信息安全等级保护系列标准
信息安全等级保护2.0
信息安全等级保护2.0
信息安全等级保护2.0是国家关于信息安全管理和技术管理整体解决
方案,以及信息安全管理体系标准的衍生标准。
它主要是为了更好地
控制和保护在组织中使用的信息资源,提高组织的信息安全保护水平。
它强调在组织中确立安全等级保护制度,以更好地管理各个等级的信
息安全风险,保护组织的重要信息资源。
信息安全等级保护2.0分为四级:防护等级A、B、C和D。
安全等级A
代表基础信息安全要求,针对这级等级,组织应确立安全实施和控制
机制,以及安全风险评估机制。
安全等级B代表完整信息安全要求,
有助于组织建立安全系统,以确保组织的重要信息资源免受损害。
安
全等级C代表全面信息安全要求,主要是为了防止重要信息资源受到
外部攻击的威胁,从而更好地保护信息安全,防止其他人通过技术手
段侵入组织的系统。
安全等级D代表最高信息安全要求,其重点在于
加强信息安全体制,提高信息安全保护的综合能力,以更好地保护尤
其是重要信息资源。
信息安全等级保护 2.0旨在更好地控制和保护组织内部重要信息资源,提高组织的信息安全保护水平。
为此,它规定了必要的管理和技术手段,以保障重要信息的安全,防止未经授权的访问和攻击。
通过加强
信息安全管理体系,组织可以更好地保护信息安全,避免带来不必要
的损失。
信息安全等级保护2.0标准
信息安全等级保护2.0标准
信息安全等级保护2.0 标准是中国国家标准,用于指导信息系统的安全保护工作。
以下是信息安全等级保护 2.0 标准的一些主要方面:
1. 安全等级划分:标准将信息系统的安全等级划分为五个等级,从一级到五级,等级越高,安全要求越高。
2. 安全要求:标准规定了不同等级信息系统的安全要求,包括物理安全、网络安全、主机安全、应用安全、数据安全等方面。
3. 安全管理:标准强调了安全管理的重要性,包括安全策略、安全组织、人员管理、安全培训等方面。
4. 安全评估:标准要求对信息系统进行定期的安全评估,以确保信息系统的安全等级符合要求。
5. 安全监测:标准要求对信息系统进行实时的安全监测,及时发现和处理安全事件。
6. 应急响应:标准要求建立应急响应机制,及时处理安全事件,降低安全事件的影响。
信息安全等级保护2.0 标准是信息系统安全保护的重要指导文件,它可以帮助信息系统管理者提高信息系统的安全等级,保障信息系统的安全和稳定运行。
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
信息安全等级保护二级标准
信息安全等级保护二级标准
信息安全等级保护(简称等保)是指根据信息系统对信息的重要性、完整性、可用性等方面的要求,划分不同等级,采取相应的技术、管理和物理安全措施,对信息系统实施等级保护的活动。
信息安全等级保护的二级标准主要包括以下方面:
安全管理制度:建立健全信息安全管理体系,确保信息系统的安全管理规范、程序和制度的合理实施。
安全设计与实现:在信息系统的设计与实施过程中,充分考虑系统的安全性,采取相应的技术手段确保系统的稳定和安全运行。
系统运行维护:对信息系统的运行状态进行监测和维护,及时发现和解决系统运行中的安全问题,确保系统的连续可用性。
身份鉴别与访问控制:确保信息系统对用户的身份鉴别和访问控制具有高效性和严密性,防范未授权访问。
数据保护:采取有效措施对重要数据进行加密、备份和恢复,确保数据的完整性和可用性。
安全审计:建立完善的安全审计机制,对信息系统的操作和事件进行审计,及时发现并纠正存在的问题。
网络安全防护:针对网络通信过程中的安全隐患,采取有效的防护手段,确保信息的机密性和完整性。
应急响应与恢复:建立健全的信息安全应急响应机制,能够及时、有效地应对各类安全事件,保障系统的稳定运行。
外包服务安全管理:在使用外包服务时,确保外包服务商有相应
的信息安全管理体系,加强对外包服务的监督和管理。
安全培训与教育:对系统操作人员和管理人员进行定期的安全培训与教育,提高其安全意识和应对能力。
信息安全等级保护二级标准的实施,有助于提高信息系统的整体安全水平,保障信息的安全性、完整性和可用性。
信息安全等级保护四级防护技术要求
信息安全等级保护四级防护技术要求本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March信息安全等级保护(四级)具体技术要求我国信息安全等级保护与涉密信息系统分级保护关系等级保护分级保护保护对象不同非涉密信息系统涉密信息系统管理体系不同公安机关国家保密工作部门标准体系不同国家标准(GB、GB/T)国家保密标准(BMB,强制执行)级别划分不同第一级:自主保护级第二级:指导保护级第三级:监督保护级秘密级第四级:强制保护级机密级第五级:专控保护级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接,三个等级的防护水平不低于国家等级保护的第三、四、五级要求一、网络安全网络安全审计1、对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录;2、对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;3、安全审计应可以根据记录数据进行分析,并生成审计报表;4、安全审计应可以对特定事件,提供指定方式的实时报警;5、审计记录应受到保护避免受到未预期的删除、修改或覆盖等;6、安全审计应能跟踪监测到可能的安全侵害事件,并终止违规进程;7、审计员应能够定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施(如报警并导出),当存储空间被耗尽时,终止可审计事件的发生;8、安全审计应根据信息系统的统一安全策略,实现集中审计;9、网络设备时钟应与时钟服务器时钟保持同步。
