【法规名称】
【颁布部门】 公安部
【发文字号】 公信安[2009]1429号
【颁布时间】 2009-10-27
【实施时间】 2009-10-27
【效力属性】 有效
【法规编号】 469889 什么是编号?
【正 文】
第9页 公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函
|
[接上页] 2.1《计算机信息系统安全保护等级划分准则》(GB17859-1999) 2.1.1 主要用途 本标准对计算机信息系统的安全保护能力划分了五个等级,并明确了各个保护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括:一是用于规范和指导计算机信息系统安全保护有关标准的制定;二是为安全产品的研究开发提供技术支持;三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。 2.1.2 主要内容 本标准界定了计算机信息系统的基本概念:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级,第五级访问验证保护级。 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 2.1.3 使用说明 本标准是等级保护的基础性标准,其提出的某些安全保护技术要求受限于当前技术水平尚难以实现,但其构造的安全保护体系应随着科学技术的发展逐步落实。 2.2《信息系统安全等级保护基本要求》(GB/T22239-2008) 2.2.1 主要用途 根据《信息安全等级保护管理办法》的规定,信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应的基本安全保护要求,各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》(以下简称《基本要求》)。《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础研究制定,提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为信息系统建设单位和运营使用单位在系统安全建设中提供参照。 2.2.2 主要内容 2.2.2.1 总体框架 《基本要求》分为基本技术要求和基本管理要求两大类,其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面,管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。 技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。 管理要求主要包括确定安全策略,落实信息安全责任制,建立安全组织机构,加强人员管理、系统建设和运行维护的安全管理。提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求,提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等要求。 2.2.2.2 保护要求的分级方法 由于信息系统分为五个安全保护等级,其安全保护能力逐级增高,相应的安全保护要求和措施逐级增强,体现在两个方面:一是随着信息系统安全级别提高,安全要求的项数增加;二是随着信息系统安全级别的提高,同一项安全要求的强度有所增加。例如,三级信息系统基本要求是在二级基本要求的基础上,在技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时,对身份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增加;在管理方面增加了监控管理和安全管理中心等两项要求,同时对安全管理制度评审、人员安全和系统建设过程管理提出了进一步要求。安全要求的项数和强度的不同,综合体现出不同等级信息系统安全要求的级差。 2.2.2.3 保护措施分类 技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求进一步细分为信息安全类要求(简记为S)、服务保证类要求(简记为A)和通用安全保护类要求(简记为G)。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;服务保证类要求是指保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用。管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!