信息安全技术 服务器安全技术要求和测评准则

附件4：234项网络安全国家标准清单29GB/T 15843.3-2023信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制30GB/T 15843.6-2018信息技术安全技术实体鉴别第6部分：采用人工数据传递的机制31GB/T 40651-2021信息安全技术实体鉴别保障框架32GB/T 34953.1-2017信息技术安全技术匿名实体鉴别第1部分：总则33GB/T 34953.2-2018信息技术安全技术匿名实体鉴别第2部分：基于群组公钥签名的机制34GB/T 34953.4-2020信息技术安全技术匿名实体鉴别第4部分：基于弱秘密的机制35GB/T 36624-2018信息技术安全技术可鉴别的加密机制36GB/T 15852.1-2020信息技术安全技术消息鉴别码第1部分：采用分组密码的机制37GB/T 15852.3-2019信息技术安全技术消息鉴别码第3部分：采用泛杂凑函数的机制38GB/T 36644-2018信息安全技术数字签名应用安全证明获取方法凭证核验39GB/T 38647.1-2020信息技术安全技术匿名数字签名第1部分：总则40GB/T 38647.2-2020信息技术安全技术匿名数字签名第2部分：采用群组公钥的机制41GB/T 38646-2020信息安全技术移动签名服务技术要求42GB/T 25061-2020信息安全技术XML 数字签名语法与处理规范43GB/T 15851.3-2018信息技术安全技术带消息恢复的数字签名方案第3部分：基于离散对数的机制44GB/T 17902.1-2023信息技术安全技术带附录的数字签名第1部分：概述45GB/T 40018-2021信息安全技术基于多信道的证书申请和应用协议46GB/T 36631-2018信息安全技术时间戳策略和时间戳业务操作规则47GB/T 35285-2017信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求48GB/T 21054-2023信息安全技术公钥基础设施PKI 系统安全测评方法49GB/T 21053-2023信息安全技术公钥基础设施PKI 系统安全技术要求50GB/T 30272-2021信息安全技术公钥基础设施标准符合性测评51GB/T 17903.2-2021信息技术安全技术抗抵赖第2部分：采用对称技术的机制52GB/T 36960-2018信息安全技术鉴别与授权访问控制中间件框架与接口授权53GB/T 39205-2020信息安全技术轻量级鉴别与访问控制机制54GB/T 42573-2023信息安全技术网络身份服务安全技术要求标识与身份管理55GB/T 35287-2017信息安全技术网站可信标识技术指南56GB/T 36632-2018信息安全技术公民网络电子身份标识格式规范57GB/T 36629.1-2018信息安全技术公民网络电子身份标识安全技术要求第1部分：读写机具安全技术要求58GB/T 36629.2-2018信息安全技术公民网络电子身份标识安全技术要求第2部分：载体安全技术要求59GB/T 36629.3-2018信息安全技术公民网络电子身份标识安全技术要求第3部分：验证服务消息及其处理规则60GB/T 41388-2022信息安全技术可信执行环境基本安全规范61GB/T 42572-2023信息安全技术可信执行环境服务规范62GB/T 40660-2021信息安全技术生物特征识别信息保护基本要求生物特征识别信息保护63GB/T 37076-2018信息安全技术指纹识别系统技术要求64GB/T 38671-2020信息安全技术远程人脸识别系统技术要求65GB/T20979-2019信息安全技术虹膜识别系统技术要求66GB/T 36651-2018信息安全技术基于可信环境的生物特征识别身份鉴别协议框架67GB/T 38542-2020信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架68GB/T 41819-2022信息安全技术人脸识别数据安全要求69GB/T 41806-2022信息安全技术基因识别数据安全要求70GB/T 41773-2022信息安全技术步态识别数据安全要求71GB/T 41807-2022信息安全技术声纹识别数据安全要求72信息安全评估（69项）GB/T 18018-2019信息安全技术路由器安全技术要求网络设备73GB/T 21050-2019信息安全技术网络交换机安全技术要求74GB/T 39680-2020信息安全技术服务器安全技术要求和测评准则75GB/T 38648-2020信息安全技术蓝牙安全指南76GB/T 37091-2018信息安全技术安全办公U 盘安全技术要求77GB/T 40653-2021信息安全技术安全处理器技术要求78GB/T 38626-2020信息安全技术智能联网设备口令保护指南79GB/T 38632-2020信息安全技术智能音视频采集设备应用安全要求80GB/T 41387-2022信息安全技术智能家居通用安全规范81GB/T 25066-2020信息安全技术信息安全产品类别与代码信息安全产品82GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法83GB/T 37090-2018信息安全技术病毒防治产品安全技术要求和测试评价方法84GB/T 35277-2017信息安全技术防病毒网关安全技术要求和测试评价方法85GB/T 37931-2019信息安全技术Web 应用安全检测系统安全技术要求和测试评价方法86GB/T 29766-2021信息安全技术网站数据恢复产品技术要求与测试评价方法87GB/T 20275-2021信息安全技术网络入侵检测系统技术要求和测试评价方法88GB/T 29765-2021信息安全技术数据备份与恢复产品技术要求与测试评价方法89GB/T 20278-2022信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法90GB/T 28451-2023信息安全技术网络入侵防御产品技术规范91GB/T 20945-2023信息安全技术网络安全审计产品技术规范92GB/T 30282-2023信息安全技术反垃圾邮件产品技术规范93GB/T 34990-2017信息安全技术信息系统安全管理平台技术要求和测试评价方法信息系统与平台94GB/T 38561-2020信息安全技术网络安全管理支撑系统技术要求95GB/T 20272-2019信息安全技术操作系统安全技术要求96GB/T 20273-2019信息安全技术数据库管理系统安全技术要求97GB/T 20009-2019信息安全技术数据库管理系统安全评估准则98GB/T 36635-2018信息安全技术网络安全监测基本要求与实施指南99GB/T 42453-2023信息安全技术网络安全态势感知通用技术要求100GB/T 37096-2018信息安全技术办公信息系统安全测试规范101GB/T 37095-2018信息安全技术办公信息系统安全基本技术要求102GB/T 37094-2018信息安全技术办公信息系统安全管理要求103GB/T 42583-2023信息安全技术政务网络安全监测平台技术规范104GB/T 35282-2023信息安全技术电子政务移动办公系统安全技术规范105GB/T 31506-2022信息安全技术政务网站系统安全指南106GB/T 37952-2019信息安全技术移动终端安全管理平台技术要求107GB/T 37955-2019信息安全技术数控网络安全技术要求108GB/T 37939-2019信息安全技术网络存储安全技术要求109GB/T 38674-2020信息安全技术应用软件安全编程指南110GB/T 38628-2020信息安全技术汽车电子系统网络安全指南111GB/T20261-2020信息安全技术系统安全工程能力成熟度模型112GB/T 20274.1-2023信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型113GB/T 20283-2020信息安全技术保护轮廓和安全目标的产生指南114GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范网络安全等级保护115GB/T 36627-2018信息安全技术网络安全等级保护测试评估技术指南116GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求117GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南118GB/T 28448-2019信息安全技术网络安全等级保护测评要求119GB/T 22239-2019信息安全技术网络安全等级保护基本要求120GB/T 25058-2019信息安全技术网络安全等级保护实施指南121GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求122GB/T 22240-2020信息安全技术网络安全等级保护定级指南123GB/T 39276-2020信息安全技术网络产品和服务安全通用要求网络服务124GB/T 39412-2020信息安全技术代码安全审计规范125GB/T 40645-2021信息安全技术互联网信息服务安全通用要求126GB/T42571-2023信息安全技术区块链信息服务安全规范127GB/Z 41288-2022信息安全技术重要工业控制系统网络安全防护导则工业控制安全128GB/T 41400-2022信息安全技术工业控制系统信息安全防护能力成熟度模型129GB/T 37934-2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求130GB/T 37962-2019信息安全技术工业控制系统产品信息安全通用评估准则131GB/T 37954-2019信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法132GB/T 