计算机信息系统安全等级保护通用技术要求

信息系统安全等级保护基本技术要求
1. 身份鉴别就好像是一个家门的钥匙，只有拥有正确钥匙的人才能进入。

比如说，你手机的解锁密码，那就是在进行身份鉴别呀，只有你知道那串数字，别人就进不去，这不就保障了你的信息安全嘛！
2. 访问控制就像是小区门口的保安，决定谁能进来谁不能进来。

比如公司的内部网络系统，不是谁都能随便访问的，要有相应权限才行，这不就是一种很好的访问控制嘛！
3. 数据保密性如同给重要的东西加上了一层神秘的面纱，别人不容易看到。

好比你和朋友之间的私密聊天记录，你肯定不想让其他人轻易知晓吧，这就需要数据保密啊！
4. 系统完整性是不是可以理解为一个完整的拼图，不能缺一块呀！比如说电脑系统，如果被恶意篡改了一些文件，那系统就不完整了，这不就可能出问题嘛！
5. 剩余信息保护就好像你离开房间后要把痕迹清理干净。

比如你在网吧用完电脑后，那些你留下的临时文件什么的，要是不清理掉，不就可能被别人利用嘛！
6. 通信保密性就像在打电话时给声音加上了保护罩。

比如军事通信，那必须要保密呀，不然被敌人知道了信息，后果不堪设想呢！
我觉得这些信息系统安全等级保护基本技术要求真的太重要啦！它们就像一道道坚实的防线，保护着我们的信息安全，我们可不能忽视呀！。

等级保护通用技术要求与CC关于CCCC是当前信息安全的最新国际标准。

它是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的。

CC定义了一套能满足各种需求的IT安全准则，共分为三部分：第一部分——简介和一般模型；第二部分——安全功能要求；第三部分——安全保证要求。

其中心内容是：当在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时，应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。

CC在第一部分描述了对安全保护框架（PP）和安全目标（ST）的要求。

与传统的软件系统设计相比较，PP实际上就是安全需求的完整表示，ST则是通常所说的安全方案。

CC在第二部分和第三部分，分别详细介绍了为实现PP和ST所需要的安全功能要求和安全保证要求，并对安全保证要求进行了等级划分（共分为七个等级）。

对于安全功能要求，CC虽然没有进行明确的等级划分，但是在对每一类功能进行具体描述时，要求上还是有差别的。

CC明确指出不在其范围的内容包括：与信息技术安全措施没有直接关联的属于行政管理的安全措施，虽然这类安全管理措施是技术安全措施的前提；信息技术安全性的物理方面；密码算法的质量评价。

CC在对安全保护框架和安全目标的一般模型进行介绍以后，分别从安全功能和安全保证两方面对IT安全技术的要求进行了详细描述，主要内容如下：1）安全功能要求CC将安全功能要求分为以下11类：安全审计类；通信类（主要是身份真实性和抗抵赖）；密码支持类；用户数据保护类；标识和鉴别类；安全管理类（与TSF有关的管理）；隐秘类（保护用户隐私）；TSF保护类（TOE自身安全保护）；资源利用类（从资源管理角度确保TSF安全）；TOE访问类（从对TOE的访问控制确保安全性）；可信路径/信道类。

