信息安全等级保护基本要求使用介绍

信息安全等级保护基本要求信息安全等级保护基本要求是指为了确保信息系统的安全性，制定的一系列规范和要求。

本文将从信息安全等级保护的背景、基本要求、实施方法等方面进行阐述。

一、背景介绍随着信息技术的快速发展，信息系统在各个领域的应用日益广泛，信息安全问题也日益突出。

为了保护重要信息和数据的安全，减少信息泄露和损失，国家制定了信息安全等级保护基本要求，以规范和引导各类信息系统的安全建设。

二、基本要求1. 安全等级划分：按照信息系统的重要性和风险程度，将信息系统划分为不同的安全等级。

根据不同等级的安全需求，确定相应的安全措施和要求。

2. 安全管理机构：建立专门的安全管理机构，负责信息安全管理和监督，制定相关的安全制度和管理规范。

3. 安全策略和方案：制定信息安全策略和方案，明确信息系统的安全目标和措施，保证信息系统的可用性、保密性和完整性。

4. 安全技术措施：采用多种安全技术手段，包括身份认证、访问控制、加密等，确保信息系统的安全性。

5. 安全培训与教育：加强对信息安全意识的培训和教育，提高用户的安全意识和技能，降低人为因素对信息安全的影响。

6. 安全审计与监控：建立完善的安全审计和监控机制，对信息系统的运行状态和安全事件进行监测和分析，及时发现和处理安全漏洞和威胁。

7. 安全应急响应：建立健全的安全应急响应机制，对安全事件进行及时响应和处理，减少安全事故的影响和损失。

8. 安全评估和测试：定期进行安全评估和测试，发现和解决潜在的安全问题，保证信息系统的安全性和稳定性。

9. 安全管理和维护：建立信息系统的安全管理和维护制度，包括安全备份、漏洞修复、系统更新等，保证信息系统的正常运行和安全可靠。

10. 安全保密和法律法规：严格遵守保密规定和相关法律法规，保护用户的隐私和合法权益，防止信息泄露和滥用。

三、实施方法1. 制定安全管理制度：建立完善的信息安全管理制度，明确安全管理的责任和权限，确保安全管理的规范和有效性。

《信息系统安全等级保护基本要求》信息系统安全等级保护基本要求是国家对信息系统安全等级保护的最低要求。

它是根据信息系统的功能、存储的信息及其价值以及威胁等级等因素来确定。

下面我们来详细了解一下《信息系统安全等级保护基本要求》的内容。

信息系统安全等级保护基本要求主要包括以下几点：1.信息系统的访问控制。

要求确保信息系统的访问只限于合法用户，并且对不同权限的用户设置相应的权限控制。

这样可以有效防止非授权用户对信息系统进行访问和操作，从而保护信息系统的安全。

2.用户身份认证与鉴别。

要求在用户访问信息系统时，必须进行身份认证和鉴别，确保用户是合法的，并且只允许合法用户访问和使用信息系统。

常见的身份认证方式包括密码、指纹、虹膜等。

3.信息传输保护。

要求在信息的传输过程中，对信息进行加密，防止信息在传输过程中被非法获取或篡改。

同时，对传输通道进行保护，确保信息传输的完整性和可靠性。

4.安全审计与日志记录。

要求对信息系统的使用情况进行记录和审计，确保信息系统的安全使用。

同时还要求对日志进行保护，防止日志被篡改或删除。

5.数据备份与恢复。

要求对重要数据进行定期备份，并确保备份数据的完整性和可用性。

同时还要求能够对备份数据进行快速恢复，以确保数据的安全性和连续性。

6.应急响应与漏洞管理。

要求建立健全的安全事件应急响应机制，能够及时响应和处理安全事件。

同时还要求定期对系统进行漏洞扫描和管理，及时修补系统的漏洞，防止黑客利用漏洞进行攻击。

7.物理安全控制。

要求对信息系统的物理环境进行安全控制，防止非授权人员进入系统机房。

同时还要求对物理设备进行保护，避免遭受破坏或盗窃。

8.安全管理与培训。

要求建立健全的安全管理制度，明确安全责任和安全控制措施。

同时还要求对系统使用人员进行安全培训，提高用户对信息安全的意识和能力。

《信息系统安全等级保护基本要求》的实施是为了保护国家的信息系统安全。

只有确保信息系统的安全性，才能保证国家的信息安全。

信息安全技术—信息系统安全等级保护基本要求下载提示：该文档是本店铺精心编制而成的，希望大家下载后，能够帮助大家解决实际问题。

文档下载后可定制修改，请根据实际需要进行调整和使用，谢谢！本店铺为大家提供各种类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，想了解不同资料格式和写法，敬请关注！Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!一、引言信息系统的安全等级保护是保障信息系统安全、维护国家安全和社会稳定的重要举措。

