信息安全技术信息系统安全等级保护基本要求

《信息安全技术 信息系统安全等级保护基本要求》由中国标准出版社出版的图书，作者是中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会。

基本信息

中文名称

信息安全技术 信息系统安全等级保护基本要求

外文名称

Information Security Technology-Baseline for Classified Protection of Information System Security

出版日期

2008年9月1日

语种

简体中文

ISBN

155066133384

出版社

中国标准出版社

页数

44 页

开本

16 开

定价

45 元

目录

1内容简介

2图书目录

3文摘

折叠编辑本段内容简介

《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》的附录A和附录B是规范性附录。《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》由公安部和全国信息安全标准化技术委员会提出。《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》由全国信息安全标准化技术委员会归口。《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》起草单位:公安部信息安全等级保护评估中心。《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》主要起草人:马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。

折叠编辑本段图书目录

前言

引言

1 范围

2 规范性引用文件

3 术语和定义

4 信息系统安全等级保护概述

4.1 信息系统安全保护等级

4.2 不同等级的安全保护能力

4.3 基本技术要求和基本管理要求

4.4 基本技术要求的三种类型

5 第一级基本要求

5.1 技术要求

5.1.1 物理安全

5.1.2 网络安全

5.1.3 主机安全

5.1.4 应用安全

5.1.5 数据安全及备份恢复

5.2 管理要求

5.2.1 安全管理制度

5.2.2 安全管理机构

5.2.3 人员安全管理

5.2.4 系统建设管理

5.2.5 系统运维管理

6 第二级基本要求

6.1 技术要求

6.1.1 物理安全

6.1.2 网络安全

6.1.3 主机安全

6.1.4 应用安全

6.1.5 数据安全及备份恢复

6.2 管理要求

6.2.1 安全管理制度

6.2.2 安全管理机构

6.2.3 人员安全管理

6.2.4 系统建设管理

6.2.5 系统运维管理

7 第三级基本要求

7.1 技术要求

7.1.1 物理安全

7.1.2 网络安全

7.1.3 主机安全

7.1.4 应用安全

7.1.5 数据安全及备份恢复

7.2 管理要求

7.2.1 安全管理制度

7.2.2 安全管理机构

7.2.3 人员安全管理

7.2.4 系统建设管理

7.2.5 系统运维管理

8 第四级基本要求

8.1 技术要求

8.1.1 物理安全

8.1.2 网络安全

8.1.3 主机安全

8.1.4 应用安全

8.1.5 数据安全及备份恢复

8.2 管理要求

8.2.1 安全管理制度

8.2.2 安全管理机构

8.2.3 人员安全管理

8.2.4 系统建设管理

8.2.5 系统运维管理

9 第五级基本要求

附录A(规范性附录) 关于信息系统整体安全保护能力的要求

附录B(规范性附录) 基本安全要求的选择和使用

参考文献

折叠编辑本段文摘

版权页:

4.3 基本技术要求和基本管理要求

信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。关于信息系统整体安全保护能力的说明见附录A。

对于涉及国家秘密的信息系统，应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理，应按照国家密码管理的相关规定和标准实施。

4.4 基本技术要求的三种类型

根据保护侧重点的不同，技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)。

本标准中对基本安全要求使用了标记，其中的字母表示安全要求的类型，数字表示适用的安全保护等级。关于各类安全要求的选择和使用见附录B。