标准解读

《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》是中国国家标准之一,主要针对信息系统的安全性提出了不同级别的保护要求。该标准依据信息系统遭到破坏后对公民、法人和其他组织合法权益的危害程度,以及对国家安全和社会秩序的负面影响大小来划分不同的安全保护等级,并为每个等级制定了具体的安全要求。

根据该标准,信息系统安全保护等级被划分为五个级别:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。随着等级的提高,所需采取的安全措施也相应增加,以确保信息系统的安全性和可靠性满足其业务需求及法律法规的要求。

对于每一级别的信息系统,《GB/T 22239-2008》从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个维度给出了详细的技术要求与管理要求。这些要求覆盖了从环境设施到软件开发过程中的各个层面,旨在通过综合运用管理和技术手段全面提升信息系统的安全保障能力。

此外,该标准还强调了在实施过程中需要遵循的原则,包括但不限于最小特权原则、纵深防御策略等,鼓励组织机构根据自身实际情况灵活调整安全控制措施,同时保证所选方案能够有效应对潜在威胁并符合相关法规规定。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 22239-2019
  • 2008-06-19 颁布
  • 2008-11-01 实施
©正版授权
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第1页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第2页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第3页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第4页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第5页
已阅读5页,还剩47页未读 继续免费阅读

下载本文档

GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求-免费下载试读页

文档简介

犐犆犛35.040

犔80

中华人民共和国国家标准

犌犅/犜22239—2008

信息安全技术

信息系统安全等级保护基本要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犅犪狊犲犾犻狀犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔

20080619发布20081101实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

犌犅/犜22239—2008

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息系统安全等级保护概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.1信息系统安全保护等级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.2不同等级的安全保护能力!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.3基本技术要求和基本管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.4基本技术要求的三种类型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5第一级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6第二级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

6.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

6.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7第三级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

犌犅/犜22239—2008

7.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

7.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

7.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

7.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

7.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

7.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

7.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

8第四级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

8.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

8.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

8.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

8.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

8.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

8.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

8.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

8.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

8.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

9第五级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

附录A(规范性附录)关于信息系统整体安全保护能力的要求!!!!!!!!!!!!!!!42

附录B(规范性附录)基本安全要求的选择和使用!!!!!!!!!!!!!!!!!!!!43

参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

犌犅/犜22239—2008

前言

本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位:公安部信息安全等级保护评估中心。

本标准主要起草人:马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、

罗峥、毕马宁。

犌犅/犜22239—2008

引言

依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括:

———GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》;

———国家标准《信息安全技术信息系统安全等级保护实施指南》。

本标准与GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等标准

共同构成了信息系统安全等级保护的相关配套标准。其中GB17859—1999是基础性标准,本标准、

GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等是在GB17859—1999基础上的进一步

细化和扩展。

本标准在GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等技术

类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要

求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保

护等级信息系统的安全建设和监督管理。

在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。

犌犅/犜22239—2008

信息安全技术

信息系统安全等级保护基本要求

1范围

本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适

用于指导分等级

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论