边界完整性检查1、应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为);2、应能够对非授权设备私自联到网络的行为进行检查,并准确定位、有效阻断;3、应能够对内部网络用户私自联到外部网络的行为进行检查后准确定出位置,并对其进行有效阻断;4、应能够根据信息流控制策略和信息流的敏感标记,阻止重要信息的流出。
信息安全等级保护系列标准概述
一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( s tandard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( s tandardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
信息安全等保三级标准
信息安全等保三级标准信息安全等保三级标准是指根据我国《信息安全等级保护管理办法》,对信息系统进行安全等级划分,并按照相应的技术和管理要求进行保护的标准。
信息安全等保三级标准是我国信息安全领域的重要标准之一,对于保障国家重要信息基础设施的安全具有重要意义。
本文将对信息安全等保三级标准进行详细介绍,以便广大信息安全从业人员更好地了解和应用。
一、信息安全等保三级标准概述。
信息安全等保三级标准是我国信息安全等级保护管理办法中规定的一种信息安全保护标准。
根据等级保护的需要,信息系统被划分为不同的安全等级,分别为三级、四级、五级。
其中,信息安全等保三级标准是对国家重要信息基础设施的保护要求最为严格的等级之一,涉及的信息系统安全等级较高,需要采取更加严格的技术和管理措施来保护信息系统的安全。
二、信息安全等保三级标准的技术要求。
信息安全等保三级标准对信息系统的技术要求非常严格,主要包括以下几个方面:1. 访问控制,信息系统应能够对用户的访问进行精细化控制,确保只有经过授权的用户才能够访问系统中的敏感信息。
2. 安全审计,信息系统应具备完善的安全审计功能,能够记录用户的操作行为,并能够对系统的安全状态进行全面的审计和监控。
3. 数据加密,对于系统中的重要数据,应采取加密措施,确保数据在传输和存储过程中不会被非法获取和篡改。
4. 安全通信,系统应采取安全的通信协议,确保在数据传输过程中不会被窃听和篡改。
5. 恶意代码防护,系统应具备有效的恶意代码防护措施,确保系统不会受到病毒、木马等恶意代码的侵害。
三、信息安全等保三级标准的管理要求。
除了技术要求之外,信息安全等保三级标准还对信息系统的管理提出了一系列严格要求,主要包括以下几个方面:1. 安全策略,信息系统应制定完善的安全策略,明确安全目标和安全责任,确保安全策略得到全面贯彻和执行。
2. 安全培训,对系统管理员和用户进行安全培训,提高其信息安全意识和技能,确保他们能够正确地使用和管理系统。
信息安全等级保护标准
信息安全等级保护标准信息安全等级保护标准(GB/T 22239-2008)是由中国国家标准化管理委员会发布的一项国家标准,旨在规范和指导各类信息系统的安全保护工作,保障国家重要信息基础设施的安全运行。
本标准适用于涉密信息系统、非涉密信息系统和非密级信息系统,是信息安全管理工作的重要依据。
一、信息安全等级划分。
根据GB/T 22239-2008标准,信息系统的安全等级划分包括四个等级,分别为一级、二级、三级和四级。
不同等级的信息系统对安全性的要求也不同,一级安全等级要求最严格,四级安全等级要求最低。
在具体的信息系统建设和运行中,应根据系统所处的环境和对信息安全的需求,确定相应的安全等级,并按照该等级的保护要求进行设计和实施。
二、信息安全等级保护的基本要求。
1. 安全保护目标明确,根据信息系统所处的环境和对信息安全的需求,明确安全保护的目标和要求,确保安全保护工作有的放矢。
2. 安全保护措施合理有效,采取符合实际情况的安全保护措施,包括技术措施、管理措施和物理措施,合理配置安全资源,确保安全保护措施的有效性。
3. 安全保护责任明确,明确信息系统安全保护的责任主体和责任范围,建立健全的安全管理机制,确保安全保护工作的有效实施。
4. 安全保护监督检查,建立健全的安全监督检查机制,对信息系统的安全保护工作进行定期检查和评估,及时发现和解决安全隐患。
5. 应急响应能力,建立健全的信息安全事件应急响应机制,对可能发生的安全事件进行预案设计和应急演练,提高信息系统的抗风险能力。
三、信息安全等级保护标准的意义。
信息安全等级保护标准的制定和实施,对于保障国家重要信息基础设施的安全运行,维护国家安全和社会稳定具有重要意义。
同时,对于促进信息技术的发展和应用,提高信息系统的安全性和可信度,也具有积极的推动作用。
在当前信息化的大背景下,信息系统的安全性问题日益突出,各类网络攻击、信息泄露事件层出不穷。
因此,加强信息安全等级保护工作,严格按照GB/T 22239-2008标准的要求,对信息系统进行科学合理的安全保护,已成为当务之急。
信息安全等级保护划分五级及等保级别适用行业