工业控制系统信息安全等级保护基本要求概述首先，工业控制系统信息安全等级保护需要建立完善的安全管理体系。

企业应建立专门的信息安全管理机构和岗位，明确相关人员的责任和权限，并建立健全的信息安全管理制度和程序，确保信息资产的安全运行和使用。

其次，工业控制系统信息安全等级保护需要进行风险评估和安全保护措施的规划。

企业应对工业控制系统中的信息资产进行全面的风险评估，找出潜在的信息安全风险和威胁，然后制定相应的安全保护措施和计划，包括安全策略、安全技术、安全控制和安全服务等。

再次，工业控制系统信息安全等级保护需要加强系统安全防护。

企业应采取合适的技术手段和安全措施，对工业控制系统中的信息进行加密保护，建立访问控制和认证措施，设置安全检测和防护设备，防止病毒、木马和网络攻击等安全威胁。

最后，工业控制系统信息安全等级保护需要加强安全监控和应急响应。

企业应建立健全的安全监控机制，实施安全事件的实时监测和告警，加强安全事件的分析和处置，及时掌握和处理安全风险和威胁，保障工业控制系统信息的安全可靠运行和应急响应能力。

工业控制系统信息安全等级保护是一个综合性的工作，需要全面考虑技术、管理和人员等多方面因素。

保护工业控制系统信息安全等级不仅仅是企业内部的事务，也受到政府监管和国际标准的影响。

因此，企业需要深入了解信息安全管理的最新动向和政策法规，严格遵守相关规定和标准，确保工业控制系统的信息安全等级达到国家和国际的要求。

在保护工业控制系统信息安全等级的过程中，企业需要考虑以下几个方面：1. 加强人员安全意识和培训。

作为信息安全的第一道防线，人员的安全意识和行为对工业控制系统的信息安全等级至关重要。

企业应该加强员工的信息安全教育和培训，让员工充分了解信息安全政策、风险和威胁，掌握安全使用信息系统的方法和技巧，形成良好的安全意识和行为习惯。

2. 加强物理安全措施。

工业控制系统信息安全等级保护不仅仅是网络和软件层面的安全，还需要考虑到物理设施的安全。

基本要求规定的范围：对象：不同安全保护等级信息系统内容：基本技术要求管理要求作用：指导分等级信息系统安全建设监督管理引用：保护等级：依重要程度、危害程度、由低到高分5级见：GB/T 22240-2008不同等级的安全保护能力：共5级基本技术要求和管理要求：信统安全等保应让系统有它们相应等级的基本安全保护能力。

基本安全要求，依实现方式，分基本技术要求、基本管理要求。

技术要求：立基于技术安全机制，通过在信统中部署软硬件，正确配置其安全功能。

管理要求：聚焦于信统中各种角色和角色参与的活动。

控制角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求：从物理、网络、主机、应用和数据安全，4个层面提出要求。

基本管理要求：从安全管理制度、机构、人员、系统建设、运维几方面提要求。

基本安全要求从各个层面方面，提出系统的每个组件应该满足的安全要求。

整体的安全保护能力依赖于其内部各不同组件的安全实现来满足。

基本技术要求的三种类型：技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改的要求（S 要求）保护系统正常运行、免受对系统未授权修改、破坏而导致系统不可用的服务保护类要求（S 要求）通用安全保护类要求（G要求）第一级基本要求：技术要求：物理安全：访问控制：防盗窃、破坏：防雷击：防火：防水和防潮：温湿度控制：电力控制：网络安全：结构安全：a.保证关键网络设备的业务处理能力满足基本业务需要b.保证接入网络和核心网络的带宽满足基本业务需要c.绘制与当前运行情况相符的网络拓扑结构图访问控制：（G1）a.在网络边界部署访问控制设备，启用访问控制功能b.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，允许/拒绝数据包出入c.通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。

网络设备防护：a.应对登录网络设备的用户进行身份鉴别b.有登录失败处理功能，采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c.对网络设备进行远程管理时，采措施防止信息传输中被窃听主机安全：身份鉴别：（S1）对登录操作系统和数据库系统的用户进行身份标识和鉴别。

