等级保护基础知识

合集下载

网络安全等级保护2.0基础知识培训

某政府&企业网站被篡改
攻击手段快速演进
攻击研究
攻击利益
复杂动机
• 混合型蠕虫
• DDOS
• 协同攻击
•后门木马
• 病毒
• 间谍软件
• 钓鱼攻击
• 垃圾邮件
• 僵尸网络
云计算安全的问题与需求
随着云计算兴起，物理网络隔离为主体思想的传统信息安全在新的IT云计算架构中已经日益难以应对。新技术引入带来了新的安全问题，云计算的开放、共享与“高速、互联、互通”的特性，为安全控制带来了新的挑战。
美国超市TARGET安全事件，CEO遭撤职
2013年年底，美国零售巨头塔吉特(Target)宣布公司被黑客入侵，7000万的用户个人信息和4000万的信用卡数据被盗，涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失可能达到10亿美元。‍‍同时塔吉特还将向个人受害者支付最高10000美元的的损害赔偿，并将增加数据安全保护措施。因此安全事件，塔吉特辞退了时任CEO并重新任命一位首席信息安全官。
瞄准企业网络弱点 “水坑攻击”让人防不胜防在TARGET的泄露事件中，黑客通过研究其供应链的各个环节，选定了TARGET 的一家第三方供应商为跳板，使用社交工程钓鱼邮件窃取了该供应商的用户凭证，从而获得进入TARGET 网络系统的权限。随后，黑客通过在POS 系统中植入软件，感染了所有刷卡机，截取了刷卡机上的信用卡信息，最后成功入侵数据中心，窃走了所有的用户信息。

等级保护指南

等级保护指南是对信息系统进行等级保护的指导性文件，旨在帮助组织了解和实施等级保护制度，确保信息系统的安全性和稳定性。

等级保护指南通常包括以下内容：

信息系统等级保护概述：介绍等级保护制度的背景、目的和意义，以及信息系统等级保护的基本概念和原则。

信息系统等级划分与确定：根据信息系统的重要性和涉密程度，将信息系统划分为不同的等级，并确定相应的保护要求。

信息系统安全保护要求：针对不同等级的信息系统，提出相应的安全保护要求，包括物理安全、网络安全、应用安全等方面的要求。

信息系统安全监测与应急响应：介绍如何对信息系统的安全状况进行监测，以及在发生安全事件时如何进行应急响应和处置。

信息系统安全管理：强调信息系统的安全管理的重要性，包括人员管理、制度建设、技术防范等方面的要求。

在实施等级保护制度时，组织需要根据自身情况选择合适的等级保护指南，并根据指南的要求制定相应的安全管理制度和措施，确保信息系统的安全性和稳定性。

信息系统安全等级保护培训网络安全

选择测评机构
选择具有相应资质的测评机构进行信息系统安全等级测评。
现场测评
接受测评机构的现场测评，包括技术测评和管理测评两个方面。
复查与验收
完成整改后，接受测评机构的复查和验收，确保信息系统达到相应的安全保护等级要求。
BIG DATA EMPOWERS TO CREATE A NEW ERA
标准
国家制定了《信息安全技术信息系统安全等级保护基本要求》等一系列标准，规定了不同等级信息系统的安全保护要求、测评方法、测评机构等要求。
重要性及意义
重要性
信息系统安全等级保护制度是保障国家信息安全的重要手段，通过对不同等级的信息系统实施相应的安全保护措施，可以有效防范和应对各种网络安全威胁和攻击，保障信息系统的机密性、完整性和可用性。
04
网络安全在等级保护中的应用
网络安全设备配置要求
防火墙
部署在企业网络边界，用于过滤非法访问和恶意攻击，保护内部网络安全。
入侵检测系统（IDS）
安全审计设备
记录网络中的操作行为，为事后分析和追责提供依据。
实时监测网络流量，发现异常行为并及时报警，防止潜在威胁。
网络访问控制策略
访问控制列表（ACL）
意义
实施信息系统安全等级保护制度有利于提高我国信息安全保障能力和水平，维护国家安全、社会秩序和公共利益；有利于促进信息化健康发展，推动经济社会全面进步；有利于提升我国在国际信息安全领域的地位和影响力。