信息安全等级保护划分五级及等保级别适⽤⾏业⽹络信息系统安全等级保护分为五级,⼀级防护⽔平最低,最⾼等保为五级,运维FUN分享等保五级划分及适⽤⾏业:信息安全等级保护等级划分及适⽤⾏业⽹络信息系统安全等级保护分为五级,⼀级防护⽔平最低,最⾼等保为五级:等保登记适⽤信息系统及⾏业信息系统破坏后侵害程度第⼀级(⾃主保护级)⼀般适⽤于⼩型私营、个体企业、中⼩学,乡镇所属信息系统、县级单位中⼀般的信息统信息系统受到破坏后,会对公民、法⼈和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第⼆级(指导保护级)⼀般适⽤于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部⼀般的信息系统。
例如⾮涉及⼯作秘密、商业秘密、敏感信息的办公系统和管理系统等。
信息系统受到破坏后,会对公民、法⼈和其他组织的合法权益产⽣严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级)⼀般适⽤于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及⼯作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联⽹运⾏的⽤于⽣产、调度、管理、指挥、作业、控制等⽅⾯的重要信息系统以及这类系统在省、地市的分⽀系统;中央各部委、省(区、市)门户⽹站和重要⽹站;跨省连接的⽹络系统等。
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级)⼀般适⽤于国家重要领域、重要部门中的特别重要系统以及核⼼系统。
例如电⼒、电信、⼴电、铁路、民航、银⾏、税务等重要、部门的⽣产、调度、指挥等涉及国家安全、国计民⽣的核⼼系统。
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级)⼀般适⽤于国家重要领域、重要部门中的极端重要系统。
信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全等级保护的定级准则和等级划分运维FUN发现很多⼤⼚都提供等保解决⽅案,对等保⽐较陌⽣的⽤户可以参考,写的很明确,⽹络信息安全值得重视!。
信息安全等级保护基本要求 2008 等保1.0
信息安全等级保护基本要求 2008 等保1.0信息安全等级保护(简称等保)是中国国家强制实施的一项信息安全制度,旨在通过对信息系统进行分级分类,实施不同级别的安全保护措施,以确保信息系统的安全和可靠运行。
2008年发布的《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008),通常被称为等保1.0,是该制度的首个正式标准。
等保 1.0将信息系统划分为五个安全保护等级,从低到高分别为:1. 一级保护:适用于安全性要求不高的信息系统,主要防范一般性的信息安全隐患。
2. 二级保护:适用于需要保护个人隐私和企业商业秘密的信息系统,要求有一定的安全防护能力。
3. 三级保护:适用于涉及国家安全、社会秩序和公共利益的信息系统,需要较高的安全防护水平。
4. 四级保护:适用于承担重要国计民生任务的信息系统,要求非常高的安全防护能力。
5. 五级保护:适用于国家安全的关键信息系统,要求最严格的安全防护措施。
等保1.0的基本要求包括以下几个方面:1. 物理安全:包括对信息系统所在环境的物理访问控制、防火、防水、防盗等措施。
2. 网络安全:包括网络隔离、入侵检测、防火墙设置、数据传输加密等措施。
3. 主机安全:包括操作系统安全加固、病毒防护、系统漏洞管理等措施。
4. 应用安全:包括软件安全开发生命周期管理、代码审计、安全测试等措施。
5. 数据安全与备份恢复:包括数据加密、完整性校验、备份策略和灾难恢复计划等措施。
6. 安全管理:包括制定安全政策、组织安全培训、进行安全审计和应急响应等措施。
等保 1.0的实施对于提升中国信息系统的安全管理水平起到了重要作用,但随着信息技术的快速发展和新的安全威胁的出现,等保1.0的一些内容已经不能完全满足当前的安全需求。
因此,中国在等保1.0的基础上进行了修订和升级,发布了《信息安全技术信息系统安全等级保护基本要求》新版本(等保2.0),以适应新的安全挑战。
等保2.0在原有基础上增加了对云计算、大数据、物联网等新技术的安全防护要求,并强化了数据安全和个人信息安全的重要性。
信息安全等级保护三级标准
信息安全等级保护三级标准
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,共分为五个等级。
其中第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统。
以下是信息安全等级保护三级标准的一些主要要求:
1. 物理安全:包括机房、设备、设施等物理环境的安全保护,如门禁系统、监控系统、防火、防水、防潮、防静电等。
2. 网络安全:包括网络结构、网络设备、网络协议等方面的安全保护,如防火墙、入侵检测系统、网络监控等。
3. 主机安全:包括服务器、终端等主机设备的安全保护,如操作系统安全、应用程序安全、补丁管理等。
4. 应用安全:包括应用系统的安全保护,如身份认证、访问控制、数据加密、安全审计等。
5. 数据安全:包括数据的存储、传输、处理等方面的安全保护,如数据备份与恢复、数据加密、数据脱敏等。
6. 安全管理:包括安全策略、安全组织、人员管理、安全培训等方面的安全管理,如安全管理制度、安全责任制度、应急响应计划等。
