• 被代替
  • 已被新标准代替,建议下载现行标准GB/T 22239-2019
  • 2008-06-19 颁布
  • 2008-11-01 实施
©正版授权
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第1页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第2页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第3页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第4页
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求_第5页
已阅读5页,还剩47页未读 继续免费阅读

下载本文档

文档简介

犐犆犛35.040

犔80

中华人民共和国国家标准

犌犅/犜22239—2008

信息安全技术

信息系统安全等级保护基本要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犅犪狊犲犾犻狀犲犳狅狉犮犾犪狊狊犻犳犻犲犱狆狉狅狋犲犮狋犻狅狀狅犳犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔

20080619发布20081101实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

犌犅/犜22239—2008

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息系统安全等级保护概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.1信息系统安全保护等级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.2不同等级的安全保护能力!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.3基本技术要求和基本管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.4基本技术要求的三种类型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5第一级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6第二级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

6.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

6.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7第三级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

犌犅/犜22239—2008

7.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

7.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

7.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

7.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

7.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

7.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

7.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

8第四级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.1技术要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.1.1物理安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.1.2网络安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

8.1.3主机安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

8.1.4应用安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

8.1.5数据安全及备份恢复!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

8.2管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

8.2.1安全管理制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

8.2.2安全管理机构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

8.2.3人员安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

8.2.4系统建设管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

8.2.5系统运维管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

9第五级基本要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

附录A(规范性附录)关于信息系统整体安全保护能力的要求!!!!!!!!!!!!!!!42

附录B(规范性附录)基本安全要求的选择和使用!!!!!!!!!!!!!!!!!!!!43

参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

犌犅/犜22239—2008

前言

本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位:公安部信息安全等级保护评估中心。

本标准主要起草人:马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、

罗峥、毕马宁。

犌犅/犜22239—2008

引言

依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括:

———GB/T22240—2008《信息安全技术信息系统安全等级保护定级指南》;

———国家标准《信息安全技术信息系统安全等级保护实施指南》。

本标准与GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等标准

共同构成了信息系统安全等级保护的相关配套标准。其中GB17859—1999是基础性标准,本标准、

GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等是在GB17859—1999基础上的进一步

细化和扩展。

本标准在GB17859—1999、GB/T20269—2006、GB/T20270—2006、GB/T20271—2006等技术

类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要

求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保

护等级信息系统的安全建设和监督管理。

在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。

犌犅/犜22239—2008

信息安全技术

信息系统安全等级保护基本要求

1范围

本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适

用于指导分等级

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论