37953-2019信息安全技术工业控制网络监测安全技术要求及测试评价方法133GB/T 36323-2018信息安全技术工业控制系统安全管理基本要求134GB/T 36324-2018信息安全技术工业控制系统信息安全分级规范135GB/T 36470-2018信息安全技术工业控制系统现场测控设备通用安全功能要求136GB/T 37941-2019信息安全技术工业控制系统网络审计产品安全技术要求137GB/T 40813-2021信息安全技术工业控制系统安全防护技术要求和测试评价方法138GB/T 36466-2018信息安全技术工业控制系统风险评估实施指南139GB/T 37980-2019信息安全技术工业控制系统安全检查指南140GB/T 37933-2019信息安全技术工业控制系统专用防火墙技术要求141通信安全（22项）GB/T 25068.1-2020信息技术安全技术网络安全第1部分：综述和概念基础网络技术142GB/T 25068.2-2020信息技术安全技术网络安全第2部分：网络安全设计和实现指南143GB/T 25068.3-2022信息技术安全技术网络安全第3部分：面向网络接入场景的威胁、设计技术和控制144GB/T 25068.4-2022信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护145GB/T 25068.5-2021信息技术安全技术网络安全第5部分：使用虚拟专用网的跨网通信安全保护146GB/T 33134-2023信息安全技术公共域名服务系统安全要求147GB/T 33562-2017信息安全技术安全域名系统实施指南148GB/T 34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法移动终端安全149GB/T 34976-2017信息安全技术移动智能终端操作系统安全技术要求和测试评价方法150GB/T 34978-2017信息安全技术移动智能终端个人信息保护技术要求151GB/T 34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法152GB/T 35278-2017信息安全技术移动终端安全保护技术要求153GB/T 30284-2020信息安全技术移动通信智能终端操作系统安全技术要求154GB/T 39720-2020信息安全技术移动智能终端安全技术要求及测试评价方法155GB/T 33746.1-2017近场通信(NFC)安全技术要求第1部分：NFCIP-1安全服务和协议业务网络与应用156GB/T 33746.2-2017近场通信(NFC)安全技术要求第2部分：安全机制要求157GB/T 35286-2017信息安全技术低速无线个域网空口安全测试规范158GB/Z 41290-2022信息安全技术移动互联网安全审计指南159GB/T 35281-2017信息安全技术移动互联网应用服务器安全技术要求160GB/T 37044-2018信息安全技术物联网安全参考模型及通用要求161GB/T 37093-2018信息安全技术物联网感知层接入通信网的安全要求162GB/T 37025-2018信息安全技术物联网数据传输安全技术要求163信息安全管理（42项）GB/T 38645-2020信息安全技术网络安全事件应急演练指南事件管理与处置164GB/T20986-2023信息安全技术网络安全事件分类分级指南165GB/T 20985.1-2017信息技术安全技术信息安全事件管理第1部分：事件管理原理166GB/T 20985.2-2020信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南167GB/T 40652-2021信息安全技术恶意软件事件预防和处理指南168GB/T 30283-2022信息安全技术信息安全服务分类与代码服务机构与人员169GB/T 35288-2017信息安全技术电子认证服务机构从业人员岗位技能规范170GB/T 35289-2017信息安全技术电子认证服务机构服务质量规范171GB/T 35280-2017信息安全技术信息技术产品安全检测机构条件和行为准则172GB/T 36619-2018信息安全技术政务和公益机构域名命名规范173GB/T 36618-2018信息安全技术金融信息服务安全规范174GB/T 36957-2018信息安全技术灾难恢复服务要求175GB/T 37046-2018信息安全技术灾难恢复服务能力评估准则176GB/T 42589-2023信息安全技术电子凭据服务安全规范177GB/T 42461-2023信息安全技术网络安全服务成本度量指南178GB/T 42446-2023信息安全技术网络安全从业人员能力基本要求179GB/T 20984-2022信息安全技术信息安全风险评估方法风险管理与运维180GB/T 24364-2023信息安全技术信息安全风险管理实施指南181GB/T 36637-2018信息安全技术ICT 供应链安全风险管理指南182GB/T 36626-2018信息安全技术信息系统安全运维管理指南183GB/T35284-2017信息安全技术网站身份和系统安全要求与评估方法184GB/Z 24294.1-2018信息安全技术基于互联网电子政务信息安全实施指南第1部分：总则电子政务185GB/Z 24294.2-2017信息安全技术基于互联网电子政务信息安全实施指南第2部分：接入控制与安全交换186GB/Z 24294.3-2017信息安全技术基于互联网电子政务信息安全实施指南第3部分：身份认证与授权管理187GB/Z 24294.4-2017信息安全技术基于互联网电子政务信息安全实施指南第4部分：终端安全防护188GB/T 36630.1-2018信息安全技术信息技术产品安全可控评价指标第1部分：总则产品安全可控评价189GB/T 36630.2-2018信息安全技术信息技术产品安全可控评价指标第2部分：中央处理器190GB/T 36630.3-2018信息安全技术信息技术产品安全可控评价指标第3部分：操作系统191GB/T 36630.4-2018信息安全技术信息技术产品安全可控评价指标第4部分：办公套件192GB/T 36630.5-2018信息安全技术信息技术产品安全可控评价指标第5部分：通用计算机193GB/T 38638-2020信息安全技术可信计算可信计算体系结构可信计算194GB/T 38644-2020信息安全技术可信计算可信连接测试方法195GB/T 36639-2018信息安全技术可信计算规范服务器可信支撑平台196GB/T37935-2019信息安全技术可信计算规范可信软件基197GB/T 39204-2022信息安全技术关键信息基础设施安全保护要求关基安全198GB/T 28454-2020信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作信息安全管理体系199GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求200GB/T 31496-2023信息技术安全技术信息安全管理体系指南201GB/T 38631-2020信息技术安全技术GB/T 22080具体行业应用要求202GB/T 32920-2023信息安全技术行业间和组织间通信的信息安全管理203GB/T28450-2020信息技术安全技术信息安全管理体系审核指南204GB/T 41574-2022信息技术安全技术公有云中个人信息保护实践指南205大数据安全（30项）GB/T 37988-2019信息安全技术数据安全能力成熟度模型数据安全206GB/T 39725-2020信息安全技术健康医疗数据安全指南207GB/T 39477-2020信息安全技术政务信息共享数据安全技术要求208GB/T 42447-2023信息安全技术电信领域数据安全指南209GB/T41479-2022信息安全技术网络数据处理安全要求210GB/T42014-2022信息安全技术网上购物服务数据安全要求211GB/T42012-2022信息安全技术即时通信服务数据安全要求212GB/T 42015-2022信息安全技术网络支付服务数据安全要求213GB/T 42017-2022信息安全技术网络预约汽车服务数据安全要求214GB/T 42016-2022信息安全技术网络音视频服务数据安全要求215GB/T42013-2022信息安全技术快递物流服务数据安全要求216GB/T 41871-2022信息安全技术汽车数据处理安全要求217GB/T 35273-2020信息安全技术个人信息安全规范个人信息安全218GB/T 39335-2020信息安全技术个人信息安全影响评估指南219GB/T 37964-2019信息安全技术个人信息去标识化指南220GB/T 41817-2022信息安全技术个人信息安全工程指南221GB/T 41391-2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求222GB/T 42582-2023信息安全技术移动互联网应用程序（App）个人信息安全测评规范223GB/T 42574-2023信息安全技术个人信息处理中告知和同意的实施指南224GB/T 42460-2023信息安全技术个人信息去标识化效果评估指南225GB/T 37950-2019信息安全技术桌面云安全技术要求云计算服务安全226GB/T 37956-2019信息安全技术网站安全云防护平台技术要求227GB/T 38249-2019信息安全技术政府网站云计算服务安全指南228GB/T 31168-2023信息安全技术云计算服务安全能力要求229GB/T 31167-2023信息安全技术云计算服务安全指南230GB/T 37972-2019信息安全技术云计算服务运行监管框架231GB/T 42570-2023信息安全技术区块链技术安全框架新技术应用安全232GB/T 42564-2023信息安全技术边缘计算安全技术要求233GB/Z 38649-2020信息安全技术智慧城市建设信息安全保障指南234GB/T37971-2019信息安全技术智慧城市安全体系框架。

