信息安全等级保护的政策依据及相关标准

目录

政策依据

国务院147号文件

中办、国办27号文件

四部委66号文件

四部委43号文件

相关标准

金融行业标准(部分)

基础类标准(部分)

应用类标准(部分)

管理类标准(部分) 

技术类标准(部分)

注意事项 

补充文件

查询链接(重要)


政策依据

国务院147号文件

        1994年,国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护

文件链接:中华人民共和国国务院令(第147号)_百度百科 (baidu.com)

中办、国办27号文件

        2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”,抓紧建立信息系统安全等级保护制度,指定信息系统安全等级保护的管理办法和技术指南

文件链接:信息安全保障(电子与信息技术领域术语)_百度百科 (baidu.com)

四部委66号文件

        2004年,公安部等四部委《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)指出:“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和租金信息化建设健康发展的一项基本制度”

文件链接: 公安部等通知印发《信息安全等级保护管理办法》 (www.gov.cn)

四部委43号文件

2007年,为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》

文件链接:公安部等通知印发《信息安全等级保护管理办法》 (www.gov.cn)

信息安全等级保护的政策依据及相关标准_第1张图片​相关标准

        国家已经出台了70多个国标、行标以及报批标准,从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议:

金融行业标准(部分)

基础类标准(部分)

GB17859-1999

GB/T CCCC-CCCC 报批稿---信安字[2007]10号

应用类标准(部分)

定级标准:GB/T 22240-2008

建设标准:GB/T 22239-2008、GB/T20271-2006

测评标准:GB/T DDDD-DDDD 报批稿、《信息系统安全等级保护测评过程指南》

管理标准:《信息系统安全管理要求》GB/T20269-2006、《信息系统安全工程管理要求》

管理类标准(部分) 

GB/T 20269-2006 信息安全技术 信息系统安全管理要求

GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求

技术类标准(部分)

GB/T 20270-2006 信息安全技术 网络基础安全技术要求

GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

GB/T 20272-2006 信息安全技术 操作系统安全技术要求

GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求

注意事项 

        针对不同的行业,信息安全等级保护在实施时会添加一些必要的补充,比如对于金融行业而言,现场测评中的物理位置的选择除了要“保障机房和办公场地应选在具有防震、防风和防雨等能力的建筑内”还应“选择交通、通信便捷的地区

补充文件

1、金融行业信息系统安全等级保护测评指南:JR/T 0072-2012

2、计算机信息系统安全保护等级划分准则:GB 17859-1999

3、信息系统安全保护等级定级指南:GB/T 22240-2020

4、信息系统安全等级保护测评过程指南:GB/T 28449-2018

5、信息系统安全等级保护测评要求:GB/T 28448-2019

6、信息系统安全等级保护基本要求:GB/T 22239-2019

7、信息系统安全等级保护实施指南:GB/T 25058-2019

查询链接(重要)

标准类文件官方查询网站:国家标准全文公开 (samr.gov.cn)

注意事项:非GB开头的文件查不到,比如上面的金融行业测评指南,需要根据标准自行搜索

 ~over~

你可能感兴趣的:(等保测评-初阶,数据库,网络安全,安全,密码学,系统安全,web安全)