《等级保护培训》课件

等级保护施工与测试验收
1
筹备和计划
制定等级保护建设和验收计划，明确任务和时间节点。
2
施工和调试
根据计划，进行等级保护建设和系统调试。
3
测试和验收
对等级保护系统进行全面测试和验证，确保符合预期效果。
熟悉国家相关法律法规对等保工作的要求和标准。
等级保护基础
等级保护定义
等级保护指基于网络安全等级划分，对信息系统进行的防护和管理。
等级划分原则
根据信息系统的安全需求和重要程度进行分类划分。
等级保护目的
确保信息系统的稳定运行，防止信息泄露、丢失和被破坏。
评估与认证
对等级保护措施进行定期评估和认证，确保其有效性。
《等级保护培训》PPT课件
现在，我们一起来探索《等级保护培训》吧！这个课件将帮助您了解等级保护的基础知识和相关的法律法规要求，以及网络安全风险管理和防范措施。
课程目标
1 全面认识等级保护
了解等级保护的定义、目的和重要性。
2 掌握等保基础知识
学习等级保护的基本概念、等级划分和评估要求。
3 了解等保法律要求
等保工作的法律法规要求
网络安全法
网络安全法是我国关于网络安全的基本法律，对等保工作的法律责任和义务进行了明确规定。
相关政策和标准
国家制定了一系列相关政策和标准，如《信息安全等级保护管理办法》等，用于指导和推动等保工作。

网络安全等级保护基础知识

2019年12月1日，网络安全等级保护2.0开始实施。到今年为止，网络安全等级保护制度在我国已实施了十多年，但大部分人对等保制度的理解还只是停留在表面，对等保制度的很多内容有不少误解。下面是小编为大家整理的网络安全等级保护基础知识，仅供参考，欢迎阅读。

什么是网络安全等级保护

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的体现。

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后，运营、使用单位或者其主管部门应当选择符合国家要求的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对定级对象安全等级状况开展等级测评。

实施意义

●合法要求：

满足合法合规要求，清晰化责任和工作方法，让安全贯穿全生命周期。

●体系建设：

明确组织整体目标，改变以往单点防御方式，让安全建设更加体系化。

●等级防护：

提高人员安全意识，树立等级化防护思想，合理分配网络安全投资。

法律要求

《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访

问，防止网络数据泄露或者被窃取、篡改。法律解读：国家明确实行等级保护制度，网络运营者应按等级保护要求开展网络安全建设。

《中华人民共和国网络安全法》【第三十一条】国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（关键信息基础设施必须落实国家等级保护制度，突出保护重点）法律解读：关键信息基础设施必须要落实等级保护制度，并要重点保护。

等级保护相关基础知识ppt课件

23
四级信息系统举例：
国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险等行业所属全程全网的特大型信息系统，特大型国有企业所属全程全网的特大型信息系统，省级党政机关、事业单位所属的重要信息系统，重点科研机构的重要信息系统。
基础信息网络主要包括公用通信网、广播电视传输网等。
4
重要信息系统主要包括：
党政事务处理信息系统；金融、财税、海关业务信息系统；铁路、机场、交通（港口）等业务信息系统；医疗、社（医）保、供水、电力、燃气等业
务信息系统；国家和省规定的其他重要信息系统。
5
四、等级评审流程
1、提交申请资料保护等级应当在信息系统规划设计时按照223号令第十
设区的市信息化行政主管部门组织专家组进行评审，审定二级专家组评审意见，并向省信息化行政主管部门报备；对三级信息系统安全等级定级、等级变更的申请提出初审意见。
11
4、复审申请
对审定结果有异议的，应当自收到该审定结果之日起 60日内，可以向省信息化行政主管部门提出复审申请。
12
5、变更
信息系统运营、使用单位需要变更安全等级的，应当向原审定的信息化行政主管部门提出等级变更申请。受理申请的信息化行政主管部门按照本细则第十条规定重新组织审定。

信息安全等级保护系列标准概述

一、标准化基础知识

二、国家信息安全等级保护标准的要求

三、我国信息安全标准化工作的发展

四、信息安全标准体系与标准分类

五、信息安全等级保护标准简介

基本概念——“标准（ s tandard ）”

定义：为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。

理解：

1）制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。

2）标准是共同使用和重复使用的一种规范性文件。

3）制定标准的对象是“活动或其结果”。

4）标准产生的基础是“科学、技术和经验的综合成果”。

5）标准需经过有关方面协商一致。

6）标准需经“公认机构”的批准。

基本概念——“标准化（ s tandardization ）”