信息安全技术网络安全等级保护基本要求1. 信息安全管理1.1 建立健全信息安全管理制度，明确信息管理责任，提高信息安全水平。

1.2 制定信息安全管理文件，细化责任和程序，明确有关安全规定和管理责任，保证信息安全管理有条理和标准性。

2. 设备和程序安全管理2.1 建立和完善安全设备和程序的安装，维护，升级和替换的有效管理机制，确保系统安全性。

2.2 加强向管理机构和用户宣传安全性，按要求强制执行安全管理规定，保障用户使用设备和程序安全性。

3. 信息安全认证3.1 根据安全等级对涉及业务活动信息系统实施经过验证和证明的确定安全合格程度的信息安全认证，以保证系统可控可审计性。

3.2 根据安全要求，对实施认证的信息系统实施定期安全认证，确保认证的有效性。

4. 网络安全审计4.1 建立和完善网络安全审计机制，对网络安全风险进行定期审计，评估系统安全。

4.2 对发生违规行为实施严厉处罚，以确保网络安全受到有效保护，制止用户弄虚作假。

5. 违禁软件与非法访问保护5.1 进行冒充软件的实时监测，发现并防止运行违禁软件的电脑病毒，采取相应措施以避免系统安全被破坏。

5.2 抵制非法用户和违法信息的访问，定期对用户的访问行为进行审查，从而确保访问安全。

6. 信息安全培训6.1 为使用者提供安全技术培训，让他们掌握安全管理、访问限制和安全意识培育等内容，熟悉各类安全控制手段和措施，以提升安全知识。

6.2 实施定期管理性培训，使用者学习如何有效地运用安全控制手段、安全管理原则和安全技术控制，保证信息系统安全可持续发展。

7. 消息安全管理7.1 对信息源进行层层安全管理，控制和限制信息传播和接收，禁止异常和违反安全规定的信息流动。

7.2 建立和完善信息源安全认证系统，按规定执行安全规则，进行安全交换，有效保障信息安全性。

8. 以上，是信息安全技术网络安全等级保护基本要求的概括，为保证信息安全，必须切实做好上述各项要求，确保网络安全等级的不断提高。

信息系统安全等级保护基本要求信息系统安全等级保护是指在安全风险评估的基础上，通过实行相应的技术、管理和组织措施，保障信息系统的安全性、完整性、可用性，防止信息泄露、篡改、破坏和否认等安全事件的发生。