信息安全技术信息系统安全等级保护测评要求信息安全技术是保障信息系统安全的重要手段之一，而信息系统安全等级保护测评是衡量信息系统安全等级的重要评价方法之一。

本文将从信息安全技术和信息系统安全等级保护测评的概念、方法和要求等方面进行阐述。

一、信息安全技术信息安全技术是指对信息系统进行保护和防护的一系列技术手段。

信息系统防护的目标是保证信息的机密性、完整性、可用性和认证性。

常见的信息安全技术包括加密技术、身份认证技术、访问控制技术、安全传输技术等。

1. 加密技术加密技术是一种通过改变信息的表达方式，实现信息内容不易被理解和使用的技术手段。

常见的加密技术包括对称加密算法、非对称加密算法和哈希算法等。

这些算法可以在数据传输、数据存储和身份认证等方面应用，以提高信息系统的安全性。

2. 身份认证技术身份认证技术是一种通过验证用户的身份信息，确认其是否具有访问权限的技术手段。

常见的身份认证技术包括口令认证、生物特征认证和智能卡认证等。

这些技术可以有效防止非法用户对信息系统进行恶意访问和操作。

3. 访问控制技术访问控制技术是一种对用户访问信息系统进行限制和控制的技术手段。

常见的访问控制技术包括访问控制列表（ACL）、角色权限控制和流程控制等。

这些技术可以确保只有具备相应权限的用户才能访问和使用信息系统。

4. 安全传输技术安全传输技术是一种保证数据在传输过程中不被篡改、泄漏和窃听的技术手段。

常见的安全传输技术包括安全套接层（SSL）、虚拟专用网络（VPN）和防火墙等。

这些技术可以保护数据在网络传输过程中的安全性，防止数据被攻击者获取或篡改。

二、信息系统安全等级保护测评要求信息系统安全等级保护测评是根据国家和行业的相关规范要求，对信息系统的安全性进行评估和认证的过程。

保护测评的目的是为了评估系统的安全性等级，为其提供安全设计和改进的依据。

1. 测评方法保护测评的方法可以根据具体情况选择，如定性评估、定量评估、风险评估等。

信息安全技术服务器安全技术要求和测评准则信息安全技术一直是各大组织和企业必须重视的重要问题之一，而服务器安全技术是保护服务器免受各种安全威胁的关键。

本文将深入探讨服务器安全技术的要求和测评准则，以帮助读者更全面地理解和应用这些技术。

1. 服务器安全技术的要求服务器安全技术的要求是确保服务器环境的机密性、完整性和可用性。

以下是一些常见的要求：1.1 访问控制和身份验证保护服务器免受未经授权的访问是服务器安全的基本要求之一。

为了实现这一点，应该采取以下措施：- 使用强密码策略来保护用户账户，要求密码必须包含字母、数字和特殊字符，并定期更换密码。

- 配置访问控制列表（ACL）来限制特定IP位置区域或IP范围的访问服务器。

- 使用双因素身份验证来验证用户身份，例如使用密码加上生物识别技术或硬件令牌。

1.2 操作系统和应用程序的安全配置及时更新操作系统和应用程序是确保服务器安全的重要措施之一。

以下是一些建议：- 定期安装操作系统和应用程序的安全更新，修复已知漏洞。

- 禁用或删除不必要的服务和功能，以减少攻击面。

- 配置防火墙以限制对服务器的网络访问。

- 配置日志记录和监控，以便及时检测和应对安全事件。

1.3 数据加密和备份保护存储在服务器上的敏感数据是服务器安全技术的核心要求之一。

以下是一些建议：- 使用加密技术对敏感数据进行加密，以防止未经授权的访问。

- 定期备份数据，并将备份数据存储在离线和安全的位置，以便在服务器故障或数据损坏时能够恢复数据。

2. 服务器安全技术的测评准则为了评估服务器安全技术的有效性和合规性，可以采用以下几个准则：2.1 安全标准合规性服务器应该符合相关的安全标准和法规要求，例如ISO 27001、SOC2或PCI DSS。

通过对服务器环境进行安全标准合规性评估，可以确保服务器满足最低安全要求，并减少安全风险。

2.2 弱点评估和漏洞扫描进行弱点评估和漏洞扫描是评估服务器安全的重要手段之一。

信息系统安全等级保护测评服务内容及要求一、供应商资格：1.供应商应具备《政府采购法》第二十二条规定的条件；1）具有独立承担民事责任的能力；2）具有良好的商业信誉和健全的财务会计制度；3）具有履行合同所必需的设备和专业技术能力；4）有依法缴纳税收和社会保障资金的良好记录；5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；6）法律、行政法规规定的其他条件。

2.投标人要求为国内独立的事业法人的独立企业法人，并且股权结构中不能有任何外资成份。

3.具有网络安全等级保护测评机构推荐证书。

4.具有中国合格评定国家认可委员会颁发的CNAS证书。

5.具有广东省电子政务服务能力等级证书。

6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书（应急响应一级）7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书（ISO9001）。

8.中国通信行业协会颁发的通信网络安全服务能力评定证书（风险评估二级）。

9.本项目不接受联合体投标。

二、项目服务内容及要求1.采购项目需求一览表：序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统（签约银行登录）二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。

按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排，现需开展信息系统安全等级保护测评等工作，并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。

2.2项目目标2.2.1等级保护测评服务。

根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准，及各个信息系统保护等级需求，协助采购人对现有的信息系统进行等级保护备案，编写信息系统定级备案表和信息系统定级报告，并协助向公安局提交定级备案材料，取得信息系统定级备案证明。

网络安全等级保护：信息安全技术国家标准列表在国家标准中，我们常见“GB”、“GB/T”、“GB/Z”，各代表什么呢？强制标准冠以“GB”，如GB 17859-1999。

推荐标准冠以“GB/T”。

指导性国家标准（GB/Z），“Z”在此读“指”。

与很多ISO国际标准相比，很多国家标准等同采用（IDT，identical to 其他标准）、修改采用(MOD，modified in relation to 其他标准；2000年以前称作“等效采用，EQV, equivalent to 其他标准）或非等效采用(NEQ，not equivalent to 其他标准)。

还有常见的“采标”是“采用国际标准的简称”。

IDT如GB/T 29246-2017/ISO/IEC 27000：2016（ISO/IEC 27000：2016，IDT），也就是GB/T 29246-2017等同于ISO/IEC 27000：2016，也就是国际标准ISO 27000其实就是我国国标GB/T 29246。

因为是采用国际标准，涉及到版权，所以我们在查相关国标时，官方正规渠道是不允许预览的。

从中我们看到，其实要学习ISO/ICE 27000标准族，从我收集的标准找到的就有27001-27005对应国标。

我们今天，主要是整理了一下有关网络安全等级保护的现行标准目录，以及以“信息安全技术”作为关键字的国家标准，供大家参考！有关国标与27000系列对照的，待以后整理完成后通过公众号和大家一起探讨。

