信息安全技术信息系统安全等级保护基本要求内容.doc

可编辑版全国信息安全标准化技术委员会200×-××-××实施200×-××-××发布信息安全技术信息系统安全等级保护基本要求Information security technology-Baseline for classified protection of information system〔报批稿ICS 35.040L80GB/T ××××—××××中华人民XX国国家标准目 次前言IX引言X1 范围12 规范性引用文件13 术语和定义14 信息系统安全等级保护概述14.1 信息系统安全保护等级14.2 不同等级的安全保护能力14.3 基本技术要求和基本管理要求24.4 基本技术要求的三种类型25 第一级基本要求25.1 技术要求2 物理安全2 物理访问控制〔G1 2 防盗窃和防破坏〔G1 2 防雷击〔G1 3 防火〔G1 3 防水和防潮〔G1 3 温湿度控制〔G1 3 电力供应〔A1 3 网络安全3 结构安全〔G1 3 访问控制〔G1 3 网络设备防护〔G1 3 主机安全3 身份鉴别〔S1 3 访问控制〔S1 35.1.3.3 入侵防范〔G1 4 恶意代码防范〔G1 4 应用安全4 身份鉴别〔S1 4 访问控制〔S1 4 通信完整性〔S1 4 软件容错〔A1 4 数据安全及备份恢复4 数据完整性〔S1 4 备份和恢复〔A1 45.2 管理要求4 安全管理制度4 管理制度〔G1 4 制定和发布〔G1 4 安全管理机构4 岗位设置〔G1 4 人员配备〔G1 4 授权和审批〔G1 4 沟通和合作〔G1 5 人员安全管理5 人员录用〔G1 5 人员离岗〔G1 5 安全意识教育和培训〔G1 5 外部人员访问管理〔G1 5 系统建设管理5 系统定级〔G1 5 安全方案设计〔G1 5 产品采购和使用〔G1 5 自行软件开发〔G1 5 外包软件开发〔G1 5 工程实施〔G1 6 测试验收〔G1 6 系统交付〔G1 6 安全服务商选择〔G1 6 系统运维管理6 环境管理〔G1 6 资产管理〔G1 6 介质管理〔G1 6 设备管理〔G1 6 网络安全管理〔G1 7 系统安全管理〔G1 7 恶意代码防范管理〔G1 7 备份与恢复管理〔G1 7 安全事件处置〔G1 76 第二级基本要求76.1 技术要求7 物理安全7 物理位置的选择〔G2 7 物理访问控制〔G2 7 防盗窃和防破坏〔G2 7 防雷击〔G2 8 防火〔G2 8 防水和防潮〔G2 8 防静电〔G2 8 温湿度控制〔G2 8 电力供应〔A2 8 电磁防护〔S2 8 网络安全8 结构安全〔G2 8 访问控制〔G2 8 安全审计〔G2 9 边界完整性检查〔S2 9 入侵防范〔G2 96 网络设备防护〔G2 9 主机安全9 身份鉴别〔S2 9 访问控制〔S2 9 安全审计〔G2 9 入侵防范〔G2 10 恶意代码防范〔G2 10 资源控制〔A2 10 应用安全10 身份鉴别〔S2 10 访问控制〔S2 10 安全审计〔G2 10 通信完整性〔S2 10 通信保密性〔S2 10 软件容错〔A2 11 资源控制〔A2 11 数据安全及备份恢复11 数据完整性〔S2 11 数据保密性〔S2 11 备份和恢复〔A2 116.2 管理要求11 安全管理制度11 管理制度〔G2 11 制定和发布〔G2 11 评审和修订〔G2 11 安全管理机构116.2.2.1 岗位设置〔G2 11 人员配备〔G2 12 授权和审批〔G2 12 沟通和合作〔G2 12 审核和检查〔G2 12 人员安全管理12 人员录用〔G2 12 人员离岗〔G2 12 人员考核〔G2 12 安全意识教育和培训〔G2 12 外部人员访问管理〔G2 12 系统建设管理13 系统定级〔G2 13 安全方案设计〔G2 13 产品采购和使用〔G2 13 自行软件开发〔G2 13 外包软件开发〔G2 13 工程实施〔G2 13 测试验收〔G2 13 系统交付〔G2 14 安全服务商选择〔G2 14 系统运维管理14 环境管理〔G2 14 资产管理〔G2 14 介质管理〔G2 14 设备管理〔G2 14 网络安全管理〔G2 15 系统安全管理〔G2 15 恶意代码防范管理〔G2 15 密码管理〔G2 15 变更管理〔G2 15 备份与恢复管理〔G2 16 安全事件处置〔G2 16 应急预案管理〔G2 167 第三级基本要求167.1 技术要求16 物理安全16 物理位置的选择〔G3 16 物理访问控制〔G3 16 防盗窃和防破坏〔G3 16 防雷击〔G3 17 防火〔G3 17 防水和防潮〔G3 17 防静电〔G3 17 温湿度控制〔G3 17 电力供应〔A3 17 电磁防护〔S3 17 网络安全18 结构安全〔G3 18 访问控制〔G3 18 安全审计〔G3 187.1.2.4 边界完整性检查〔S3 18 入侵防范〔G3 19 恶意代码防范〔G3 19 网络设备防护〔G3 19 主机安全19 身份鉴别〔S3 19 访问控制〔S3 19 安全审计〔G3 20 剩余信息保护〔S3 20 入侵防范〔G3 