信息系统安全等级保护已成为各个行业的必需和政府组织的紧要任务，对于保障国家安全、保护企业利益和个人隐私具有特别紧要的意义。

本文将从安全等级的划分、保护要求和管理措施三个方面介绍信息系统安全等级保护基本要求。

一、安全等级的划分信息系统安全等级的划分需要依据信息系统的紧要性、敏感度、保密等级、功能需求和安全风险等级等方面进行评估。

我国安全等级管理体系共分为四个等级：初级、一级、二级、三级。

其中四个等级分别对信息系统的保护要求进行了不同的划分，大体分为以下几个方面。

1.初级保护初级保护适用于对信息曝光和信息服务进行简单保护的网络系统，划分在初级保护等级的信息系统重要是一般的网站和信息发布平台。

初级保护作为等级保护中的最低级别，在保障系统基本的安全性和完整性的同时，强调在安全使用和管理上的规范。

保护要求：初级保护要求系统采纳常规火墙、入侵检测、杀毒软件等技术手段进行保护。

系统设置应采纳最小权限原则，用户权限仅限于其职权范围内。

同时，定期备份数据，完整记录、存储和管理系统日志。

2.一级保护一级保护适用于需要进行基本保密的网络系统，一级保护重要适用于机构、公司内部的信息系统，以对信息的渗透和泄露进行肯定的保护。

保护要求：在一级保护中，系统可以采纳多层次安全防护体系，采纳IPSEC、VPN、SSL等方式进行数据传输加密及用户身份认证。

系统的日志备份要定期进行，备份数据要保证数据的完整性和适时性。

同时，对于系统中的数据能够进行备份、存储和恢复功能的测试。

3.二级保护二级保护适用于国家紧要部门以及紧要企业的需要保密的网络系统，二级保护重要适用于信息敏感度高、保密性强、危害性大的信息系统。

保护要求：在二级保护的系统中需要采纳安全认证、虚拟专用网、访问掌控等多种保护手段，使得系统的可用性、牢靠性和安全性得到加强。

信息系统等级保护基本要求2.0一、引言在当今数字化时代，信息系统的安全性和保护至关重要。

信息系统等级保护基本要求2.0（以下简称为“基本要求2.0”）作为信息安全领域的重要标准，对于保障信息系统的安全运行起着至关重要的作用。

本文将从深度和广度的角度，全面探讨基本要求2.0的重要性、实施要求以及对信息系统安全的价值。

二、基本要求2.0的重要性1.1 关于信息系统等级保护信息系统等级保护是指针对不同级别和类型的信息系统，根据其保护需求和安全防护能力，进行等级划分和要求规定的一种保护措施。

基本要求2.0作为信息系统等级保护的基本规范和要求，对于保障国家重要信息系统的安全运行至关重要。

1.2 对信息系统安全的价值基本要求2.0的实施，可以有效提高信息系统的安全性和保护等级，降低信息系统遭受安全威胁的风险。

通过严格的安全要求和规范，可以有效保护国家重要信息资源的安全，确保国家安全和社会稳定。

基本要求2.0在信息系统安全领域的重要性不言而喻。

三、基本要求2.0的实施要求2.1 安全标准和控制要求基本要求2.0包括了丰富的安全标准和控制要求，涵盖了信息系统安全的各个方面，包括物理安全、网络安全、应用安全等。

实施基本要求2.0需要全面理解和严格执行这些安全标准和控制要求，确保信息系统的全面安全保护。

2.2 安全管理和运行要求基本要求2.0还对信息系统的安全管理和运行提出了严格要求，包括安全管理制度的建立、安全运维的实施等。

实施基本要求2.0需要建立健全的安全管理体系，确保信息系统的安全性和稳定性。

四、对基本要求2.0的个人观点和理解基本要求2.0的实施对于信息系统的安全具有重要意义，但同时也需要充分考虑信息系统的灵活性和可用性。

在实施基本要求2.0的过程中，需要充分考虑信息系统的应用场景和特点，灵活运用各项安全标准和控制要求，确保信息系统的安全性与可用性的平衡。

五、总结与回顾基本要求2.0作为信息安全领域的重要标准，对于保障信息系统的安全运行具有重要意义。

信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护是指根据信息系统的重要性和敏感程度，对信息系统进行分级保护，以保障信息系统的安全运行和信息的保密性、完整性、可用性。

信息系统安全等级保护的基本要求是确保信息系统在不同等级保护下的安全性，有效防范各类安全威胁和风险，保障信息系统的正常运行和信息的安全。

首先，信息系统安全等级保护要求对信息系统进行等级划分。

根据信息系统的重要性和敏感程度，将信息系统划分为不同的安全等级，确定相应的安全保护措施和技术要求。

不同等级的信息系统应有相应的安全保护措施，确保系统的安全性符合相应的等级要求。

其次，信息系统安全等级保护要求建立健全的安全管理制度。

建立健全的信息安全管理制度，包括安全责任制、安全管理制度、安全培训制度等，明确各级管理人员和操作人员的安全责任和权限，加强对信息系统安全管理的监督和检查，确保安全管理制度的有效执行。

另外，信息系统安全等级保护要求加强对信息系统的安全防护。

采取有效的安全防护措施，包括网络安全防护、主机安全防护、数据安全防护等，确保信息系统在面对各种安全威胁时能够有效防范和抵御，保障信息系统的安全运行。

再者，信息系统安全等级保护要求建立完善的安全监控和应急响应机制。

建立安全事件监控和应急响应机制，对信息系统的安全事件进行实时监控和分析，及时发现和处置安全事件，减少安全事件对信息系统的影响，保障信息系统的安全性和稳定性。

最后，信息系统安全等级保护要求加强安全保密工作。

加强对信息系统的安全保密工作，包括信息的加密传输和存储、访问控制、身份认证等，确保信息系统中的重要信息不被泄露和篡改，保障信息的保密性和完整性。

综上所述，信息系统安全等级保护的基本要求是对信息系统进行等级划分，建立健全的安全管理制度，加强安全防护，建立完善的安全监控和应急响应机制，加强安全保密工作。

只有全面满足这些基本要求，才能有效保障信息系统的安全性和稳定性，确保信息的保密性、完整性和可用性。

信息系统安全等级保护基本要求概述引言随着信息技术的迅猛发展，信息系统已成为企业及个人日常工作不可或缺的一部分。

然而，信息系统的安全性面临着日益严峻的挑战，黑客、病毒、恶意软件等安全威胁不断涌现。

为了维护信息系统的安全，保护数据资产，国家相关机构不断加强对信息系统安全等级保护的要求。

本文将概述信息系统安全等级保护的基本要求。

信息系统安全等级保护介绍信息系统安全等级保护是一种从安全需求出发，通过对信息系统及相关环境进行安全评估、安全设计和安全运维，保证信息系统安全的一种综合性保护措施。