网络安全等级保护现行国家标准，供参考！整理自全国标准信息公共服务平台：序号标准号标准名称状态发布日期实施日期1 GB/T 22240-2020信息安全技术网络安全等级保护定级指南现行2020/4/28 2020/11/12 GB/T 25058-2019信息安全技术网络安全等级保护实施指南现行2019/8/30 2020/3/13 GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求现行2019/5/10 2019/12/14 GB/T 22239-2019信息安全技术网络安全等级保护基本要求现行2019/5/10 2019/12/15 GB/T 28448-2019信息安全技术网络安全等级保护测评要求现行2019/5/10 2019/12/16 GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南现行2018/12/28 2019/7/17 GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求现行2018/12/28 2019/7/18 GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范现行2018/12/28 2019/7/19 GB/T 37138-2018电力信息系统安全等级保护实施指南现行2018/12/28 2019/7/110 GB/T 36627-2018信息安全技术网络安全等级保护测试评估技术指南现行2018/9/17 2019/4/111 GB/T 35317-2017公安物联网系统信息安全等级保护要求现行2017/12/29 2017/12/29信息安全技术有关国家标准，整理自全国标准信息公共服务平台：1 GB/T 39725-2020信息安全技术健康医疗数据安全指南现行2020/12/14 2021/7/12 GB/T 39720-2020信息安全技术移动智能终端安全技术要求及测试评价方法现行2020/12/14 2021/7/13 GB/T 39680-2020信息安全技术服务器安全技术要求和测评准则现行2020/12/14 2021/7/14 GB/T 30276-2020信息安全技术网络安全漏洞管理规范现行2020/11/19 2021/6/15 GB/T 20261-2020信息安全技术系统安全工程能力成熟度模型现行2020/11/19 2021/6/16 GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南现行2020/11/19 2021/6/17 GB/T 28458-2020信息安全技术网络安全漏洞标识与描述规范现行2020/11/19 2021/6/18 GB/T 25061-2020信息安全技术XML数字签名语法与处理规范现行2020/11/19 2021/6/19 GB/T 39276-2020信息安全技术网络产品和服务安全通用要求现行2020/11/19 2021/6/110 GB/T 39335-2020信息安全技术个人信息安全影响评估指南现行2020/11/19 2021/6/111 GB/T 39477-2020信息安全技术政务信息共享数据安全技术要求现行2020/11/19 2021/6/112 GB/T 39412-2020信息安全技术代码安全审计规范现行2020/11/19 2021/6/113 GB/T 39205-2020信息安全技术轻量级鉴别与访问控制机制现行2020/10/11 2021/5/114 GB/T 20283-2020信息安全技术保护轮廓和安全目标的产生指南现行2020/9/29 2021/4/115 GB/T 20281-2020信息安全技术防火墙安全技术要求和测试评价方法现行2020/4/28 2020/11/116 GB/T 22240-2020信息安全技术网络安全等级保护定级指南现行2020/4/28 2020/11/117 GB/T 25066-2020信息安全技术信息安全产品类别与代码现行2020/4/28 2020/11/118 GB/T 30284-2020信息安全技术移动通信智能终端操作系统安全技术要求现行2020/4/28 2020/11/119 GB/T 38625-2020信息安全技术密码模块安全检测要求现行2020/4/28 2020/11/120 GB/T 38626-2020信息安全技术智能联网设备口令保护指南现行2020/4/28 2020/11/121 GB/T 38628-2020信息安全技术汽车电子系统网络安全指南现行2020/4/28 2020/11/122 GB/T 38629-2020信息安全技术签名验签服务器技术规范现行2020/4/28 2020/11/123 GB/T 38632-2020信息安全技术智能音视频采集设备应用安全要求现行2020/4/28 2020/11/124 GB/T 38635.1-202信息安全技术SM9标识密码算法第1部分：总则现行2020/4/28 2020/11/125 GB/T 38635.2-202信息安全技术SM9标识密码算法第2部分：算法现行2020/4/28 2020/11/126 GB/T 38636-2020信息安全技术传输层密码协议（TLCP）现行2020/4/28 2020/11/127 GB/T 38638-2020信息安全技术可信计算可信计算体系结构现行2020/4/28 2020/11/128 GB/T 38644-2020信息安全技术可信计算可信连接测试方法现行2020/4/28 2020/11/129 GB/T 38645-2020信息安全技术网络安全事件应急演练指南现行2020/4/28 2020/11/130 GB/T 38646-2020信息安全技术移动签名服务技术要求现行2020/4/28 2020/11/131 GB/T 38648-2020信息安全技术蓝牙安全指南现行2020/4/28 2020/11/132 GB/T 38671-2020信息安全技术远程人脸识别系统技术要求现行2020/4/28 2020/11/133 GB/T 38674-2020信息安全技术应用软件安全编程指南现行2020/4/28 2020/11/134 GB/T 35273-2020信息安全技术个人信息安全规范现行2020/3/6 2020/10/135 GB/T 38540-2020信息安全技术安全电子签章密码技术规范现行2020/3/6 2020/10/136 GB/T 38541-2020信息安全技术电子文件密码应用指南现行2020/3/6 2020/10/137 GB/T 38542-2020信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架现行2020/3/6 2020/10/138 GB/T 38556-2020信息安全技术动态口令密码应用技术规范现行2020/3/6 2020/10/139 GB/T 38558-2020信息安全技术办公设备安全测试方法现行2020/3/6 2020/10/140 GB/T 38561-2020信息安全技术网络安全管理支撑系统技术要求现行2020/3/6 2020/10/141 GB/T 38249-2019信息安全技术政府网站云计算服务安全指南现行2019/10/18 2020/5/142 GB/T 20272-2019信息安全技术操作系统安全技术要求现行2019/8/30 2020/3/143 GB/T 25058-2019信息安全技术网络安全等级保护实施指南现行2019/8/30 2020/3/144 GB/T 37962-2019信息安全技术工业控制系统产品信息安全通用评估准则现行2019/8/30 2020/3/145 GB/T 21050-2019信息安全技术网络交换机安全技术要求现行2019/8/30 2020/3/146 GB/T 20009-2019信息安全技术数据库管理系统安全评估准则现行2019/8/30 2020/3/147 GB/T 18018-2019信息安全技术路由器安全技术要求现行2019/8/30 2020/3/148 GB/T 20979-2019信息安全技术虹膜识别系统技术要求现行2019/8/30 2020/3/149 GB/T 37971-2019信息安全技术智慧城市安全体系框架现行2019/8/30 2020/3/150 GB/T 37973-2019信息安全技术大数据安全管理指南现行2019/8/30 2020/3/151 GB/T 20273-2019信息安全技术数据库管理系统安全技术要求现行2019/8/30 2020/3/152 GB/T 37980-2019信息安全技术工业控制系统安全检查指南现行2019/8/30 2020/3/153 GB/T 37931-2019信息安全技术Web应用安全检测系统安全技术要求和测试评价方法现行2019/8/30 2020/3/154 GB/T 37934-2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求现行2019/8/30 2020/3/155 GB/T 37932-2019信息安全技术数据交易服务安全要求现行2019/8/30 2020/3/156 GB/T 37933-2019信息安全技术工业控制系统专用防火墙技术要求现行2019/8/30 2020/3/157 GB/T 37988-2019信息安全技术数据安全能力成熟度模型现行2019/8/30 2020/3/158 GB/T 37972-2019信息安全技术云计算服务运行监管框架现行2019/8/30 2020/3/159 GB/T 37935-2019信息安全技术可信计算规范可信软件基现行2019/8/30 2020/3/160 GB/T 37941-2019信息安全技术工业控制系统网络审计产品安全技术要求现行2019/8/30 2020/3/161 GB/T 37939-2019信息安全技术网络存储安全技术要求现行2019/8/30 2020/3/162 GB/T 37964-2019信息安全技术个人信息去标识化指南现行2019/8/30 2020/3/163 GB/T 37950-2019信息安全技术桌面云安全技术要求现行2019/8/30 2020/3/164 GB/T 37954-2019信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法现行2019/8/30 2020/3/165 GB/T 37952-2019信息安全技术移动终端安全管理平台技术要求现行2019/8/30 2020/3/166 GB/T 37953-2019信息安全技术工业控制网络监测安全技术要求及测试评价方法现行2019/8/30 2020/3/167 GB/T 37955-2019信息安全技术数控网络安全技术要求现行2019/8/30 2020/3/168 GB/T 37956-2019信息安全技术网站安全云防护平台技术要求现行2019/8/30 2020/3/169 GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求现行2019/5/10 2019/12/170 GB/T 22239-2019信息安全技术网络安全等级保护基本要求现行2019/5/10 2019/12/171 GB/T 28448-2019信息安全技术网络安全等级保护测评要求现行2019/5/10 2019/12/172 GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南现行2018/12/28 2019/7/173 GB/T 36629.3-2018信息安全技术公民网络电子身份标识安全技术要求第3部分：验证服务消息及其处理规则现行2018/12/28 2019/7/174 GB/T 36950-2018信息安全技术智能卡安全技术要求（EAL4+）现行2018/12/28 2019/7/175 GB/T 36951-2018信息安全技术物联网感知终端应用安全技术要求现行2018/12/28 2019/7/176 GB/T 36957-2018信息安全技术灾难恢复服务要求现行2018/12/28 2019/7/177 GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求现行2018/12/28 2019/7/178 GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范现行2018/12/28 2019/7/179 GB/T 36960-2018信息安全技术鉴别与授权访问控制中间件框架与接口现行2018/12/28 2019/7/180 GB/T 36968-2018信息安全技术IPSec VPN技术规范现行2018/12/28 2019/7/181 GB/T 37002-2018信息安全技术电子邮件系统安全技术要求现行2018/12/28 2019/7/182 GB/T 