面向交易对方 信息安全构筑指南20-3c
- 格式:pdf
- 大小:711.42 KB
- 文档页数:40


中国信息安全标准主要由一系列的国内标准组成,涵盖了信息安全管理的各个层面。
以下是一些主要的中国信息安全标准:
1. GB/T 17859-1999《信息安全技术信息安全评估准则》:该标准规定了信息安全评估的目标、范围、过程和方法,以及信息安全评估的等级划分。
2. GB/T 22239-2019《信息安全技术信息安全等级保护基本要求》:该标准规定了信息安全等级保护的基本要求,包括安全保护等级划分、安全保护要求、安全保护措施等。
3. GB/T 25070-2010《信息安全技术信息安全风险评估规范》:该标准规定了信息安全风险评估的方法、过程和结果表达,以及风险评估的等级划分。
4. GB/T 31167-2014《信息安全技术信息安全事件分类分级指南》:该标准规定了信息安全事件的分类和分级方法,以及事件报告和处置要求。
5. GB/T 20984-2007《信息安全技术信息安全风险管理指南》:该标准规定了信息安全风险管理的流程和方法,以及风险管理的责任划分。
信息安全技术信息系统安全等级保护定级指南信息安全技术信息系统安全等级保护定级指南(报批稿)全国信息安全标准化技术委员会前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:本标准主要起草人:引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全品级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全品级保护定级指南1范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8信息技术词汇第8部分:安全GB-1999计算机信息系统安全保护品级划分准则3术语和定义GB/T 5271.8和GB-1999确立的以及下列术语和定义适用于本标准。
3.1等级保护对象target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
信息安全技术分类指南国标导言信息安全技术的发展日新月异,涵盖的范围也日益扩大。
为了便于对信息安全技术进行系统的分类和理解,我国制定了一系列国家标准,其中关于信息安全技术分类的标准对于行业从业者具有指导意义。
本文将对国家标准中关于信息安全技术分类的内容进行详细介绍,以便读者更好地了解和应用这些标准。
一、信息安全技术分类的概念信息安全技术是指为了防止信息系统中信息的机密性、完整性和可用性遭到破坏或泄露而采取的各种技术手段和方法。
信息安全技术分类指南便是针对这些技术手段和方法进行的分门别类和归纳总结,使得从业者能够更清晰地了解信息安全技术的体系结构和应用范围。
二、信息安全技术分类的标准国家标准对信息安全技术分类提出了一系列规范和要求,其中主要包括以下几个方面的内容:1. 标准编号及名称:国家标准中确定了信息安全技术分类指南的标准编号及名称,以便对标准进行统一管理和应用。
2. 技术分类原则:国家标准明确了信息安全技术分类所遵循的原则,包括技术的适用范围、技术的独立性和综合性、技术的分类标准等。
3. 技术分类方法:国家标准对信息安全技术进行了详细的分类方法的说明,包括对技术进行分门别类的标准和规则等。
4. 技术分类体系:国家标准建立了一套完整的信息安全技术分类体系,将信息安全技术划分为不同的类别和子类别,以便于对各类技术进行系统的管理和应用。
5. 技术分类的应用:国家标准对信息安全技术分类的应用范围进行了详细说明,包括在信息系统设计、建设和运行管理等各个阶段的应用要求和指导意见。
三、信息安全技术分类的内容国家标准中对信息安全技术分类的内容主要包括以下几个方面:1. 密码技术:包括对称加密算法、非对称加密算法、散列算法等密码学相关的技术分类和应用指南。
2. 认证技术:包括身份认证、数字证书、生物特征识别等认证技术的分类和应用指南。
3. 安全通信技术:包括网络安全协议、虚拟专用网技术、防火墙技术等安全通信技术的分类和应用指南。
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。