅助要求与指南:
- 实施指南:GB/T 25058-2010
- 定级指南:GB/T 22240-2008
- 基本要求:GB/T 22239-2008
- 测评要求
- 建设指南
信息安全等级保护管理办法
需要注意以下内容
《管理办法》第八条:信息系统运行、使用单位依据本办法和相关技术标准对信息系统进行保护国家有关部门对其信息安全等级保护工作进行监督管理
《管理办法》第九条:信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作
《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准
《管理办法》第十二条:在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB/T 17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照......等技术标准同步建设符合该等级要求的信息安全设施
《管理办法》第十三条:运营、使用单位应当参照《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)、《信息系统安全等级保护基本要求》等管理规范,指定并落实符合本系统安全保护等级要求的安全管理制度
《管理办法》第十四条:信息系统建设完成后,运营使用单位或其主管部门应当选择符合本办法规定条件的测评单位,依据《信息安全系统等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三即信息系统应当每年至少进行一次等级测评第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全要求进行等级测评
查看链接
标准类文件官方查询网站:国家标准全文公开 (samr.gov.cn)
~over~
1199
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