37024-2018信息安全技术物联网感知层网关安全技术要求现行2018/12/28 2019/7/183 GB/T 37025-2018信息安全技术物联网数据传输安全技术要求现行2018/12/28 2019/7/184 GB/T 37027-2018信息安全技术网络攻击定义及描述规范现行2018/12/28 2019/7/185 GB/T 37033.1-2018信息安全技术射频识别系统密码应用技术要求第1部分：密码安全保护框架及安全级别现行2018/12/28 2019/7/186 GB/T 37033.2-2018信息安全技术射频识别系统密码应用技术要求第2部分：电子标签与读写器及其通信密码应用技术要求现行2018/12/28 2019/7/187 GB/T 37033.3-2018信息安全技术射频识别系统密码应用技术要求第3部分：密钥管理技术要求现行2018/12/28 2019/7/188 GB/T 37044-2018信息安全技术物联网安全参考模型及通用要求现行2018/12/28 2019/7/189 GB/T 37046-2018信息安全技术灾难恢复服务能力评估准则现行2018/12/28 2019/7/190 GB/T 37076-2018信息安全技术指纹识别系统技术要求现行2018/12/28 2019/7/191 GB/T 37090-2018信息安全技术病毒防治产品安全技术要求和测试评价方法现行2018/12/28 2019/7/192 GB/T 37091-2018信息安全技术安全办公U盘安全技术要求现行2018/12/28 2019/7/193 GB/T 37092-2018信息安全技术密码模块安全要求现行2018/12/28 2019/7/194 GB/T 37093-2018信息安全技术物联网感知层接入通信网的安全要求现行2018/12/28 2019/7/195 GB/T 37094-2018信息安全技术办公信息系统安全管理要求现行2018/12/28 2019/7/196 GB/T 37095-2018信息安全技术办公信息系统安全基本技术要求现行2018/12/28 2019/7/197 GB/T 37096-2018信息安全技术办公信息系统安全测试规范现行2018/12/28 2019/7/198 GB/T 36629.1-2018信息安全技术公民网络电子身份标识安全技术要求第1部分：读写机具安全技术要求现行2018/10/10 2019/5/199 GB/T 36629.2-2018信息安全技术公民网络电子身份标识安全技术要求第2部分：载体安全技术要求现行2018/10/10 2019/5/1100 GB/T 36632-2018信息安全技术公民网络电子身份标识格式规范现行2018/10/10 2019/5/1101 GB/T 36637-2018信息安全技术ICT供应链安全风险管理指南现行2018/10/10 2019/5/1102 GB/T 36643-2018信息安全技术网络安全威胁信息格式规范现行2018/10/10 2019/5/1103 GB/T 36651-2018信息安全技术基于可信环境的生物特征识别身份鉴别协议框架现行2018/10/10 2019/5/1104 GB/T 36618-2018信息安全技术金融信息服务安全规范现行2018/9/17 2019/4/1105 GB/T 36619-2018信息安全技术政务和公益机构域名命名规范现行2018/9/17 2019/4/1106 GB/T 36626-2018信息安全技术信息系统安全运维管理指南现行2018/9/17 2019/4/1107 GB/T 36627-2018信息安全技术网络安全等级保护测试评估技术指南现行2018/9/17 2019/4/1108 GB/T 36630.1-2018信息安全技术信息技术产品安全可控评价指标第1部分：总则现行2018/9/17 2019/4/1109 GB/T 36630.2-2018信息安全技术信息技术产品安全可控评价指标第2部分：中央处理器现行2018/9/17 2019/4/1110 GB/T 36630.3-2018信息安全技术信息技术产品安全可控评价指标第3部分：操作系统现行2018/9/17 2019/4/1111 GB/T 366信息安全技术信息技术产品安全可控现2018/9/17 2019/4/130.4-2018评价指标第4部分：办公套件行112 GB/T 36630.5-2018信息安全技术信息技术产品安全可控评价指标第5部分：通用计算机现行2018/9/17 2019/4/1113 GB/T 36631-2018信息安全技术时间戳策略和时间戳业务操作规则现行2018/9/17 2019/4/1114 GB/T 36633-2018信息安全技术网络用户身份鉴别技术指南现行2018/9/17 2019/4/1115 GB/T 36635-2018信息安全技术网络安全监测基本要求与实施指南现行2018/9/17 2019/4/1116 GB/T 36639-2018信息安全技术可信计算规范服务器可信支撑平台现行2018/9/17 2019/4/1117 GB/T 36644-2018信息安全技术数字签名应用安全证明获取方法现行2018/9/17 2019/4/1118 GB/T 20518-2018信息安全技术公钥基础设施数字证书格式现行2018/6/7 2019/1/1119 GB/T 25056-2018信息安全技术证书认证系统密码及其相关安全技术规范现行2018/6/7 2019/1/1120 GB/T 36322-2018信息安全技术密码设备应用接口规范现行2018/6/7 2019/1/1121 GB/T 36323-2018信息安全技术工业控制系统安全管理基本要求现行2018/6/7 2019/1/1122 GB/T 36324-2018信息安全技术工业控制系统信息安全分级规范现行2018/6/7 2019/1/1123 GB/T 36466-2018信息安全技术工业控制系统风险评估实施指南现行2018/6/7 2019/1/1124 GB/T 36470-2018信息安全技术工业控制系统现场测控设备通用安全功能要求现行2018/6/7 2019/1/1126 GB/T 35274-2017信息安全技术大数据服务安全能力要求现行2017/12/29 2018/7/1127 GB/T 35275-2017信息安全技术SM2密码算法加密签名消息语法规范现行2017/12/29 2018/7/1128 GB/T 35276-2017信息安全技术SM2密码算法使用规范现行2017/12/29 2018/7/1129 GB/T 35277-2017信息安全技术防病毒网关安全技术要求和测试评价方法现行2017/12/29 2018/7/1130 GB/T 35278-2017信息安全技术移动终端安全保护技术要求现行2017/12/29 2018/7/1131 GB/T 35279-2017信息安全技术云计算安全参考架构现行2017/12/29 2018/7/1132 GB/T 35280-2017信息安全技术信息技术产品安全检测机构条件和行为准则现行2017/12/29 2018/7/1133 GB/T 352信息安全技术移动互联网应用服务现2017/12/29 2018/7/181-2017 器安全技术要求行134 GB/T 35282-2017信息安全技术电子政务移动办公系统安全技术规范现行2017/12/29 2018/7/1135 GB/T 35283-2017信息安全技术计算机终端核心配置基线结构规范现行2017/12/29 2018/7/1136 GB/T 35284-2017信息安全技术网站身份和系统安全要求与评估方法现行2017/12/29 2018/7/1137 GB/T 35285-2017信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求现行2017/12/29 2018/7/1138 GB/T 35286-2017信息安全技术低速无线个域网空口安全测试规范现行2017/12/29 2018/7/1139 GB/T 35287-2017信息安全技术网站可信标识技术指南现行2017/12/29 2018/7/1140 GB/T 35288-2017信息安全技术电子认证服务机构从业人员岗位技能规范现行2017/12/29 2018/7/1141 GB/T 35289-2017信息安全技术电子认证服务机构服务质量规范现行2017/12/29 2018/7/1142 GB/T 35290-2017信息安全技术射频识别（RFID）系统通用安全技术要求现行2017/12/29 2018/7/1143 GB/T 35291-2017信息安全技术智能密码钥匙应用接口规范现行2017/12/29 2018/7/1144 GB/T 34942-2017信息安全技术云计算服务安全能力评估方法现行2017/11/1 2018/5/1145 GB/T 34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法现行2017/11/1 2018/5/1146 GB/T 34976-2017信息安全技术移动智能终端操作系统安全技术要求和测试评价方法现行2017/11/1 2018/5/1147 GB/T 34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法现行2017/11/1 2018/5/1148 GB/T 34978-2017信息安全技术移动智能终端个人信息保护技术要求现行2017/11/1 2018/5/1149 GB/T 34990-2017信息安全技术信息系统安全管理平台技术要求和测试评价方法现行2017/11/1 2018/5/1150 GB/T 35101-2017信息安全技术智能卡读写机具安全技术要求（EAL4增强）现行2017/11/1 2018/5/1151 GB 35114-2017公共安全视频监控联网信息安全技术要求现行2017/11/1 2018/11/1152 GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求现行2017/7/31 2018/2/1153 GB/T 32918.5-2017信息安全技术SM2椭圆曲线公钥密码算法第5部分：参数定义现行2017/5/12 2017/12/1154 GB/T 33560-2017信息安全技术密码应用标识规范现行2017/5/12 2017/12/1155 GB/T 33561-2017信息安全技术安全漏洞分类现行2017/5/12 2017/12/1156 GB/T 33562-2017信息安全技术安全域名系统实施指南现行2017/5/12 2017/12/1157 GB/T 33563-2017信息安全技术无线局域网客户端安全技术要求（评估保障级2级增强）现行2017/5/12 2017/12/1158 GB/T 33565-2017信息安全技术无线局域网接入系统安全技术要求（评估保障级2级增强)现行2017/5/12 2017/12/1159 GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求现行2016/10/13 2017/5/1160 GB/T 33132-2016信息安全技术信息安全风险处理实施指南现行2016/10/13 2017/5/1161 GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述现行2016/10/13 2017/5/1162 GB/T 33134-2016信息安全技术公共域名服务系统安全要求现行2016/10/13 2017/5/1163 GB/T 20276-2016信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求现行2016/8/29 2017/3/1164 GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求现行2016/8/29 2017/3/1165 GB/T 32905-2016信息安全技术SM3密码杂凑算法现行2016/8/29 2017/3/1166 GB/T 32907-2016信息安全技术SM4分组密码算法现行2016/8/29 2017/3/1167 GB/T 32914-2016信息安全技术信息安全服务提供方管理要求现行2016/8/29 2017/3/1169 GB/T 32919-2016信息安全技术工业控制系统安全控制应用指南现行2016/8/29 2017/3/1170 GB/T 32921-2016信息安全技术信息技术产品供应方行为安全准则现行2016/8/29 2017/3/1171 GB/T 32922-2016信息安全技术IPSec VPN安全接入基本要求与实施指南现行2016/8/29 2017/3/1172 GB/T 32924-2016信息安全技术网络安全预警指南现行2016/8/29 2017/3/1173 