信息安全技术-信息系统安全等级保护实施指南.docVIP

. . . .word.zl. 信息平安技术信息系统平安等级保护实施指南 ? 前?言 本标准的附录A是规性附录。 本标准由公安部和全国信息平安标准化技术委员会提出。 本标准由全国信息平安标准化技术委员会归口。 本标准起草单位：公安部信息平安等级保护评估中心。 本标准主要起草人：毕马宁、马力、雪秀、明、建平、任卫红、朝海、曲洁、袁静、升、静、罗峥。 引言 依据?中华人民国计算机信息系统平安保护条例?〔国务院147号令〕、?信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕、?关于信息平安等级保护工作的实施意见?〔公通字[2004]66号〕和?信息平安等级保护管理方法?〔公通字[2007]43号〕，制定本标准。 本标准是信息平安等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息平安技术信息系统平安等级保护定级指南； ——GB/T BBBB-BBBB 信息平安技术信息系统平安等级保护根本要求。 在对信息系统实施信息平安等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息平安等级保护的标准开展工作。 在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的法，确定信息系统平安保护等级。 在信息系统总体平安规划，平安设计与实施，平安运行与维护和信息系统终止等阶段，应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建立符合信息平安等级保护要求的信息系统，开展信息系统的运行维护管理工作。 GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统平安等级保护的系列相关配套标准，其中GB17859-1999是根底性标准，GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为根底，根据现有技术开展水平提出的对不同平安保护等级信息系统的最根本平安要求，是其他标准的一个底线子集。 对信息系统的平安等级保护应从GB/T BBBB-BBBB出发，在保证信息系统满足根本平安要求的根底上，逐步提高对信息系统的保护水平，最终满足GB17859-1999、 GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等标准的要求。 除本标准和上述提到的标准外，在信息系统平安等级保护实施过程中，还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。 ? ? 信息系统平安等级保护实施指南 ? 1??围 本标准规定了信息系统平安等级保护实施的过程，适用于指导信息系统平安等级保护的实施。 2??规性引用文件 以下文件中的条款通过在本标准中的引用而成为本标准的条款。但凡注日期的引用文件，其随后所有的修改单〔不包括订正的容〕或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各研究是否使用这些文件的最新版本。但凡不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8?信息技术词汇第8局部：平安 GB17859-1999?计算机信息系统平安保护等级划分准那么 GB/T AAAA-AAAA 信息平安技术信息系统平安等级保护定级指南 3??术语和定义 GB/T 5271.8和GB 17859-1999确立的以及以下术语和定义适用于本标准。 3.1 等级测评 classified security testing and evaluation 确定信息系统平安保护能力是否到达相应等级根本要求的过程。 4??等级保护实施概述 4.1??根本原那么 信息系统平安等级保护的核心是对信息系统分等级、按标准进展建立、管理和监视。信息系统平安等级保护实施过程中应遵循以下根本原那么： a)?? 自主保护原那么 信息系统运营、使用单位及其主管部门按照相关法规和标