20 恶意代码防范〔G3 20 资源控制〔A3 20 应用安全20 身份鉴别〔S3 21 访问控制〔S3 21 安全审计〔G3 21 剩余信息保护〔S3 21 通信完整性〔S3 21 通信保密性〔S3 21 抗抵赖〔G3 21 软件容错〔A3 22 资源控制〔A3 22 数据安全及备份恢复22 数据完整性〔S3 22 数据保密性〔S3 22 备份和恢复〔A3 227.2 管理要求22 安全管理制度22 管理制度〔G3 22 制定和发布〔G3 23 评审和修订〔G3 23 安全管理机构23 岗位设置〔G3 23 人员配备〔G3 23 授权和审批〔G3 23 沟通和合作〔G3 247.2.2.5 审核和检查〔G3 24 人员安全管理24 人员录用〔G3 24 人员离岗〔G3 24 人员考核〔G3 24 安全意识教育和培训〔G3 24 外部人员访问管理〔G3 25 系统建设管理25 系统定级〔G3 25 安全方案设计〔G3 25 产品采购和使用〔G3 25 自行软件开发〔G3 25 外包软件开发〔G3 26 工程实施〔G3 26 测试验收〔G3 26 系统交付〔G3 26 系统备案〔G3 26 等级测评〔G3 27 安全服务商选择〔G3 27 系统运维管理27 环境管理〔G3 27 资产管理〔G3 27 介质管理〔G3 27 设备管理〔G3 28 监控管理和安全管理中心〔G3 28 网络安全管理〔G3 28 系统安全管理〔G3 29 恶意代码防范管理〔G3 29 密码管理〔G3 29 变更管理〔G3 29 备份与恢复管理〔G3 29 安全事件处置〔G3 30 应急预案管理〔G3 308 第四级基本要求308.1 技术要求30 物理安全30 物理位置的选择〔G4 30 物理访问控制〔G4 30 防盗窃和防破坏〔G4 31 防雷击〔G4 31 防火〔G4 31 防水和防潮〔G4 31 防静电〔G4 31 温湿度控制〔G4 31 电力供应〔A4 31 电磁防护〔S4 32 网络安全32 结构安全〔G4 32 访问控制〔G4 32 安全审计〔G4 32 边界完整性检查〔S4 33 入侵防范〔G4 33 恶意代码防范〔G4 33 网络设备防护〔G4 33 主机安全33 身份鉴别〔S4 338 安全标记〔S4 34 访问控制〔S4 34 可信路径〔S4 34 安全审计〔G4 34 剩余信息保护〔S4 34.7 入侵防范〔G4 34 恶意代码防范〔G4 35 资源控制〔A4 35 应用安全35 身份鉴别〔S4 35 安全标记〔S4 35 访问控制〔S4 35 可信路径〔S4 35 安全审计〔G4 36 剩余信息保护〔S4 36 通信完整性〔S4 36 通信保密性〔S4 36 抗抵赖〔G4 36 软件容错〔A4 36 资源控制〔A4 36 数据安全及备份恢复37 数据完整性〔S4 37 数据保密性〔S4 37 备份和恢复〔A4 378.2 管理要求37 安全管理制度37 管理制度〔G4 37 制定和发布〔G4 37 评审和修订〔G4 38 安全管理机构38 岗位设置〔G4 38 人员配备〔G4 38 授权和审批〔G4 38 沟通和合作〔G4 38 审核和检查〔G4 39 人员安全管理398.2.3.1 人员录用〔G4 39 人员离岗〔G4 39 人员考核〔G4 39 安全意识教育和培训〔G4 39 外部人员访问管理〔G4 40 系统建设管理40 系统定级〔G4 40 安全方案设计〔G4 40 产品采购和使用〔G4 40 自行软件开发〔G4 408.2.4.5 外包软件开发〔G4 41 工程实施〔G4 41 测试验收〔G4 41 系统交付〔G4 41 系统备案〔G4 410 等级测评〔G4 42 安全服务商选择〔G4 42 系统运维管理42 环境管理〔G4 42 资产管理〔G4 42 介质管理〔G4 42 设备管理〔G4 43 监控管理和安全管理中心〔G4 43 网络安全管理〔G4 43 系统安全管理〔G4 44 恶意代码防范管理〔G4 44 密码管理〔G4 44 变更管理〔G4 44 备份与恢复管理〔G4 45 安全事件处置〔G4 458 应急预案管理〔G4 459 第五级基本要求46附录A〔规范性附录 关于信息系统整体安全保护能力的要求47附录B〔规范性附录 基本安全要求的选择和使用49参考文献51前 言本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出本标准由全国信息安全标准化技术委员会归口本标准起草单位：本标准主要起草人：引 言依据《中华人民XX国计算机信息系统安全保护条例》〔国务院147号令、《国家信息化领导小组关于加强信息安全保障工作的意见》〔中办发[2003]27号、《关于信息安全等级保护工作的实施意见》〔公通字[2004]66号和《信息安全等级保护管理办法》〔公通字[2007]43号,制定本标准本标准是信息安全等级保护相关系列标准之一与本标准相关的系列标准包括：——GB/T AAAA-AAAA 信息安全技术 信息系统安全等级保护定级指南；——GB/T CCCC-CCCC 信息安。