GB/T 32925-2016信息安全技术政府联网计算机终端安全管理基本要求现行2016/8/29 2017/3/1174 GB/T 32926-2016信息安全技术政府部门信息技术服务外包信息安全管理规范现行2016/8/29 2017/3/1175 GB/T 32927-2016信息安全技术移动智能终端安全架构现行2016/8/29 2017/3/1176 GB/T 329信息安全技术二元序列随机性检测现2016/8/29 2017/3/115-2016 方法行177 GB/T 32918.4-2016信息安全技术SM2椭圆曲线公钥密码算法第4部分：公钥加密算法现行2016/8/29 2017/3/1178 GB/T 32918.3-2016信息安全技术SM2椭圆曲线公钥密码算法第3部分：密钥交换协议现行2016/8/29 2017/3/1179 GB/T 32918.2-2016信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法现行2016/8/29 2017/3/1180 GB/T 32918.1-2016信息安全技术SM2椭圆曲线公钥密码算法第1部分：总则现行2016/8/29 2017/3/1181 GB/T 32213-2015信息安全技术公钥基础设施远程口令鉴别与密钥建立规范现行2015/12/10 2016/8/1182 GB/T 20277-2015信息安全技术网络和终端隔离产品测试评价方法现行2015/5/15 2016/1/1183 GB/T 20279-2015信息安全技术网络和终端隔离产品安全技术要求现行2015/5/15 2016/1/1185 GB/T 31495.1-2015信息安全技术信息安全保障指标体系及评价方法第1部分：概念和模型现行2015/5/15 2016/1/1186 GB/T 31495.2-2015信息安全技术信息安全保障指标体系及评价方法第2部分：指标体系现行2015/5/15 2016/1/1187 GB/T 31495.3-2015信息安全技术信息安全保障指标体系及评价方法第3部分：实施指南现行2015/5/15 2016/1/1188 GB/T 31499-2015信息安全技术统一威胁管理产品技术要求和测试评价方法现行2015/5/15 2016/1/1189 GB/T 31500-2015信息安全技术存储介质数据恢复服务要求现行2015/5/15 2016/1/1190 GB/T 31501-2015信息安全技术鉴别与授权授权应用程序判定接口规范现行2015/5/15 2016/1/1191 GB/T 31502-2015信息安全技术电子支付系统安全保护框架现行2015/5/15 2016/1/1192 GB/T 31503-2015信息安全技术电子文档加密与签名消息语法现行2015/5/15 2016/1/1193 GB/T 31504-2015信息安全技术鉴别与授权数字身份信息服务框架规范现行2015/5/15 2016/1/1195 GB/T 31506-2015信息安全技术政府门户网站系统安全技术指南现行2015/5/15 2016/1/1196 GB/T 31507-2015信息安全技术智能卡通用安全检测指南现行2015/5/15 2016/1/1197 GB/T 31508-2015信息安全技术公钥基础设施数字证书策略分类分级规范现行2015/5/15 2016/1/1198 GB/T 31509-2015信息安全技术信息安全风险评估实施指南现行2015/5/15 2016/1/1199 GB/T 31167-2014信息安全技术云计算服务安全指南现行2014/9/3 2015/4/1200 GB/T 31168-2014信息安全技术云计算服务安全能力要求现行2014/9/3 2015/4/1201 GB/T 20275-2013信息安全技术网络入侵检测系统技术要求和测试评价方法现行2013/12/31 2014/7/15202 GB/T 20278-2013信息安全技术网络脆弱性扫描产品安全技术要求现行2013/12/31 2014/7/15203 GB/T 20945-2013信息安全技术信息系统安全审计产品技术要求和测试评价方法现行2013/12/31 2014/7/15204 GB/T 30271-2013信息安全技术信息安全服务能力评估准则现行2013/12/31 2014/7/15205 GB/T 30272-2013信息安全技术公钥基础设施标准一致性测试评价指南现行2013/12/31 2014/7/15206 GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南现行2013/12/31 2014/7/15208 GB/T 30275-2013信息安全技术鉴别与授权认证中间件框架与接口规范现行2013/12/31 2014/7/15209 GB/T 30276-2013信息安全技术信息安全漏洞管理规范现行2013/12/31 2014/7/15211 GB/T 30278-2013信息安全技术政务计算机终端核心配置规范现行2013/12/31 2014/7/15212 GB/T 30279-2013信息安全技术安全漏洞等级划分指南现行2013/12/31 2014/7/15213 GB/T 30280-2013信息安全技术鉴别与授权地理空间可扩展访问控制置标语言现行2013/12/31 2014/7/15214 GB/T 30281-2013信息安全技术鉴别与授权可扩展访问控制标记语言现行2013/12/31 2014/7/15215 GB/T 30282-2013信息安全技术反垃圾邮件产品技术要求和测试评价方法现行2013/12/31 2014/7/15216 GB/T 30283-2013信息安全技术信息安全服务分类现行2013/12/31 2014/7/15217 GB/T 30285-2013信息安全技术灾难恢复中心建设与运维管理规范现行2013/12/31 2014/7/15218 GB/T 29827-2013信息安全技术可信计算规范可信平台主板功能接口现行2013/11/12 2014/2/1219 GB/T 29828-2013信息安全技术可信计算规范可信连接架构现行2013/11/12 2014/2/1220 GB/T 29829-2013信息安全技术可信计算密码支撑平台功能与接口规范现行2013/11/12 2014/2/1221 GB/T 29765-2013信息安全技术数据备份与恢复产品技术要求与测试评价方法现行2013/9/18 2014/5/1222 GB/T 29766-2013信息安全技术网站数据恢复产品技术要求与测试评价方法现行2013/9/18 2014/5/1223 GB/T 29767-2013信息安全技术公钥基础设施桥CA体系证书分级规范现行2013/9/18 2014/5/1224 GB/T 29240-2012信息安全技术终端计算机通用安全技术要求与测试评价方法现行2012/12/31 2013/6/1225 GB/T 29241-2012信息安全技术公钥基础设施 PKI互操作性评估准则现行2012/12/31 2013/6/1226 GB/T 29242-2012信息安全技术鉴别与授权安全断言标记语言现行2012/12/31 2013/6/1227 GB/T 29243-2012信息安全技术数字证书代理认证路径构造和代理验证规范现行2012/12/31 2013/6/1228 GB/T 29244-2012信息安全技术办公设备基本安全要求现行2012/12/31 2013/6/1229 GB/T 29245-2012信息安全技术政府部门信息安全管理基本要求现行2012/12/31 2013/6/1230 GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范现行2012/6/29 2012/10/1233 GB/T 28450-2012信息安全技术信息安全管理体系审核指南现行2012/6/29 2012/10/1234 GB/T 28451-2012信息安全技术网络型入侵防御产品技术要求和测试评价方法现行2012/6/29 2012/10/1235 GB/T 28452-2012信息安全技术应用软件系统通用安全技术要求现行2012/6/29 2012/10/1236 GB/T 28453-2012信息安全技术信息系统安全管理评估要求现行2012/6/29 2012/10/1237 GB/T 28455-2012信息安全技术引入可信第三方的实体鉴别及接入架构规范现行2012/6/29 2012/10/1238 GB/T 28458-2012信息安全技术安全漏洞标识与描述规范现行2012/6/29 2012/10/1239 GB/T 26855-2011信息安全技术公钥基础设施证书策略与认证业务声明框架现行2011/7/29 2011/11/1240 GB/T 25064-2010信息安全技术公钥基础设施电子签名格式规范现行2010/9/2 2011/2/1241 GB/T 25069-2010信息安全技术术语现行2010/9/2 2011/2/1248 GB/T 25061-2010信息安全技术公钥基础设施 XML数字签名语法与处理规范现行2010/9/2 2011/2/1249 GB/T 25062-2010信息安全技术鉴别与授权基于角色的访问控制模型与管理规范现行2010/9/2 2011/2/1250 GB/T 25063-2010信息安全技术服务器安全测评要求现行2010/9/2 2011/2/1251 GB/T 25065-2010信息安全技术公钥基础设施签名生成应用程序的安全要求现行2010/9/2 2011/2/1254 GB/T 24363-2009信息安全技术信息安全应急响应计划规范现行2009/9/30 2009/12/1255 GB/T 20274.2-2008信息安全技术信息系统安全保障评估框架第2部分：技术保障现行2008/7/18 2008/12/1256 GB/T 20274.3-2008信息安全技术信息系统安全保障评估框架第3部分：管理保障现行2008/7/18 2008/12/1257 GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障现行2008/7/18 2008/12/1258 GB/T 17964-2008信息安全技术分组密码算法的工作模式现行2008/6/26 2008/11/1262 GB/T 21052-2007信息安全技术信息系统物理安全技术要求现行2007/8/23 2008/1/1263 GB/T 21053-2007信息安全技术公钥基础设施 PKI系统安全等级保护技术要求现行2007/8/23 2008/1/1264 GB/T 21054-2007信息安全技术公钥基础设施 PKI系统安全等级保护评估准则现行2007/8/23 2008/1/1265 GB/T 21028-2007信息安全技术服务器安全技术要求现行2007/6/29 2007/12/1268 GB/T 20984-2007信息安全技术信息安全风险评估规范现行2007/6/14 2007/11/1270 GB/T 20988-2007信息安全技术信息系统灾难恢复规范现行2007/6/14 2007/11/1274 GB/T 20520-2006信息安全技术公钥基础设施时间戳规范现行2006/8/30 2007/2/1275 GB/T 20269-2006信息安全技术信息系统安全管理要求现行2006/5/31 2006/12/1276 GB/T 20270-2006信息安全技术网络基础安全技术要求现行2006/5/31 2006/12/1277 GB/T 20271-2006信息安全技术信息系统通用安全技术要求现行2006/5/31 2006/12/1280 GB/T 20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型现行2006/5/31 2006/12/1281 GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法现行2006/5/31 2006/12/1282 GB/T 20282-2006信息安全技术信息系统安全工程管理要求现行2006/5/31 2006/12/1283 GB/T 20008-2005信息安全技术操作系统安全评估准则现行2005/11/11 2006/5/1286GB/T 20011-2005信息安全技术路由器安全评估准则现行2005/11/11 2006/5/1 网络安全为人民，网络安全靠人民！做对用户有真实价值的网络安全服务《网络安全法》里的关键信息基础设施的运行安全如何选择保护密码？网络安全等级保护：信息技术服务从业人员能力培养网络安全等级保护：信息技术服务过程一般要求如何保护好无线网络安全？数据安全：数据安全能力成熟度模型网络安全等级保护：网络产品和服务安全通用要求之总体目标学习国家网络安全等级保护制度的体系架构良好的网络安全习惯知多少？。