定义：为了在既定范围内获得最佳秩序，促进共同效益，对现实问题或潜在问题确立共同使用和重复使用的条款，编制、发布和应用文件的活动。

注1：标准化活动确立的条款，可形成标准化文件，包括标准和其他标准化文件。

注2：标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性，促进贸易、交流以及技术合作

标准项目制定流程

①立项阶段

②准备阶段

③起草、征求意见阶段

④送审阶段

⑤报批阶段

国家相关政策文件

▪（一）中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

（二）2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求：

网络安全等级保护网络设备、安全设备知识点汇总

2019年网络安全等级保护网络设施、安全设施知识

点汇总

一、防火墙、防毒墙、入侵防守、一致安全威迫网关UTM

1、防火墙（ Firewall ）

定义:相信大家都知道防火墙是干什么用的，我感觉需要特别提示一下，防火墙

抵抗的是外面的攻击，其实不可以对内部的病毒(如ARP病毒)或攻击有什么太大作用。

功能:防火墙的功能主假如两个网络之间做界限防备，公司中更多使用的是公司内网与互联网的NAT、包过滤规则、端口映照等功能。生产网与办公网中做逻辑隔绝使用，主要功能是包过滤规则的使用。

部署方式:网关模式、透明模式：

网关模式是此刻用的最多的模式，能够代替路由器并供给更多的功能，合用于各样种类公司透明部署是在不改变现有网络构造的状况下，将防火墙以透明网桥的模式串连到公司的网络中间，经过包过滤规则进行接见控制，做安全域的区分。

至于什么时候使用网关模式或许使用透明模式，需要依据自己需要决定，没有绝对的部署方式。需不需要将服务器部署在DMZ区，取决于服务器的数目、重要性。

总之怎么部署都是用户自己的选择！

高可用性:为了保证网络靠谱性，此刻设施都支持主- 主、主-备，等各样部署。

2、防毒墙

定义:有关于防毒墙来说，一般都拥有防火墙的功能，防守的对象更拥有针对性，那就是病毒。

功能:同防火墙，并增添病毒特点库，对数据进行与病毒特点库进行比对，进行查杀病毒。

部署方式:同防火墙，大部分时候使用透明模式部署在防火墙或路由器后或部署在服务器以前，进行病毒防备与查杀。

3、入侵防守(IPS)

定义:有关于防火墙来说，一般都拥有防火墙的功能，防守的对象更拥有针对性，那就是攻击。

等保交流-基础知识-v1802培训讲学

需求结合点 SSL VPN/堡垒机信息安全审计/上网行为管理 IPSEC/SSL VPN 防火墙/IPS 防火墙/服务器群组防护/VPN/WAF IPS/IDS SOC
VPN SOC
Ⅲ级信息系统安全产品部署（依据《等保基本要求》）
• 安全技术
FW
IDS
信息审计
汇聚接入区
外联区 WAF· DMZ区
信息安全等级保护基础知识与安全产品在等保中的应用
提纲：
1、等级保护的基本知识 2、等保工作的流程 3、等保解决方案
等级保护的基础知识
等级保护的一些基础知识
等级保护是一个体系建设工作，将来会是在未来指导我国信息安全工作的根本；
等级保护所有标准为推荐标准（GBT），所以不是强制执行，且各行业会制定自己的标准；
IPS 核心区
SOC
服务器群
组防护服务器区
日志补丁 ห้องสมุดไป่ตู้证
网络版杀毒软件
异地灾备中心
谢谢
– 教育（最近一次）： • 陕教保办[2012]20号《关于进一步落实全省教育信息系统安全等级保护工作的通知》
– 医院 • 卫办发〔2011〕85号《卫生部关于印发 <卫生行业信息安全等级保护工作的指导意见>的通知》 • 卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》

新版网络安全等级保护定级指南解读

新版网络安全等级保护定级指南解读网络安全问题日益突出，为了保护人民群众的网络权益和国家信息安全，我国自2018年开始实施网络安全等级保护制度，并于2021年发布了新版网络安全等级保护定级指南。本文对该指南进行解读，以帮助读者更好地理解和应用该指南，提升网络安全保护水平。

