20161011085005176673.doc.doc

标准草案意见汇总处理表 标准名称：《信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求》 承办人：马力 共 27 页 标准项目负责起草单位：公安部信息安全等级保护评估中心 电 话 序号 标 准 条文号 意　见　内　容 提出专家 /提出单位 处理意见 备　　注 一、标准草案第1稿，2015年4月29日专家审查会意见 2015年5月10日填写 整体 标准要求建议考虑概念层与实现层的区别，尽量精炼成概念层的要求，且注意概念的准确性和无二意性。 王立福 采纳：调整修改整个文档的条款和用词 整体 根据行业特色和要求，在行业标准中会对基本要求的一些要求进行明确和细化，基本要求应该具备普适性；这版标准与现有标准有些地方的要求写得过细，建议非常具体的要求可以少一些，标准还是要多提原则性要求，框架性要求，特别具体的可以放在测评要求中，建议对语言描述进行仔细的斟酌，该细的要细，该粗的要粗；建议“关键”和“重要”等词尽量少用。 范原辉/中国农业银行、张瑞芝/广播电视信息安全测评中心 采纳：调整修改整个文档的条款和用词 封面 建议在标准名称中不要使用“第一分册”、“第二分册”，而是通过标准号的变化区分“第一分册”、“第二分册”，标准号为GB/T 22239，则第一分册为：GB/T 22239.1 第二分册为：GB/T 22239.2 等，以此类推。 崔书昆、王立福 采纳：本标准由若干分册构成，包括： ——GB/T 22239.1 信息安全技术 信息系统安全等级保护 基本要求； ——GB/T 22239.2 信息安全技术 信息系统安全等级保护 云计算安全要求； ——GB/T 22239.3 信息安全技术 信息系统安全等级保护 物联网安全要求； ——GB/T 22239.4 信息安全技术 信息系统安全等级保护 移动互联安全要求； ——GB/T 22239.5 信息安全技术 信息系统安全等级保护 工业控制安全要求； 1 基本要求是否涵盖保密性要求，要求的适用范围不清晰，建议尽量做出说明，如是否适用于“涉及国家秘密的信息系统”，涉密系统有自己的标准体系 张瑞芝/广播电视信息安全测评中心 采纳：范围部分调整为：本标准规定了不同安全保护等级信息系统的基本保护要求，适用于指导分等级的非涉密信息系统的安全建设和监督管理。 对于涉及国家秘密的信息系统，应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理，应按照国家密码管理的相关规定和标准实施。 2 “信息系统安全等级保护定级指南”的标准号应为GB/T 22240-2008 张瑞芝/广播电视信息安全测评中心、霍珊珊/信息产业信息安全测评中心 采纳：修改 3 在术语中增加“外部信息系统”的定义 张瑞芝/广播电视信息安全测评中心 部分采纳：修改“外部信息系统”条款为：“应避免将重要网络区域部署在网络边界处且没有边界防护措施；“ 4.1 4.1是不是应该见22240？ 霍珊珊/信息产业信息安全测评中心 采纳：修改 4.3 4.3中提出“组件”，这个概念是否需要解释一下 霍珊珊/信息产业信息安全测评中心 部分采纳：“组件”用词只在4.3节出现，将“组件”改为“组成部分” 4.3 标准中同时出现“技术要求”、“管理要求”；“基本技术要求”、“基本管理要求”等用词，是否统一或解释区别 霍珊珊/信息产业信息安全测评中心 采纳：统一 6.2.4.1 目前标准中对于不同安全等级的信息系统均要求按照本项条款进行定级备案，但定级和备案两个阶段，不应绑定，企业自主定级的系统应区分系统重要性，按需备案。全部备案尤其是二级系统全部备案是否必要尚待论证。 范原辉/农业银行 采纳 7.1.1 机房在“高层”应改为“顶层” 禄凯/国家信息中心 采纳：修改 7.1.1.7 可采取多种措施减少静电的影响。此处仍建议仅提出安全要求和安全目标，而不应限定实现目标的手段和方式。建议改为“应采用技术手段减少静电的影响，如采用静电消除器、佩戴防静电手环等“ 范原辉/农业银行 采纳：修改为：“应采用措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。” 7.1.1.9 7.1.1.9和8.1.1.9的a）项有误，电力供应不应该有这条 锁延峰/国家信息技术安全研究中心 采纳：修改 7.1.2.1 结构安全（7.1.2.1）：业务处理能力及带宽放在结构安全是否合适？结构安全能否叫做架构安全？ 3级系统建议：合理规