信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分，对于信息系统的安全等级保护测评要求也变得愈发重要。

信息系统安全等级保护测评是指为了评估信息系统的安全性，保障信息系统的功能和安全性，根据《信息安全技术信息系统安全等级保护测评要求》，对信息系统进行等级保护测评，明确信息系统安全等级。

二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》，信息系统安全等级分为四个等级，分别是一级、二级、三级和四级。

每个等级都有相应的技术和管理要求，以及安全保护的措施。

在信息系统安全等级保护测评中，根据信息系统的安全等级，采用不同的测评方法和技术手段，对信息系统进行全面的评估和测试。

三、技术要求在信息系统安全等级保护测评中，技术要求是至关重要的一环。

根据《信息安全技术信息系统安全等级保护测评要求》，信息系统的技术要求包括但不限于以下几个方面：1. 安全功能要求信息系统在进行测评时，需要满足一定的安全功能要求。

对于不同等级的信息系统，需要有相应的访问控制、身份认证、加密通信等安全功能，以确保系统的安全性。

2. 安全性能要求信息系统的安全性能也是非常重要的。

在信息系统安全等级保护测评中，需要对系统的安全性能进行评估，包括系统的稳定性、可靠性、容错性等方面。

3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。

通过鉴别技术对信息系统进行鉴别，以确定系统的真实性和完整性，防止系统被篡改和伪造。

4. 安全风险评估要求在信息系统安全等级保护测评中，需要进行全面的安全风险评估，包括对系统可能存在的安全威胁和漏洞进行评估，以及制定相应的安全保护措施和应急预案。

四、管理要求除了技术要求之外，信息系统安全等级保护测评还需要满足一定的管理要求。

管理要求主要包括以下几个方面：1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系，包括安全管理策略、安全管理制度、安全管理流程等，以确保信息系统的安全性。

序号标准号中文名称英文名称发布日期实施日期1GB/T 17900-1999网络代理服务器的安全技术要求Security technicalrequirements for proxyserver1999-11-112000-5-12GB 17859-1999计算机信息系统安全保护等级划分准则Classified criteria forsecurity protection ofcomputer informationsystem1999-9-132001-01013GB/T 20008-2005信息安全技术 操作系统安全评估准则Information securitytechnology -- Operatingsystems securityevaluation criteria2005-11-112006-5-14GB/T 20009-2005信息安全技术 数据库管理系统安全评估准则Information securitytechnology -- Data basemanagement systemssecurity evaluationcriteria2005-11-112006-5-15GB/T 20010-2005信息安全技术 包过滤防火墙评估准则Information securitytechnology -- Packetfiltering firewallsevaluation criteria2005-11-112006-5-16GB/T 20011-2005信息安全技术 路由器安全评估准则Information securitytechnology -- Routerssecurity evaluationcriteria2005-11-112006-5-17GB/T 20270-2006信息安全技术 网络基础安全技术要求Information securitytechnology Basissecurity techniquesrequirement for network2006-5-312006-12-18GB/T 20271-2006信息安全技术 信息系统通用安全技术要求Information securitytechnology Commonsecurity techniquesrequirement forinformation system2006-5-312006-12-19GB/T 20272-2006信息安全技术 操作系统安全技术要求Information securitytechnology Securitytechniques requirementfor operating system2006-5-312006-12-110GB/T 20273-2006信息安全技术 数据库管理系统安全技术要求Information securitytechnology Securitytechniques requirementfor database managementsystem2006-05-312006-12-111GB/T 20274.1-2006信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型Information securitytechnology Evaluationframework forinformation systemssecurity assurance Part1: Introduction andgeneral model2006-5-312006-12-112GB/T 20275-2006信息安全技术 入侵检测系统技术要求和测试评价方法Information securitytechnology Techniquesrequirements and testingand evaluationapproaches for intrusiondetection system2006-5-312006-12-113GB/T 20276-2006信息安全技术 智能卡嵌入式软件安全技术要求（EAL4增强级）Information securitytechnology Securityrequirements forsmartcard embeddedsoftware(EAL4+)2006-5-312006-12-114GB/T 20277-2006信息安全技术 网络和终端设备隔离部件测试评价方法Information securitytechnology Testing andevaluation techniques ofseparation components ofnetwork and terminalequipment2006-5-312006-12-115GB/T 20278-2006信息安全技术 网络脆弱性扫描产品技术要求Information securitytechnology Techniquerequirement for networkvulnerability scanners2006-5-312006-12-116GB/T 20279-2006信息安全技术 网络和终端设备隔离部件安全技术要求Information securitytechnology Securitytechniques requirementsof separation componentsof network and terminalequipment2006-5-312006-12-117GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法Information securitytechnology Testing andevaluation approachesfor networkvulnerability scanners2006-5-312006-12-118GB/T 20281-2006信息安全技术 防火墙技术要求和测试评价方法Information securitytechnology Techniquerequirements and testingand evaluationapproaches for firewallproducts2006-5-312006-12-119GB/Z 20283-2006信息安全技术 保护轮廓和安全目标的产生指南Information securitytechnology - Guide forthe production of PPsand STs2006-5-312006-12-120GB/T 18018-2007信息安全技术 路由器安全技术要求Information securitytechnology - Technicalrequirements for routersecurity2007-6-132007-12-121GB/T 20945-2007信息安全技术 信息系统安全审计产品技术要求和评价方法Information securitytechnology - Technicalrequirements,testing andevaluation approachesfor information systemsecurity audit products2007-6-132007-12-122GB/T 20979-2007信息安全技术 虹膜识别系统技术要求Information securitytechnology - Technicalrquirements for irisidentification system2007-6-182007-11-123GB/T 20983-2007信息安全技术 网上银行系统信息安全保障评估准则Information securitytechnology - Evaluationcriteria for onlinebanking informationsystems securityassurance2007-6-142007-11-124GB/T 20987-2007信息安全技术 网上证券交易系统信息安全保障评估准则Information securitytechnology - EvaluationCriteria for onlinestock tradinginformation systemssecurity assurance2007-6-142007-11-125GB/T 21028-2007信息安全技术 服务器安全技术要求Information securitytechnology - Securitytechniques requirementfor server2007-6-292007-12-126GB/T 21050-2007信息安全技术 网络交换机安全技术要求（评估保证级3）Information securitytechniques - Securityrequirements for networkswitch (EAL3)2007-8-242008-1-127GB/T 21052-2007信息安全技术 信息安全等级保护信息系统物理安全技术要求Information securitytechnology - Physicalsecurity technicalrequirement forinformation system2007-8-232008-1-128GB/T 21053-2007信息安全技术 PKI系统安全等级保护技术要求Information securitytechniques - Public keyinfrastructure -Technology requirementfor securityclassificationprotection of PKI system2007-8-232008-1-129GB/T 21054-2007信息安全技术 PKI系统安全等级保护评估准则Information securitytechniques - Public keyinfrastructure -Evaluation criteria forsecurity classificationprotection of PKI system2007-8-232008-1-130GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求Information securitytechnology - Baselinefor classifiedprotection ofinformation systemsecurity2008-6-192008-11-131GB/T 22240-2008信息安全技术 信息系统安全保护等级定级指南Information securitytechnology -Classification guide forclassified protection ofinformation systemsecurity2008-6-192008-11-132GB/T 18336.1-2008信息技术 安全技术 信息技术安全性评估准则 第1部分: 简介和一般模型Information technology -Security techniques -Evaluation criteria forIT security - Part 1:Introduction and generalmodel2008-06-262008-11-133GB/T 18336.2-2008信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求Information technology -Security techniques -Evaluation criteria for IT security - Part 2:Security functional requirements 2008-6-262008-11-134GB/T 18336.3-2008信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求Information Technology -Security Techniques -Evaluation criteria for IT security - Part 3:Security assurancerequirements2008-06-262008-11-135GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分: 简介和一般模型Information technology--Security techniques--Evaluation criteria forIT security--Part1:Introduction andgeneral model2001-3-82001-12-136GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求Information technology--Security techniques--Evaluation criteria forIT security--Part2:Security functionalrequirements2001-3-82001-12-137GB/T 18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求Information technology--Security technology--Evaluation criteria forIT security--Part3:Security assurancerequirements 2001-3-82001-12-1标准状态状态说明中标分类专业类型有效L80有效L09有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80有效L80失效已被GB/T 18336.1-2008替换L80失效已被GB/T 18336.1-2008替换L80失效已被GB/T 18336.1-2008替换L70摘要发布文件备注获取方式本标准规定了网络代理服务器的安全技术要求，并作为网络代理服务器的安全技术检测依据本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

