內容簡介
《信息安全技術 信息系統安全等級保護基本要求(GB/T 22239-2008)》的附錄A和附錄B是規範性附錄。《信息安全技術 信息系統安全等級保護基本要求(GB/T 22239-2008)》由公安部和全國信息安全標準化技術委員會提出。《信息安全技術 信息系統安全等級保護基本要求(GB/T 22239-2008)》由全國信息安全標準化技術委員會歸口。《信息安全技術 信息系統安全等級保護基本要求(GB/T 22239-2008)》起草單位:公安部信息安全等級保護評估中心。《信息安全技術 信息系統安全等級保護基本要求(GB/T 22239-2008)》主要起草人:馬力、任衛紅、李明、袁靜、謝朝海、曲潔、李升、陳雪秀、朱建平、黃洪、劉靜、羅崢、畢馬寧。
圖書目錄
前言
引言
1 範圍
2 規範性引用檔案
3 術語和定義
4 信息系統安全等級保護概述
4.1 信息系統安全保護等級
4.2 不同等級的安全保護能力
4.3 基本技術要求和基本管理要求
4.4 基本技術要求的三種類型
5 第一級基本要求
5.1 技術要求
5.1.1 物理安全
5.1.2 網路安全
5.1.3 主機安全
5.1.4 套用安全
5.1.5 數據安全及備份恢復
5.2 管理要求
5.2.1 安全管理制度
5.2.2 安全管理機構
5.2.3 人員安全管理
5.2.4 系統建設管理
5.2.5 系統運維管理
6 第二級基本要求
6.1 技術要求
6.1.1 物理安全
6.1.2 網路安全
6.1.3 主機安全
6.1.4 套用安全
6.1.5 數據安全及備份恢復
6.2 管理要求
6.2.1 安全管理制度
6.2.2 安全管理機構
6.2.3 人員安全管理
6.2.4 系統建設管理
6.2.5 系統運維管理
7 第三級基本要求
7.1 技術要求
7.1.1 物理安全
7.1.2 網路安全
7.1.3 主機安全
7.1.4 套用安全
7.1.5 數據安全及備份恢復
7.2 管理要求
7.2.1 安全管理制度
7.2.2 安全管理機構
7.2.3 人員安全管理
7.2.4 系統建設管理
7.2.5 系統運維管理
8 第四級基本要求
8.1 技術要求
8.1.1 物理安全
8.1.2 網路安全
8.1.3 主機安全
8.1.4 套用安全
8.1.5 數據安全及備份恢復
8.2 管理要求
8.2.1 安全管理制度
8.2.2 安全管理機構
8.2.3 人員安全管理
8.2.4 系統建設管理
8.2.5 系統運維管理
9 第五級基本要求
附錄A(規範性附錄) 關於信息系統整體安全保護能力的要求
附錄B(規範性附錄) 基本安全要求的選擇和使用
參考文獻
文摘
著作權頁:
4.3 基本技術要求和基本管理要求
信息系統安全等級保護應依據信息系統的安全保護等級情況保證它們具有相應等級的基本安全保護能力,不同安全保護等級的信息系統要求具有不同的安全保護能力。
基本安全要求是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求,根據實現方式的不同,基本安全要求分為基本技術要求和基本管理要求兩大類。技術類安全要求與信息系統提供的技術安全機制有關,主要通過在信息系統中部署軟硬體並正確的配置其安全功能來實現;管理類安全要求與信息系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規範、流程以及記錄等方面做出規定來實現。
基本技術要求從物理安全、網路安全、主機安全、套用安全和數據安全幾個層面提出;基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出,基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分。
基本安全要求從各個層面或方面提出了系統的每個組件應該滿足的安全要求,信息系統具有的整體安全保護能力通過不同組件實現基本安全要求來保證。除了保證系統的每個組件滿足基本安全要求外,還要考慮組件之間的相互關係,來保證信息系統的整體安全保護能力。關於信息系統整體安全保護能力的說明見附錄A。
對於涉及國家秘密的信息系統,應按照國家保密工作部門的相關規定和標準進行保護。對於涉及密碼的使用和管理,應按照國家密碼管理的相關規定和標準實施。
4.4 基本技術要求的三種類型
根據保護側重點的不同,技術類安全要求進一步細分為:保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求(簡記為S);保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求(簡記為A);通用安全保護類要求(簡記為G)。
本標準中對基本安全要求使用了標記,其中的字母表示安全要求的類型,數字表示適用的安全保護等級。關於各類安全要求的選擇和使用見附錄B。