标准解读
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》是中国国家标准之一,主要针对信息系统的安全性提出了不同级别的保护要求。该标准依据信息系统遭到破坏后对公民、法人和其他组织合法权益的危害程度,以及对国家安全和社会秩序的负面影响大小来划分不同的安全保护等级,并为每个等级制定了具体的安全要求。
根据该标准,信息系统安全保护等级被划分为五个级别:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。随着等级的提高,所需采取的安全措施也相应增加,以确保信息系统的安全性和可靠性满足其业务需求及法律法规的要求。
对于每一级别的信息系统,《GB/T 22239-2008》从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个维度给出了详细的技术要求与管理要求。这些要求覆盖了从环境设施到软件开发过程中的各个层面,旨在通过综合运用管理和技术手段全面提升信息系统的安全保障能力。
此外,该标准还强调了在实施过程中需要遵循的原则,包括但不限于最小特权原则、纵深防御策略等,鼓励组织机构根据自身实际情况灵活调整安全控制措施,同时保证所选方案能够有效应对潜在威胁并符合相关法规规定。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
犐犆犛35.040
犔80
中华人民共和国国家标准
犌犅/犜22239—2008
信息安全技术
信息系统安全等级保护基本要求
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—
犅犪狊犲犾犻狀犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔
20080619发布20081101实施
中华人民共和国国家质量监督检验检疫总局
发布
中国国家标准化管理委员会
书
犌犅/犜22239—2008
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ
引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ
1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4信息系统安全等级保护概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.1信息系统安全保护等级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.2不同等级的安全保护能力!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.3基本技术要求和基本管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.4基本技术要求的三种类型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5第一级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
5.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
6第二级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
6.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
6.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
6.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
6.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
7第三级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
7.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
Ⅰ
书
犌犅/犜22239—2008
7.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
7.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16
7.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
7.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18
7.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21
7.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
7.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
7.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
8第四级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28
8.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30
8.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31
8.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34
8.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35
8.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36
8.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38
9第五级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41
附录A(规范性附录)关于信息系统整体安全保护能力的要求!!!!!!!!!!!!!!!42
附录B(规范性附录)基本安全要求的选择和使用!!!!!!!!!!!!!!!!!!!!43
参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44
Ⅱ
犌犅/犜22239—2008
前言
本标准的附录A和附录B是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、
罗峥、毕马宁。
Ⅲ
犌犅/犜22239—2008
引言
依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
———GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》;
———国家标准《信息安全技术信息系统安全等级保护实施指南》。
本标准与GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等标准
共同构成了信息系统安全等级保护的相关配套标准。其中GB17859—1999是基础性标准,本标准、
GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等是在GB17859—1999基础上的进一步
细化和扩展。
本标准在GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等技术
类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要
求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保
护等级信息系统的安全建设和监督管理。
在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。
Ⅳ
犌犅/犜22239—2008
信息安全技术
信息系统安全等级保护基本要求
1范围
本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适
用于指导分等级
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 项目整体维护方案(3篇)
- 环保安全知识培训
- 安全文明生产培训记录
- 广东省安全生产20项措施
- 安全生产标准化包含哪些内容
- 项目股权激励方案(3篇)
- 安全生产标准化建设定级情况
- 车间生产管理办法
- 老区消防改造方案(3篇)
- 宿舍单层改造方案(3篇)
- 2025至2030年中国高速公路广告行业市场行情监测及投资前景展望报告
- 2025年数据挖掘和分析考试试卷及答案
- 口腔粘结系统
- 2025至2030年中国尼龙再生料行业市场运行格局及发展前景研判报告
- 焊工考试试题及答案下载
- 德克士的区域扩张计划
- 辅导员职业资格考试2025年试题及答案
- 2025年传统食品工业化生产智能化生产线改造报告
- 2025河南省豫地科技集团社会招聘169人笔试参考题库附带答案详解析集合
- 试油气技术试题及答案
- 2025年江苏省无锡市初中学业水平考试模拟测试英语试题(含解析)
评论
0/150
提交评论