标准解读
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》是中国国家标准之一,主要针对信息系统的安全性提出了不同级别的保护要求。该标准依据信息系统遭到破坏后对公民、法人和其他组织合法权益的危害程度,以及对国家安全和社会秩序的负面影响大小来划分不同的安全保护等级,并为每个等级制定了具体的安全要求。
根据该标准,信息系统安全保护等级被划分为五个级别:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。随着等级的提高,所需采取的安全措施也相应增加,以确保信息系统的安全性和可靠性满足其业务需求及法律法规的要求。
对于每一级别的信息系统,《GB/T 22239-2008》从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个维度给出了详细的技术要求与管理要求。这些要求覆盖了从环境设施到软件开发过程中的各个层面,旨在通过综合运用管理和技术手段全面提升信息系统的安全保障能力。
此外,该标准还强调了在实施过程中需要遵循的原则,包括但不限于最小特权原则、纵深防御策略等,鼓励组织机构根据自身实际情况灵活调整安全控制措施,同时保证所选方案能够有效应对潜在威胁并符合相关法规规定。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
犐犆犛35.040
犔80
中华人民共和国国家标准
犌犅/犜22239—2008
信息安全技术
信息系统安全等级保护基本要求
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—
犅犪狊犲犾犻狀犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔
20080619发布20081101实施
中华人民共和国国家质量监督检验检疫总局
发布
中国国家标准化管理委员会
书
犌犅/犜22239—2008
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ
引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ
1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4信息系统安全等级保护概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.1信息系统安全保护等级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.2不同等级的安全保护能力!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.3基本技术要求和基本管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.4基本技术要求的三种类型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5第一级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
5.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
6第二级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
6.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
6.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
6.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
6.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
7第三级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
7.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
Ⅰ
书
犌犅/犜22239—2008
7.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
7.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16
7.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
7.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18
7.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21
7.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
7.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
7.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
8第四级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28
8.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30
8.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31
8.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34
8.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35
8.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36
8.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38
9第五级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41
附录A(规范性附录)关于信息系统整体安全保护能力的要求!!!!!!!!!!!!!!!42
附录B(规范性附录)基本安全要求的选择和使用!!!!!!!!!!!!!!!!!!!!43
参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44
Ⅱ
犌犅/犜22239—2008
前言
本标准的附录A和附录B是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、
罗峥、毕马宁。
Ⅲ
犌犅/犜22239—2008
引言
依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
———GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》;
———国家标准《信息安全技术信息系统安全等级保护实施指南》。
本标准与GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等标准
共同构成了信息系统安全等级保护的相关配套标准。其中GB17859—1999是基础性标准,本标准、
GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等是在GB17859—1999基础上的进一步
细化和扩展。
本标准在GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等技术
类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要
求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保
护等级信息系统的安全建设和监督管理。
在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。
Ⅳ
犌犅/犜22239—2008
信息安全技术
信息系统安全等级保护基本要求
1范围
本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适
用于指导分等级
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 2024版地坪漆工程绿色施工与环保验收服务合同3篇
- 2024年度光伏发电项目商砼供应合同模板2篇
- 2024年标准化地暖安装工程协议模板版B版
- 2024版个人心理咨询佣金合同范本3篇
- 2024年度科技创新项目委托担保服务合同3篇
- 2024年度商业街智能管理服务承包经营合同3篇
- 现代化产业体系构建的实施路径与优化策略
- 2024年度网络文学版权收益分成合同3篇
- 森林旅游示范带项目商业计划书
- 2024年度光伏产品生产与销售合同3篇
- GB/T 18277-2000公路收费制式
- 2023年住院医师规范化培训胸外科出科考试
- 11468工作岗位研究原理与应用第7章
- 2023实施《中华人民共和国野生动物保护法》全文学习PPT课件(带内容)
- 2022年初级育婴师考试题库附答案
- 系统家庭疗法课件
- 新版GSP《医疗器械经营质量管理规范》培训试题
- 初中道德与法治答题技巧课件
- 管理学专业:管理基础知识试题库(附含答案)
- 河北省保定市药品零售药店企业药房名单目录
- 广西基本医疗保险门诊特殊慢性病申报表
评论
0/150
提交评论