需要注意的是,具体的信息安全等级保护三级标准可能会因地区、行业、组织等因素而有所不同。
如果你需要更详细和准确的信息安全等级保护三级标准内容,建议参考相关的法律法规、标准规范或咨询专业的信息安全机构。
信息安全等级保护三级安全标准
信息安全等级保护三级安全标准
⼀、机房⽅⾯的安全措施需求(三级标准)如下:
1、需要使⽤彩钢板、防⽕门等进⾏区域隔离
2、视频监控系统
3、防盗报警系统
4、灭⽕设备和⽕灾⾃动报警系统
5、⽔敏感检测仪及漏⽔检测报警系统
6、精密空调
7、除湿装置
8、备⽤发电机
9、电磁屏蔽柜
⼆、主机和⽹络安全层⾯需要部署的安全产品如下:
1、⼊侵防御系统
2、上⽹⾏为管理系统
3、⽹络准⼊系统
4、统⼀监控平台(可满⾜主机、⽹络和应⽤层⾯的监控需求)
5、防病毒软件
6、堡垒机
7、防⽕墙
8、审计平台(满⾜对操作系统、数据库、⽹络设备的审计,在条件不允许的情况下,⾄少要使⽤数据库审计)
三、应⽤及数据安全层⾯需要部署的安全产品如下:
1、VPN
2、⽹页防篡改系统(针对⽹站系统)
3、数据异地备份存储设备
4、主要⽹络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
5、数据加密软件(满⾜加密存储,且加密算法需获得保密局认可)。
信息安全等级保护管理办法
信息安全等级保护管理办法一、总则信息安全作为现代社会发展的重要组成部分,在国家安全、经济安全和社会稳定方面起着至关重要的作用。
信息安全等级保护管理办法是为了加强信息安全管理,保护国家秘密和涉密信息,维护国家安全和社会稳定,制订的法律法规。
二、适用范围本办法适用于国家秘密和涉密信息的保护工作,涉密信息包括但不限于政府机关、军事、科研、教育、新闻出版、文化、卫生、金融、通信等领域的涉密信息。
三、安全等级与分级标准(一)安全等级划分国家秘密和涉密信息根据其重要性和保密程度等级,划分为绝密、机密、秘密三个等级。
(二)分级标准1. 绝密级:国家安全和国家利益、生命财产安全受到严重威胁的信息。
2. 机密级:对国家安全和国家利益、生命财产安全有重要影响的信息。
3. 秘密级:对国家安全和国家利益、生命财产安全有一定影响的信息。
四、保密责任(一)保密责任人保密责任人是指在信息系统中产生、处理、存储、传输和使用国家秘密和涉密信息的公司、组织或个人。
(二)保密责任制度1. 保密责任人应当签署保密责任书,并在党政机关或单位保密机构备案。
2. 保密责任人应当严格遵守国家保密法律法规,保守国家秘密和涉密信息。
3. 保密责任人应当定期接受保密培训,提高保密意识和保密技能。
(三)保密管理措施1. 保密管理应当实行“谁主管、谁负责”的责任制,加强保密管理人员队伍建设,建立专职的安全保密管理机构和人员。
2. 保密管理应当强化技术保障措施,采用加密技术、防窃听技术等技术手段,确保国家秘密和涉密信息传输的安全。
3. 保密管理应当建立完善的信息安全保卫制度和安全漏洞管理制度,确保信息系统的安全性和完整性。
五、事件处理保密事件是指保密责任人在信息系统的处理、传输、存储和使用过程中的违反保密规定行为。
(一)事件调查处理1. 安全保密管理人员应当按照相关规定对保密事件进行调查处理,查明事件发生原因和责任人。
2. 对于严重的保密事件,应当及时报告上级保密机构和有关部门,并采取有力措施防止类似事件再次发生。
国家信息安全等级保护测评标准
国家信息安全等级保护测评标准国家信息安全等级保护测评标准是指针对信息系统、网络、数据等安全保护等级的测评标准,旨在保护国家、企事业单位及个人信息安全,促进信息安全建设。
下面按照步骤来阐述一下这一标准的相关内容。
一、测评范围标准的测评范围主要是针对国家层面的信息系统和网络安全,包括政府机关、金融、电信、能源、医疗等领域。
测评的对象包括信息系统和网络安全产品、企事业单位的信息系统和网络、云计算等。
二、测评等级国家信息安全等级保护测评分为5个等级,分别是1级、2级、3级、4级和5级。
其中,1级为最低等级,5级为最高等级。
不同等级的测评标准不同,按照每个等级的标准合格与否来衡量信息安全等级的高低。
三、测评方法国家信息安全等级保护测评采用的是“过程+结果”双重评价方法,主要包括技术测评和文化建设两个方面。
技术测评主要是对信息系统和网络的技术性能进行评价,包括漏洞扫描、渗透测试等;文化建设主要是针对企业文化、安全管理等方面进行评价,包括安全政策和规程制定、人员培训、应急演练等。
四、测评结果测评结果主要有两个方面,一是技术阶段的测评结果,二是文化建设阶段的测评结果。
根据这两个方面的测评结果,评出具体的信息安全等级。
企事业单位可以通过国家信息安全等级保护测评标准,了解自身信息安全的现状,制定改进措施,提高信息安全水平。
五、使用建议针对国家信息安全等级保护测评标准,企事业单位可以采取以下措施来提高信息安全等级:1. 加强信息安全意识教育,提高人员安全意识。
2. 制定有效的安全管理制度和规程,严格执行。
3. 选择安全性能较高的产品和技术,保障信息系统和网络的安全。
4. 定期进行安全漏洞扫描和渗透测试,及时修复安全漏洞。
总之,国家信息安全等级保护测评标准是保障国家信息安全的重要手段,也是提高企事业单位信息安全水平的必要途径。
企事业单位应该重视此标准,在实际应用中不断优化和改进,确保信息安全得到有效的保障。
等保三级 评定标准
等保三级评定标准等保三级是指信息系统安全等级保护第三级,是我国信息安全等级保护的一种标准。