一、背景介绍

网络安全对于现代社会已经变得至关重要。随着互联网技术的迅猛发展，网络攻击和恶意行为呈现出数量庞大、手段多样化的特点。为了有效应对网络安全威胁，我国制定了网络安全等级保护制度并进行了不断完善。2021年发布的新版网络安全等级保护定级指南是对该制度的重要完善和更新。

二、新版网络安全等级保护定级指南概述

新版指南综合考虑了国内外网络安全技术发展动态和我国网络安全形势特点，围绕网络系统的重要性、安全保护的必要性和风险评估的客观性，对网络安全等级保护进行了全方位、系统化的规定和指导。

1. 等级分类和定级原则

新版指南将网络安全等级划分为5个等级，分别是一级、二级、三级、四级和五级。每个等级对应了一定的安全基线和防护要求，根据信息系统的实际情况和风险评估结果，以定级范围内最低的等级作为等级定级结果。

2. 定级流程和评估方法

新版指南详细描述了网络安全等级保护的定级流程和评估方法。其中包括了需求确认、风险评估、等级定级、安全措施落地等环节，每个环节都有具体的指导原则和实施要求。

3. 安全措施要求和保护措施建议

新版指南明确了每个等级的安全措施要求和保护措施建议。具体来说，一级等级要求系统采取最严格的安全保护措施，五级等级则要求系统落实基本的安全措施。同时，指南还为各个等级提供了定级参考指标和保护措施建议，以帮助企事业单位更好地开展网络安全等级保护工作。

等保三级基础知识

信息系统处理能力和连接能力在不断的提高。同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

如何才能保证网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，需要做到保证网络的物理安全，保证网络拓扑结构和系统的安全。一．如何才能保证网络的物理安全？

物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故(如电磁污染等〉及人为操作失误或错误及各种计算机犯罪行为导致的破坏。物理安全是整个计算机信息系统安全的前提。为了获得完全的保护，物理安全措施是计算系统中必需的。

物理安全主要包括三个方面：场地安全(环境安全):是指系统所在环境的安全，主要是场地与机房；设备安全:主要指设备的防盗、防毁、防电磁信息辐射、泄露、防止线路截获、抗电磁干扰及电源保护等)；介质安全（媒体安全）:包括媒体的数据的安全及媒体本身的安全。

1.场地安全

为了有效合理地对计算机机房进行保护，应对计算机机房划分出不同的安全等级，把应地提供不同的安全保护措施，根据GB9361-1988，计算机机房的安全等级分为A类、B类、C类三个基本类别。

A级机房:对计算机机房的安全有严格的要求，有完善的计算机计算机安全措施，具有最高的安全性和可靠性。

B级机房:对计算机机房的安全有严格的要求，有较完善的计算机计算机安全措施，安全性和可靠性介于A、C级之间。

网络安全法与等级保护培训教材

22
等级保护定级指南－－GB/T 22240
等级保护定级方法
保护对象一般流程
信息系统安全客体：社会关系
业务信息安全系统服务安全受侵害的客体对客体的侵害程度
1、确定定级对象（系统边界）
等级确定
2、确定业务信息安全受到破坏时所侵害的客体
5、wenku.baidu.com定系统服务安全受到破坏时所侵害的客体
3、综合评定对客体的侵害程度
• 《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。
划分准则--GB 17859-1999
第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损害国家安全、社会秩序和公共利益。
网络安全法要求及处罚
（2）网络安全等级保护要求 ①具体内容：制度建设与负责人；安全防范技术措施；不少于6 个月的安全日志；数据分类与备份加密。 ②法律责任：责令改正及警告；警告不改罚款公司1-10万，主管 5千-5万。
网络安全法要求及处罚
（3）安全技术措施同步要求 ①具体内容：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。 ②法律责任：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

信息安全等级保护管理办法范文

《信息安全等级保护管理办法》（下称《办法》）是指导我国信息安全工作的重要文件，其目标是建立和完善信息安全等级保护管理体系，提高我国信息系统的安全等级保护能力。本文在对《办法》进行研究和分析的基础上，提出了一些关于《办法》的具体实施办法和建议，以期为广大从事信息安全管理的人员提供参考。

第一部分：概述

1.1 依据和目的

《办法》是根据《网络安全法》等相关法律法规的要求制定的，旨在加强我国信息系统的安全等级保护工作，确保国家信息系统的安全稳定运行。为了实现这一目的，《办法》明确了信息安全等级的划分原则和管理路径，并提出了相应的控制措施和技术要求。