信息安全技术服务器安全技术要求和测评准则信息安全技术概述信息安全技术是指为了保障信息系统的机密性、完整性和可用性，采取一系列技术措施和管理手段进行信息保护的过程。

随着信息化的不断发展，信息安全问题也日益突出，因此加强信息安全技术的研究和应用具有非常重要的意义。

基本原理信息安全技术主要依靠加密算法、身份认证、访问控制等手段来实现。

其中，加密算法是保障机密性的核心手段，其主要作用是将明文转化为密文，从而防止未经授权的人员获取敏感数据。

身份认证则是确定用户身份的过程，可以有效防止冒充者对系统进行攻击。

访问控制则是限制用户对系统资源的访问权限，从而确保系统资源不被滥用。

常见技术1. 数据加密技术：包括对称加密和非对称加密两种方式。

对称加密采用相同的密钥进行加解密操作，速度快但安全性较低；非对称加密则需要公钥和私钥两个不同的密钥进行操作，速度较慢但安全性更高。

2. 数字签名技术：通过对数据进行数字签名，可以确保数据的完整性和真实性，防止数据被篡改或伪造。

3. 身份认证技术：包括口令认证、生物特征识别、智能卡等方式。

其中，生物特征识别技术具有较高的安全性和便捷性，但成本较高。

4. 访问控制技术：包括基于角色的访问控制、基于属性的访问控制等方式。

其中，基于角色的访问控制是应用最广泛的一种方式。

服务器安全技术要求概述服务器是企业信息化建设中不可缺少的一个组成部分，其安全性直接关系到企业信息资产的保护。

因此，在服务器建设过程中必须注重安全问题，并采取一系列有效措施进行保障。

基本原理服务器安全主要依靠防火墙、入侵检测与防范系统、反病毒软件等手段来实现。

其中，防火墙是最基本也是最重要的一种手段，其主要作用是限制网络流量，并对进出网络流量进行监视和过滤；入侵检测与防范系统则可以及时发现并阻止攻击者对系统进行攻击；反病毒软件则可以有效防止病毒的传播和攻击。

常见技术1. 防火墙技术：包括网络层防火墙和应用层防火墙两种方式。

信息安全技术服务器安全技术要求和测评准则1. 引言信息安全技术在现代社会中扮演着至关重要的角色，而服务器作为信息系统的核心组成部分，其安全性的保障更是不可忽视的。

服务器安全技术要求和测评准则的制定和执行对于保护敏感数据、防止未授权访问以及保障企业持续运营至关重要。

本文将讨论服务器安全技术的要求以及制定测评准则的几个重要因素。

2. 服务器安全技术要求为了确保服务器的安全性，以下几个方面的技术要求值得重视：2.1. 强密码策略服务器应要求用户设置强密码，并设立密码策略，包括以下要求：•密码长度不少于8个字符；•密码应包含大写字母、小写字母、数字和特殊字符；•禁止使用常见的密码，如123456、password等；•定期强制用户更改密码。

2.2. 访问控制服务器应采取访问控制措施，以确保只有授权的用户能够访问服务器。

以下技术可用于实现访问控制：•基于角色的访问控制（RBAC）：根据用户角色，授予不同级别的访问权限；•权限细分：将权限按功能和数据等级细分，以实现更精确的访问控制；•双因素认证（2FA）：结合密码和其他认证方式（如指纹或令牌）提高账户安全性。

2.3. 加密通信服务器与用户终端之间的通信应采用加密传输，以防止敏感信息被窃取。

以下加密通信技术可选用：•SSL/TLS协议：为传输层提供加密和认证机制；•VPN（虚拟私有网络）：通过加密隧道实现远程访问的安全性；•HTTPS：在HTTP协议基础上加入SSL/TLS进行安全通信。

3. 服务器安全测评准则为确保服务器的安全性，需要进行定期的安全测评。

下面列出了服务器安全测评的几个重要准则：3.1. 漏洞扫描通过使用漏洞扫描工具对服务器进行扫描，检测系统中可能存在的漏洞。

常用的漏洞扫描工具有Nessus、OpenVAS等，这些工具能够发现并报告可能存在的安全风险，帮助管理员及时修复漏洞。

3.2. 渗透测试渗透测试是通过模拟攻击的方式评估服务器的安全性。

通过渗透测试，安全团队可以测试服务器的弱点并提出相应的建议和改进方案。

标准咨询GB/T 37931—2019《信息安全技术　Web 应用安全检测系统安全技术要求和测试评价方法》浅析施明明　谢宗晓（中国金融认证中心）GB/T 37931—2019《信息安全技术　Web 应用安全检测系统安全技术要求和测试评价方法》，于2020年3月1日开始实施，主要规定了Web 应用安全检测系统的安全技术要求、测评方法和等级划分。

由于这是产品测评类标准，因此与GB/T 18336.3—20151）保持了一致。

1　Web应用安全检测系统的概念Web 应用主要是指可以通过Web 访问的各类应用程序，其最大好处在于用户很容易访问，只需要有浏览器即可，不需要再安装其他软件。

应用程序一般分为B/S（Browser/Server，浏览器/服务器）架构和C/S（Client/Server，客户机/服务器）架构。

毫无疑问，Web 应用一般都是采用B/S 架构。

就本质而言，Web 应用与其他应用程序没有区别，只是由于基于Web，导致其采用了不同的框架和解释运行方式等。

Web 应用的产生带来了巨大的便利性，同时也带来了很大的安全问题。

这使得传统的安全产品，例如，防火墙，从最初的网络层（OSI 第3层），发展到会话层（OSI 第5层），直到应用层（OSI 第7层），工作在7层的防火墙，发展成为单独的门类，Web 应用防火墙（WAF）。

Web 应用安全检测系统原则上并不是一个单独的产品，而是一系列的功能产品的集合。

在GB/T 37931—2019 的3.1中对于“Web 应用安全检测系统”的概念给出了定义和描述，其中定义如下：对Web 应用的安全性进行检测的产品，能够依据策略对Web 应用进行URL 发现，并对Web 应用漏洞进行检测。

在第5章中，对于Web 应用安全检测又进行了进一步的描述，如下：Web 应用安全检测系统采用URL 发现、Web 漏洞检测等技术, 对Web 应用的安全性进行分析,安全目的是为帮助应用开发者和管理者了解Web 应用存在的脆弱性,为改善并提升应用系统抵抗各类Web 应用攻击(如:注入攻击、跨站脚本、文件包含和信息泄露等)的能力, 以帮助用户建立安全的Web 应用服务。

信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求1 范围本部分规定了对不同等级的等级保护对象是否符合GB/T 22239.2-20XX所进行的测试评估活动的要求，包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行安全测试评估的要求。

本部分略去对第一级等级保护对象、第五级等级保护对象进行安全测评评估的要求。

本部分规定了不同等级的保护对象的云计算安全扩展测评要求，除使用本部分外，还需参考通用测评要求。

本部分适用于信息安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况进行的安全测试评估。

信息安全监管职能部门依法进行的信息系统安全等级保护监督检查可以参考使用。

2 规范性引用文件下列文件对于本部分的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本部分。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。

GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-20XX 信息安全技术网络安全等级保护基本要求第1部分：安全通用要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分：通用测评要求GB/T 28449-20XX 信息安全技术信息系统安全等级保护测评过程指南GB/T 22239.2-20XX 信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求GB/T 25070.2-20XX 信息安全技术网络安全等级保护安全设计技术要求第2部分：云计算信息安全等级保护安全设计技术要求3 术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。

信息安全技术信息系统安全等级保护基本要求引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南；——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求；——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。

一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。

本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。

单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。

整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。

本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。

如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。

在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。

信息系统安全等级保护测评要求1 范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。

本标准略去对第五级信息系统进行单元测评的具体内容要求。

本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。