等保三级的评定标准主要包括以下几个方面:1. 安全管理制度,评定等保三级的信息系统需要建立完善的安全管理制度,包括安全管理组织结构、安全管理制度文件、安全管理责任制等方面的要求。
此外,还需要对安全管理人员进行培训,确保其具备必要的安全管理能力。
2. 安全技术措施,评定等保三级的信息系统需要在技术上采取一系列的安全措施,包括网络安全、系统安全、数据库安全、应用安全等方面的技术措施。
例如,网络安全需要采取防火墙、入侵检测系统等技术手段,系统安全需要采取访问控制、安全审计等技术手段。
3. 安全保密管理,评定等保三级的信息系统需要建立健全的安全保密管理制度,包括信息的分级保护、密钥管理、加密技术应用等方面的要求。
同时,还需要对安全保密人员进行培训,确保其具备必要的安全保密管理能力。
4. 安全应急管理,评定等保三级的信息系统需要建立完善的安全应急管理机制,包括安全事件的报告和处置、安全漏洞的管理和修复等方面的要求。
此外,还需要定期进行安全漏洞扫描和安全漏洞修复工作。
5. 安全检测评估,评定等保三级的信息系统需要定期进行安全检测评估工作,包括安全风险评估、安全漏洞扫描、安全态势感知等方面的工作。
通过安全检测评估,及时发现并解决安全隐患,确保信息系统的安全性。
总的来说,评定等保三级的信息系统需要在安全管理制度、安全技术措施、安全保密管理、安全应急管理和安全检测评估等方面都达到一定的标准,确保信息系统的安全性和稳定性。
这些评定标准的实施,可以有效提高信息系统的安全等级,保护重要信息资产的安全。
信息安全等级保护方面的标准
信息安全等级保护方面的标准《信息安全等级保护方面的标准》一、引言信息安全是当今社会不可忽视的重要议题,随着互联网和信息技术的快速发展,信息安全问题也变得愈加严峻。
为了有效保护信息安全,各国纷纷制定了一系列的信息安全等级保护标准,旨在为企业和个人提供可靠的信息安全保障。
在本文中,我们将从深度和广度两个方面对信息安全等级保护方面的标准进行全面评估,以期能够更好地理解和应用这些标准。
二、信息安全等级保护的深度探讨1. 定义和范围信息安全等级保护是指根据信息系统对信息的重要性和对信息系统的安全防护要求,对信息系统进行分级保护,采取相应的安全措施,实现信息的合理保护。
其范围涵盖了信息系统的设计、开发、运行、维护和管理等各个环节。
2. 标准体系在国际上,信息安全等级保护标准主要包括ISO/IEC 15408(通用标准)、ISO 27001(信息安全管理体系)、ISO 27002(信息安全管理实施指南)等。
这些标准形成了一套完整的信息安全管理体系,为各行业和组织提供了统一的标准依据。
3. 实施方法信息安全等级保护的实施方法主要包括风险评估、安全策略制定、安全控制措施的实施和监控、安全培训等。
通过科学合理的实施方法,可以有效保障信息系统的安全性。
4. 评估和认证对信息系统进行定期的评估和认证是信息安全等级保护的重要环节。
只有通过权威机构的评估和认证,信息系统才能被认定为具有一定的安全等级,并得到相应的信任和认可。
三、信息安全等级保护的广度探讨1. 行业应用信息安全等级保护标准已被广泛应用于金融、电信、能源、交通、医疗等各个行业。
不同行业根据自身特点和需求,结合信息安全等级保护标准,制定了相应的行业标准,以确保信息安全的可靠性和有效性。
2. 法律法规各国家和地区纷纷出台了相关的信息安全法律法规,规范了信息安全等级保护的具体要求和程序。
这些法律法规为信息安全等级保护提供了法律依据,促进了信息安全标准的推广和实施。
3. 国际合作在信息安全等级保护方面,各国之间开展了广泛的国际合作,共同制定了一系列国际标准和协议,加强了信息安全的国际交流与合作,推动了信息安全等级保护标准的国际化进程。
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择(G3) (6)1.1.1.2 物理访问控制(G3) (6)1.1.1.3 防盗窃和防破坏(G3) (7)1.1.1.4 防雷击(G3) (7)1.1.1.5 防火(G3) (8)1.1.1.6 防水和防潮(G3) (8)1.1.1.7 防静电(G3) (8)1.1.1.8 温湿度控制(G3) (9)1.1.1.9 电力供应(A3) (9)1.1.1.10 电磁防护(S3) (9)1.1.2 网络安全 (10)1.1.2.1 结构安全(G3) (10)1.1.2.2 访问控制(G3) (10)1.1.2.3 安全审计(G3) (11)1.1.2.4 边界完整性检查(S3) (12)1.1.2.5 入侵防范(G3) (12)1.1.2.6 恶意代码防范(G3) (13)1.1.2.7 网络设备防护(G3) (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别(S3) (14)1.1.3.2 访问控制(S3) (14)1.1.3.3 安全审计(G3) (15)1.1.3.4 剩余信息保护(S3) (16)1.1.3.5 入侵防范(G3) (16)1.1.3.6 恶意代码防范(G3) (17)1.1.3.7 资源控制(A3) (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别(S3) (18)1.1.4.2 访问控制(S3) (18)1.1.4.3 安全审计(G3) (19)1.1.4.4 剩余信息保护(S3) (20)1.1.4.5 通信完整性(S3) (20)1.1.4.6 通信保密性(S3) (20)1.1.4.7 抗抵赖(G3) (20)1.1.4.8 