1.2 适用范围

《办法》适用于各类信息系统的建设、运维和管理过程中的信息安全等级保护工作，包括政府机关、金融机构、电信运营商、互联网企业等，以及其他重要信息系统的相关单位和个人。

第二部分：划分和评定等级

2.1 划分原则

按照《办法》的规定，根据信息系统的业务重要性和对国家安全的影响程度，将信息安全等级划分为1至5级，分别对应着

不同的保护要求和技术控制措施。划分等级的原则应当是科学客观、合理适用、便于管理和操作的。

2.2 评定等级

信息系统的等级评定应当综合考虑其技术、管理和物理保护等方面的因素，通过评估和测试来确定其所属的安全等级。评定的过程应当是透明公正的，评估人员应当具备相应的专业知识和技能，并遵守相关的保密规定。

第三部分：保护措施和技术要求

3.1 基础设施安全

信息系统的基础设施安全是保证信息安全等级保护的关键，需要采取各种物理和技术手段进行保护。对于1至3级的信息系统，应当采取严格的物理保护措施，包括门禁管理、视频监控、气密性和防火等措施。对于4至5级的信息系统，还需要采取高强度的网络防护和入侵检测等措施。

信息网络安全等级保护

信息网络安全等级保护是指通过对信息网络系统的等级划分和安全防护措施的规划，确保网络系统的安全性、稳定性和可靠性，防止信息泄露、网络攻击等安全事件的发生。

信息网络已经成为现代社会的重要基础设施，贯穿于各个领域。随着信息化的进程不断加快，网络安全问题也日益突出。不法分子利用网络渠道进行数据窃取、恶意攻击等行为已经成为常态，给人们的生活和工作带来了巨大风险。信息网络安全等级保护显得尤为重要。

在信息网络安全等级保护中，等级划分是首要任务。根据国家有关部门的要求和相关法律法规，信息网络可以分为四个等级：一级、二级、三级和四级。一级网络是国家级重要网络系统，例如政府通信网络、能源系统、金融系统等。二级网络是地方级重要网络系统，如城市交通系统、电力系统等。三级网络是企事业单位的网络系统，涉及企业的核心数据和业务系统。四级网络是个人家庭用户的网络系统。

不同等级的网络系统面临的安全威胁和要求也不同。一级和二级网络系统需要进行细致全面的安全规划和防护措施。一般情况下，这些系统需要进行物理隔离、严格的访问控制、加密通信等。三级

网络系统需要制定明确的安全策略和安全管理措施，确保核心数据和业务系统的安全。四级网络系统需要加强个人用户的网络安全意识，注意密码保护、软件更新、合法使用等。

在信息网络安全等级保护中，技术手段是关键。防火墙、入侵检测系统、安全监控系统等是常见的安全技术工具，可以有效识别和阻止网络攻击。数据加密、身份认证、访问控制等措施也是保护信息网络安全的重要手段。对于关键信息系统，需要进行漏洞扫描、安全评估等工作，及时发现和修复潜在的安全风险。

等级保护和等级测评简介

控制点增加
安全要求类技术要求
管理要求
合计级差
层面物理安全网络安全主机系统安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理 / /
一级 7 3 4 4 2 2 4 4 9 9 48 /
二级 10 6 6 7 3 3 5 5 9 12 66 18
第三级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。
控制点增加
控制点增加，表明对系统的关注点增加，因而安全要求的级别差异就体现出来。比较突出的控制点增加，如，二级控制点增加了安全审计，三级控制点增加了强制访问控制。由于在二级的安全目标中增加了对访问系统、网络资源行为进行记录的能力，因此安全审计成为二级网络安全和主机系统安全的新控制点。同样，三级安全目标增加了对网络、系统和应用的访问进行严格控制的能力，故控制点在主机系统安全方面增加了强制访问控制。
信息系统分等级保护

信息系统安全等级保护基本要求

《信息系统安全等级保护基本要求》

中华人民共和国国家标准GB/T 22239-2008

引言

依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：

——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；

——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。

本标准与GB17859-1999、GB/T20269-2006、

GB/T20270-2006 、GB/T20271-2006 等标准共同构成了信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准，本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。

本标准在GB17859-1999、GB/T20269-2006、

GB/T20270-2006、GB/T20271-2006等技术类标准的基础上，根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求，基本安全要求包括基本技术要求和基本管理要求，本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。