信息系统安全等级保护分为多个等级，不同等级对系统安全的要求不同。

信息系统安全等级保护的基本要求包括：系统安全需求、系统安全性能、系统安全保障措施、系统版本控制、安全工程管理。

系统安全需求系统安全需求是指在信息系统安全等级保护中确定系统安全性能的目标和要求。

对于不同的信息系统，其安全需求各不相同。

信息系统安全需求应考虑到系统的保密性、完整性、可用性等方面，确保信息系统在各个方面具备安全性。

系统安全需求的确定需要充分了解系统的功能和特性，技术人员应全面考虑系统使用环境和威胁情况，确保系统满足最低的安全要求。

系统安全性能系统安全性能是指信息系统在安全性方面的性能表现。

信息系统应具备一定的安全性能，保证系统在遭受安全威胁时能够有效抵抗攻击、保护系统的数据和资源不受破坏。

系统安全性能的评估可以通过对系统的安全性能测试和实际应用情况的监测来完成。

安全性能的要求包括系统的可靠性、可控性、鲁棒性和自适应性等方面。

系统安全保障措施系统安全保障措施是指为了实现信息系统安全等级保护要求而采取的各种技术和管理措施。

系统安全保障措施应包括物理保障措施、技术保障措施和管理保障措施。

物理保障措施主要包括安全区域划定、访问控制、监控和报警等；技术保障措施主要包括身份验证、数据加密、漏洞修补等；管理保障措施主要包括安全策略制定、培训教育、安全事件响应等。

信息系统安全等级保护基本要求内容信息系统安全等级保护基本要求1 围本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导分等级的信息系统的安全建设和监督管理。

2 规性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。

3.1安全保护能力 security protection ability系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。

4 信息系统安全等级保护概述4.1 信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA-AAAA。

4.2 不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间恢复部分功能。

信息系统安全等级保护基本要求信息系统安全等级保护基本要求是根据我国《信息安全等级保护管理办法》所规定的要求，为保护信息系统安全，进行信息分类和安全等级划分，确定了不同等级信息系统的安全保护要求。