软件容错(A3) (21)1.1.4.9 资源控制(A3) (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性(S3) (22)1.1.5.2 数据保密性(S3) (22)1.1.5.3 备份和恢复(A3) (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度(G3) (23)1.2.1.2 制定和发布(G3) (24)1.2.1.3 评审和修订(G3) (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置(G3) (25)1.2.2.2 人员配备(G3) (25)1.2.2.3 授权和审批(G3) (26)1.2.2.4 沟通和合作(G3) (26)1.2.2.5 审核和检查(G3) (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用(G3) (28)1.2.3.2 人员离岗(G3) (28)1.2.3.3 人员考核(G3) (29)1.2.3.4 安全意识教育和培训(G3) (29)1.2.3.5 外部人员访问管理(G3) (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级(G3) (30)1.2.4.2 安全方案设计(G3) (30)1.2.4.3 产品采购和使用(G3) (31)1.2.4.4 自行软件开发(G3) (32)1.2.4.5 外包软件开发(G3) (32)1.2.4.6 工程实施(G3) (33)1.2.4.7 测试验收(G3) (33)1.2.4.8 系统交付(G3) (34)1.2.4.9 系统备案(G3) (35)1.2.4.10 等级测评(G3) (35)1.2.4.11 安全服务商选择(G3) (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理(G3) (36)1.2.5.2 资产管理(G3) (37)1.2.5.3 介质管理(G3) (37)1.2.5.4 设备管理(G3) (38)1.2.5.5 监控管理和安全管理中心(G3). 39 1.2.5.6 网络安全管理(G3) (40)1.2.5.7 系统安全管理(G3) (41)1.2.5.8 恶意代码防范管理(G3) (42)1.2.5.9 密码管理(G3) (43)1.2.5.10 变更管理(G3) (43)1.2.5.11 备份与恢复管理(G3) (43)1.2.5.12 安全事件处置(G3) (44)1.2.5.13 应急预案管理(G3) (45)第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
信息安全技术计算机信息系统安全保护等级划分准则
信息安全技术计算机信息系统安全保护等级划分准则下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!随着信息技术的快速发展,计算机信息系统的安全保护问题日益受到重视。
国家信息安全等级保护标准
国家信息安全等级保护标准国家信息安全等级保护标准(以下简称“保护标准”)是中华人民共和国国家标准,旨在规范和提升我国信息系统安全防护水平,保护国家机密信息和重要信息基础设施的安全。
保护标准共分为四个等级,分别是一级、二级、三级和四级。
其中一级为最高等级,四级为最低等级。
各个等级根据信息系统所需的信息安全防护能力和技术措施来确定。
保护标准的实施范围包括国家行政机关、军事、科研、教育、金融、电信、能源、交通、水利、卫生、社会保障等行业和领域。
同时,非国家行政机关、重要信息基础设施也可以根据自身需要采用保护标准。
保护标准主要包括以下重要内容:1.标准体系结构:规定了保护标准的组织结构和标准体系,明确了各个等级的划分原则和技术要求。
通过建立标准体系,可以统一各个行业和领域的信息安全防护力度,提升整体的防护能力。
2.安全需求分析:为不同的信息系统进行安全需求分析,根据系统的特点和所处环境确定相应的等级。
通过分析系统的安全需求,可以针对性地制定相应的技术措施,提高防护效果。
3.技术要求:根据不同等级的系统安全需求,制定了相应的技术要求。
包括身份认证、访问控制、数据加密、系统完整性保护、事件响应等方面的要求。
技术要求的制定旨在提供有效的技术手段,防止信息泄露和系统遭受攻击。
4.评估与认证:对采用保护标准的信息系统进行定期的评估和认证。
评估过程包括对系统安全性进行检查,验证系统是否满足相应等级的技术要求。
认证过程则是对评估结果进行审查和确认,从而获得认证证书。
5.运行与维护:明确了信息系统运行和维护的要求。
包括安全事件的处理、安全培训和演练、系统升级与漏洞修复等方面的内容。
运行与维护的要求有助于保持信息系统的稳定性和安全性。
保护标准的实施对于提升我国信息系统的安全防护能力、保护国家机密信息和重要信息基础设施安全具有重要的意义。
通过统一的标准和要求,可以建立一个有效的信息安全管理体系,提高信息系统的整体安全性和可靠性。
《信息系统安全等级保护基本要求》二级三级等级保护要求比较
《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护基本要求是我国国家信息安全等级保护标准之一,对于不同等级信息系统的安全保护提出了具体的要求。
