标准解读
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》是中国国家标准之一,主要针对信息系统的安全性提出了不同级别的保护要求。该标准依据信息系统遭到破坏后对公民、法人和其他组织合法权益的危害程度,以及对国家安全和社会秩序的负面影响大小来划分不同的安全保护等级,并为每个等级制定了具体的安全要求。
根据该标准,信息系统安全保护等级被划分为五个级别:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。随着等级的提高,所需采取的安全措施也相应增加,以确保信息系统的安全性和可靠性满足其业务需求及法律法规的要求。
对于每一级别的信息系统,《GB/T 22239-2008》从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个维度给出了详细的技术要求与管理要求。这些要求覆盖了从环境设施到软件开发过程中的各个层面,旨在通过综合运用管理和技术手段全面提升信息系统的安全保障能力。
此外,该标准还强调了在实施过程中需要遵循的原则,包括但不限于最小特权原则、纵深防御策略等,鼓励组织机构根据自身实际情况灵活调整安全控制措施,同时保证所选方案能够有效应对潜在威胁并符合相关法规规定。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
文档简介
犐犆犛35.040
犔80
中华人民共和国国家标准
犌犅/犜22239—2008
信息安全技术
信息系统安全等级保护基本要求
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—
犅犪狊犲犾犻狀犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔
20080619发布20081101实施
中华人民共和国国家质量监督检验检疫总局
发布
中国国家标准化管理委员会
书
犌犅/犜22239—2008
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ
引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ
1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4信息系统安全等级保护概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.1信息系统安全保护等级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.2不同等级的安全保护能力!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4.3基本技术要求和基本管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.4基本技术要求的三种类型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5第一级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
5.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
5.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
5.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
6第二级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
6.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
6.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
6.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
6.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
6.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
7第三级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
7.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
Ⅰ
书
犌犅/犜22239—2008
7.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
7.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16
7.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
7.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18
7.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20
7.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21
7.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
7.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
7.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
8第四级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
8.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28
8.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30
8.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31
8.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
8.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34
8.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35
8.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36
8.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38
9第五级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41
附录A(规范性附录)关于信息系统整体安全保护能力的要求!!!!!!!!!!!!!!!42
附录B(规范性附录)基本安全要求的选择和使用!!!!!!!!!!!!!!!!!!!!43
参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44
Ⅱ
犌犅/犜22239—2008
前言
本标准的附录A和附录B是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、
罗峥、毕马宁。
Ⅲ
犌犅/犜22239—2008
引言
依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
———GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》;
———国家标准《信息安全技术信息系统安全等级保护实施指南》。
本标准与GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等标准
共同构成了信息系统安全等级保护的相关配套标准。其中GB17859—1999是基础性标准,本标准、
GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等是在GB17859—1999基础上的进一步
细化和扩展。
本标准在GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等技术
类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要
求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保
护等级信息系统的安全建设和监督管理。
在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。
Ⅳ
犌犅/犜22239—2008
信息安全技术
信息系统安全等级保护基本要求
1范围
本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适
用于指导分等级
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 难忘金秋作文
- 抖音甜蜜爱情文案
- 谈恋爱反思检讨书
- 2024年垂直电梯项目资金申请报告代可行性研究报告
- 世界哮喘日儿童哮喘诊断评估治疗长期教育与管理课件
- 实验室资源管理课件
- 《左侧睾丸鞘膜积液》课件
- 《等比数列定义》课件
- 《汽车轮辋培训》课件
- 【初中数学课件】分解因式复习课件
- 2024年中核粒子医疗科技有限公司招聘笔试参考题库含答案解析
- 短缺药培训课件
- 杜邦分析(完美版)课件两篇
- 《交通事故责任划分》课件
- 《国有企业采购操作规范》【2023修订版】
- 人工智能导论-课件 第1章 人工智能的前世今生
- 2024年安徽交控集团招聘笔试参考题库含答案解析
- 胶原蛋白相关项目实施方案
- 苏科版八年级生物上册知识点汇总
- 建立有效的财务内控体系
- 多媒体技术在中小学教学中的实施与效果评价
评论
0/150
提交评论