下面将从信息系统安全等级划分和保护基本要求两个方面进行详细介绍。

一、信息系统安全等级划分我国将信息系统安全等级划分为5个等级，分别是1级到5级，等级越高，对信息系统的安全保护要求越严格。

具体划分如下：1.1级：对一般性风险的系统，主要保护系统的基本功能和敏感信息，主要依靠常规的技术手段进行保护。

2.2级：对重要性风险的系统，主要保护系统的基本功能和关键数据，主要依靠成熟的技术手段进行保护。

3.3级：对较大风险的系统，主要保护系统的基本功能和核心数据，需要采取更加严格的技术手段进行保护。

4.4级：对重大风险的系统，主要保护系统的基本功能和重要数据，需要采取高级的技术手段进行保护。

5.5级：对特大风险的系统，主要保护系统的基本功能和最重要的数据，需要采取最高级的技术手段进行保护。

1.安全策略和制度要求：要制定相关的安全策略和制度，明确责任和权限，建立健全的安全管理制度，明确信息系统的安全目标和保护措施。

2.安全管理要求：要建立健全的安全管理架构，制定详细的安全管理规范，建立安全审计和安全漏洞管理机制，确保安全管理的有效性。

3.人员安全要求：要进行人员背景调查和职责分工，对从事信息系统重要操作的用户进行特殊安全培训，确保人员的安全意识和安全操作。

4.物理环境要求：要做好入侵监控和访客管理，设置合理的网络分段和安全区域，确保关键设备和机房的物理安全。

5.通信与网络安全要求：要采取数据加密和防火墙技术，进行网络监测和入侵检测，确保通信和网络的安全。

6.系统安全要求：要对系统进行漏洞扫描和漏洞修复，安装杀毒软件和防护软件，设置访问控制和密码策略，确保系统的安全运行。

7.数据安全要求：要对重要数据进行加密和备份，建立数据访问控制机制，确保数据的安全性和完整性。

信息系统安全等级保护基本要求(三级要求)信息系统安全等级保护基本要求1 三级基本要求 (6)1.1 技术要求 (6)1.1.1 物理安全 (6)1.1.1.1 物理位置的选择（G3） (6)1.1.1.2 物理访问控制（G3） (6)1.1.1.3 防盗窃和防破坏（G3） (7)1.1.1.4 防雷击（G3） (7)1.1.1.5 防火（G3） (8)1.1.1.6 防水和防潮（G3） (8)1.1.1.7 防静电（G3） (8)1.1.1.8 温湿度控制（G3） (9)1.1.1.9 电力供应（A3） (9)1.1.1.10 电磁防护（S3） (9)1.1.2 网络安全 (10)1.1.2.1 结构安全（G3） (10)1.1.2.2 访问控制（G3） (10)1.1.2.3 安全审计（G3） (11)1.1.2.4 边界完整性检查（S3） (12)1.1.2.5 入侵防范（G3） (12)1.1.2.6 恶意代码防范（G3） (13)1.1.2.7 网络设备防护（G3） (13)1.1.3 主机安全 (14)1.1.3.1 身份鉴别（S3） (14)1.1.3.2 访问控制（S3） (14)1.1.3.3 安全审计（G3） (15)1.1.3.4 剩余信息保护（S3） (16)1.1.3.5 入侵防范（G3） (16)1.1.3.6 恶意代码防范（G3） (17)1.1.3.7 资源控制（A3） (17)1.1.4 应用安全 (18)1.1.4.1 身份鉴别（S3） (18)1.1.4.2 访问控制（S3） (18)1.1.4.3 安全审计（G3） (19)1.1.4.4 剩余信息保护（S3） (20)1.1.4.5 通信完整性（S3） (20)1.1.4.6 通信保密性（S3） (20)1.1.4.7 抗抵赖（G3） (20)1.1.4.8 软件容错（A3） (21)1.1.4.9 资源控制（A3） (21)1.1.5 数据安全及备份恢复 (22)1.1.5.1 数据完整性（S3） (22)1.1.5.2 数据保密性（S3） (22)1.1.5.3 备份和恢复（A3） (23)1.2 管理要求 (23)1.2.1 安全管理制度 (23)1.2.1.1 管理制度（G3） (23)1.2.1.2 制定和发布（G3） (24)1.2.1.3 评审和修订（G3） (24)1.2.2 安全管理机构 (25)1.2.2.1 岗位设置（G3） (25)1.2.2.2 人员配备（G3） (25)1.2.2.3 授权和审批（G3） (26)1.2.2.4 沟通和合作（G3） (26)1.2.2.5 审核和检查（G3） (27)1.2.3 人员安全管理 (28)1.2.3.1 人员录用（G3） (28)1.2.3.2 人员离岗（G3） (28)1.2.3.3 人员考核（G3） (29)1.2.3.4 安全意识教育和培训（G3） (29)1.2.3.5 外部人员访问管理（G3） (29)1.2.4 系统建设管理 (30)1.2.4.1 系统定级（G3） (30)1.2.4.2 安全方案设计（G3） (30)1.2.4.3 产品采购和使用（G3） (31)1.2.4.4 自行软件开发（G3） (32)1.2.4.5 外包软件开发（G3） (32)1.2.4.6 工程实施（G3） (33)1.2.4.7 测试验收（G3） (33)1.2.4.8 系统交付（G3） (34)1.2.4.9 系统备案（G3） (35)1.2.4.10 等级测评（G3） (35)1.2.4.11 安全服务商选择（G3） (36)1.2.5 系统运维管理 (36)1.2.5.1 环境管理（G3） (36)1.2.5.2 资产管理（G3） (37)1.2.5.3 介质管理（G3） (37)1.2.5.4 设备管理（G3） (38)1.2.5.5 监控管理和安全管理中心（G3）. 39 1.2.5.6 网络安全管理（G3） (40)1.2.5.7 系统安全管理（G3） (41)1.2.5.8 恶意代码防范管理（G3） (42)1.2.5.9 密码管理（G3） (43)1.2.5.10 变更管理（G3） (43)1.2.5.11 备份与恢复管理（G3） (43)1.2.5.12 安全事件处置（G3） (44)1.2.5.13 应急预案管理（G3） (45)第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。