其中,二级和三级等级保护是较为常见的两个等级,下面将比较这两个等级的要求。
一、二级等级保护要求1.信息安全管理制度:建立信息安全管理制度,确保信息系统安全管理责任制的落实。
2.安全性策略与目标:制定合适的安全策略与目标,并进行验证和审计。
3.安全组织:建立专门的安全组织,明确安全岗位职责,并对人员进行安全培训。
4.安全审计:定期进行安全审计,并进行安全事件的记录和处理。
5.访问控制:对用户进行身份验证和权限控制,禁止未授权的访问。
6.信息传输保护:对信息传输进行加密保护,确保信息的机密性和完整性。
7.安全配置管理:对系统进行安全配置管理,包括操作系统的安全设置、服务和应用程序的维护等。
8.安全事件管理:建立安全事件管理机制,及时响应和处理安全事件,防止更大的损失。
二、三级等级保护要求1.安全管理制度:建立健全的信息安全管理制度,确保安全管理责任的落实。
2.安全审计:建立安全审计机制,对系统进行定期审计,记录重要的安全事件。
3.安全组织:建立专门的安全组织,明确安全职责和权限,对人员进行安全培训。
4.安全策略与目标:制定具体的安全策略和目标,并进行评审和改进。
5.访问控制:建立完善的访问控制机制,对用户进行身份验证和权限控制。
6.安全配置管理:建立安全配置管理体系,对系统进行安全配置和维护。
7.安全事件管理:建立安全事件管理体系,及时响应和处理安全事件,防止损失扩大。
8.信息传输保护:对信息进行加密保护,确保信息传输的机密性和完整性。
9.安全备份与恢复:建立完善的系统备份与恢复机制,确保系统数据的安全和可用性。
从上述要求可以看出,三级等级保护要求相对于二级等级保护要求更加严格和细化。
三级等级保护增加了安全策略与目标制定、安全备份与恢复等方面的要求,并对安全审计、安全组织、访问控制等方面的要求更为具体和严格。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全国信安标委秘书处 上官晓丽国家信息安全等级保护安全建设工程师培训二○一五年十一月一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( standard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( standardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
标准制定中要体现该原则。
(三)中华人民共和国国务院2012年6月28日发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(即国务院23号文件)中再次强调“落实信息安全等级保护制度,开展相应等级的安全建设和管理”,“加快法规制度和标准建设”,“中央财政加大投入,重点支持信息安全战略研究和标准制定....等重要基础性工作。
”(四)2013年3月在《中华人民共和国国民经济和社会发展十二五规划纲要》中要求:健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系。
(五)2015年2月11日李克强主持召开的国务院常务会议指出:在涉及公众利益的健康、安全、环保等领域建立统一的强制性国家标准,逐步缩减推荐性标准,推动向公益性标准过渡。
......提高标准国际化水平。
◆我国信息安全标准化工作最早可追溯到20世纪80年代。
回顾我国二十多年的信息安全标准化发展经历,可以简单分为两个阶段。
◆第一个阶段是从最开始到2002年,这期间信息安全还没有引起人们的高度重视,标准化工作都是由各部门和行业根据行业业务需求分别制定,没有统筹规划和统一管理,各部门相互之间缺少沟通和交流。
◆第二个阶段是2002年以后,我国成立全国信息安全标准化技术委员会,全面规划和管理我国信息安全国家标准。
◆我国于1984年7月在信息技术标准化技术委员会之下组建了数据加密标准化分技术委员会,1985年发布了第一个有关信息安全方面的标准;◆1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会。
◆该分技术委员会本着积极采用国际标准的原则,将一批国际信息安全基础技术标准转化成国家标准,为我国信息安全标准化工作奠定了初步基础。
◆在上述分委员会的推动下,公安部、安全部、国家保密局、国家密码管理委员会(现国家密码管理局)和军队有关部门等参与下,制定了一批信息安全的国家或行业标准,为推动我国信息安全技术在各行业的应用和普及发挥了积极作用。
其标准系列编号主要有:GB、GB/T、GJB、BMB、GA、YD等。
2002年4月, 全国信息安全标准化技术委员会(简称信安标委,编号TC260)成立,它是国家标准化管理委员会的直属标委会,其职责是从事全国信息安全标准化工作,统一协调和申报信息安全国家标准年度计划项目,组织国家标准的送审、报批、宣贯等工作。
在国家标准委和工信部的领导下,在公安部、安全部、国家保密局、国家密码管理局、国家认监委和总参等相关部门的指导和大力支持下,根据《国家信息安全“十一五”规划》(以下简称《规划》)要求,我国信息安全标准化沿着采用国际标准与自主研制并重的工作思路,取得了卓有成效的成绩,研究制定了一大批信息安全国家标准,已初步建立了我国信息安全标准体系,有力支持了我国信息安全保障体系建设。
正式发布国家标准:162项正在执行国标计划:169项信息安全等级保护标准化工作发展◆1994年国务院发布147号令即公布《中华人民共和国计算机信息系统安全保护条例》之后。
公安部在国家发改委支持下通过执行国家专项“1110 工程”,开始系统地制定国家信息安全标准,90 年代末形成一批急需的信息安全标准,其中包括信息安全第一个强制性标准---GB17859-1999。
◆近几年,为组织各单位、各部门开展信息安全等级保护工作,公安部根据法律授权,会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作,出台了一系列政策文件,构成了信息安全等级保护政策体系,为指导各地区、各部门开展等级保护工作提供了政策保障。
同时,在国内有关部门、专家、企业的共同努力下,制定了信息安全等级保护工作需要的一系列标准,形成了信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
信息安全等级保护标准发挥的作用(一)支撑作用。
信息安全等级保护标准是国家信息安全政策、法律和法规在技术和技术管理领域的体现,发挥着技术支撑作用。
(二)规范作用。
信息安全标准在信息安全等保建设中,起着指标和度量作用,发挥了规范和检验作用。
(三)指导作用。
标准在信息安全等保工作中发挥了统一信息安全术语、概念、框架和路线图的作用。
(四)基础作用。
现有标准既是信息安全工作的基础和里程碑,又是新标准的起点。
(五)培训作用。
标准及其解释本身就是一部信息安全专业的理论及最佳实践的经验总结,也是信息安全的基础教材何为“ 标准体系”▪国家标准GB/T 13016-2009《标准体系表编制原则和要求》明确了标准体系研究的基本概念、编制原则和基本方法▪标准体系是客观存在的标准有机整体,是标准的集合。
标准体系是通过系统的标准化指导行业、机构团体、产品、服务或工程项目等,从而达到整体的最佳效益。
标准体系表用以表达标准体系的构思、设想、整体规划,包括标准体系结构图和明细表,也可通过辅助的矩阵图或板块图等表示。
标准体系表是表达标准体系概念的模型。
▪GB/T 13016-2009规定“标准体系表的编制,应首先明确建立标准体系的目的。
不同的目的,可以编制出不同的标准体系表。
”标准分类▪目前尚无统一的标准分类理论和方法。
各标准组织基本上是根据各自的实践经验和实际需要,划分标准类别(分析),构建标准体系(综合),而且在不断进行调整。
▪国际上来讲,很少谈及标准体系,更多讲的是标准路线图,与体系不同的话,包括了对每项涉及到的标准化的制定时间表,更有计划性。
(一)国际标准化组织的标准分类ISO/IEC JTC1 SC27是国际标准化组织(ISO)和国际电工委员会(IEC)在信息技术领域共同成立的第一联合技术委员会(JTC1)下属的信息安全分技术委员会,专门负责信息与信息通信技术(ICT)安全标准研制工作。
下设5个工作组,见下图。
(二)我国信息安全标准分类我国信息安全有关部门多年来对信息安全标准分类方法进行了持续研究,并从不同角度先后提出了多种分类方法。
如:◆全国信息安全标准化技术委员会编制的《信息安全标准体系》(V1.0);◆全国信息安全标准化技术委员会秘书处编印《信息安全国家标准目录》V2.0版)◆国家信息安全等级保护工作协调小组办公室组织专家和标准起草单位共同编写的《信息安全等级保护主要标准简要介绍》等等。
《信息安全标准体系》是全国信息安全标准化技术委员会的技术文件,用于指导信息安全标准制定和信息安全标准实施。
2005年,形成《国家信息安全标准体系》v1.02014年,形成《国家信息安全标准体系》v4.0该标准体系v4.0,密切结合全国信息安全标准化技术委员会的组织架构体系和近年来信息安全国家标准研究与制定情况,对现有信息安全国家标准进行了归类和整理而提出的。
该标准体系编制原则:力图体现既能保持与国际接轨,又能体现全国信息安全标准化技术委员会的工作特点;既能反映标准体系的共性,又能体现信息安全标准化的特征。
国家信息安全标准体系▪是由信息安全领域内具有内在联系的标准组成的科学有机整体;▪是编制信息安全标准制、修订计划的重要依据;▪是促进信息安全领域内的标准组成趋向科学合理化的手段;▪是一幅现有、应有和预计制定信息安全标准的蓝图,并随着科学技术的发展不断地完善和更新。
国家信息安全标准体系主要由体系框架和标准明细表两部分组成,为现阶段信息安全标准制、修订提供依据,为信息安全保障体系建设提供支撑.信息安全技术标准从总体上可划分为七大类:▪基础标准▪技术与机制标准▪管理标准▪测评标准▪密码标准▪保密标准▪通信安全标准在每一大类的基础上,可按照标准所涉及的主要内容进行细分。
管理标准基础标准技术与机制标准测评标准信息安全技术标准体系安全术语体系结构模型框架密码技术保密技术标识与鉴别授权与访问控制实体管理物理安全管理基础管理体系管理支撑技术信息安全服务测评基础产品测评系统测评密码基础密码技术密码管理保密技术保密管理2、2009年10月国家信息安全等级保护工作协调小组办公室组织专家和标准起草单位编写的《信息安全等级保护主要标准简要介绍》一文中提出的信息安全等级保护标准分类是:(1)基础类标准(2)应用类标准( 3)产品类标准(4)其他类标准《信息系统安全等级保护实务》一书介绍等保标准即采用此分类法。
4、本文介绍等级保护标准采用的分类:(1)信息系统安全等级保护基础标准(2)信息系统安全等级保护建设与测评标准(3)信息系统安全等级保护管理标准(4)信息安全产品技术要求与测评标准(5)信息安全等级保护物理安全标准这个分类以信息安全等级保护标准已有分类方法为基础,参考了国内外信息安全标准分类的方案,并结合等级保护标准发展的实际情况。