这些安全类又分为族，族中又分为组件。

组件是对具体安全要求的描述。

从叙述上看，每一个族中的具体安全要求也是有差别的，但CC没有以这些差别作为划分安全等级的依据。

信息系统安全等级保护基本要求1 三级基本要求 (3)1.1 技术要求 (3)1.1.1 物理安全 (3)1.1.1.1 物理位置的选择（G3） (3)1.1.1.2 物理访问控制（G3） (3)1.1.1.3 防盗窃和防破坏（G3） (3)1.1.1.4 防雷击（G3） (3)1.1.1.5 防火（G3） (3)1.1.1.6 防水和防潮（G3） (4)1.1.1.7 防静电（G3） (4)1.1.1.8 温湿度控制（G3） (4)1.1.1.9 电力供应（A3） (4)1.1.1.10 电磁防护（S3） (4)1.1.2 网络安全 (4)1.1.2.1 结构安全（G3） (4)1.1.2.2 访问控制（G3） (4)1.1.2.3 安全审计（G3） (5)1.1.2.4 边界完整性检查（S3） (5)1.1.2.5 入侵防范（G3） (5)1.1.2.6 恶意代码防范（G3） (5)1.1.2.7 网络设备防护（G3） (5)1.1.3 主机安全 (6)1.1.3.1 身份鉴别（S3） (6)1.1.3.2 访问控制（S3） (6)1.1.3.3 安全审计（G3） (6)1.1.3.4 剩余信息保护（S3） (7)1.1.3.5 入侵防范（G3） (7)1.1.3.6 恶意代码防范（G3） (7)1.1.3.7 资源控制（A3） (7)1.1.4 应用安全 (7)1.1.4.1 身份鉴别（S3） (7)1.1.4.2 访问控制（S3） (8)1.1.4.3 安全审计（G3） (8)1.1.4.4 剩余信息保护（S3） (8)1.1.4.5 通信完整性（S3） (8)1.1.4.6 通信保密性（S3） (8)1.1.4.7 抗抵赖（G3） (8)1.1.4.8 软件容错（A3） (8)1.1.4.9 资源控制（A3） (8)1.1.5 数据安全及备份恢复 (9)1.1.5.1 数据完整性（S3） (9)1.1.5.2 数据保密性（S3） (9)1.1.5.3 备份和恢复（A3） (9)1.2 管理要求 (9)1.2.1 安全管理制度 (9)1.2.1.1 管理制度（G3） (9)1.2.1.2 制定和发布（G3） (10)1.2.1.3 评审和修订（G3） (10)1.2.2 安全管理机构 (10)1.2.2.1 岗位设置（G3） (10)1.2.2.2 人员配备（G3） (10)1.2.2.3 授权和审批（G3） (10)1.2.2.4 沟通和合作（G3） (10)1.2.2.5 审核和检查（G3） (11)1.2.3 人员安全管理 (11)1.2.3.1 人员录用（G3） (11)1.2.3.2 人员离岗（G3） (11)1.2.3.3 人员考核（G3） (11)1.2.3.4 安全意识教育和培训（G3） (11)1.2.3.5 外部人员访问管理（G3） (12)1.2.4 系统建设管理 (12)1.2.4.1 系统定级（G3） (12)1.2.4.2 安全方案设计（G3） (12)1.2.4.3 产品采购和使用（G3） (12)1.2.4.4 自行软件开发（G3） (13)1.2.4.5 外包软件开发（G3） (13)1.2.4.6 工程实施（G3） (13)1.2.4.7 测试验收（G3） (13)1.2.4.8 系统交付（G3） (13)1.2.4.9 系统备案（G3） (14)1.2.4.10 等级测评（G3） (14)1.2.4.11 安全服务商选择（G3） (14)1.2.5 系统运维管理 (14)1.2.5.1 环境管理（G3） (14)1.2.5.2 资产管理（G3） (14)1.2.5.3 介质管理（G3） (15)1.2.5.4 设备管理（G3） (15)1.2.5.5 监控管理和安全管理中心（G3） (15)1.2.5.6 网络安全管理（G3） (15)1.2.5.7 系统安全管理（G3） (16)1.2.5.8 恶意代码防范管理（G3） (16)1.2.5.9 密码管理（G3） (16)1.2.5.10 变更管理（G3） (16)1.2.5.11 备份与恢复管理（G3） (17)1.2.5.12 安全事件处置（G3） (17)1.2.5.13 应急预案管理（G3） (17)第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

信息安全技术等级保护通用要求信息安全技术等级保护通用要求是指为确保国家信息系统安全，有效防护信息系统、保护信息内容不被未授权获取、披露、篡改、销毁，以及保障信息系统连续可靠稳定运行，而制定的一系列技术要求和管理要求。

信息安全技术等级保护通用要求要求信息系统建设符合国家和相关行业的相关法律法规，确保信息系统的合法合规运行。

这意味着信息系统的建设和运行不得违反国家法律法规，同时需要遵循相关行业的规范要求，确保信息系统的合法性和合规性。

通用要求对信息系统进行了多层次和多角度的安全防护要求。

包括物理安全、组织管理、人员身份认证与权限管理、安全审计与监控、通信和存储加密、漏洞与风险管理等方面的要求。

这些要求涵盖了信息系统在设计、建设、运维等各个阶段的不同方面，确保信息系统在多个层面上进行全面、系统的安全防护。

通用要求还要求信息系统具备及时响应和处置安全事件的能力。

信息系统应当具备实时监测和分析安全事件的能力，并能够迅速响应和处置各类安全事件。

这需要信息系统具备强大的安全监测与响应机制，确保及时发现、排查和解决安全事件，减小安全事件对信息系统的影响。

通用要求还对信息系统的维护和管理提出了要求。

信息系统应当进行定期的安全评估与测试，保证系统的安全性和可靠性。

同时，信息系统的维护和管理也应当符合相关的安全要求，包括定期备份和恢复、及时更新安全补丁、规范的运维管理等。

信息安全技术等级保护通用要求是对信息系统安全建设和管理的综合要求。

通过严格按照通用要求来设计、建设和运维信息系统，可以提高信息系统的安全性和可靠性，从而有效防止信息泄露、篡改以及其他安全威胁，保障国家信息安全。

信息安全技术信息系统等级保护安全设计技术要求一、引言信息安全技术信息系统等级保护（简称安全等级）是确定保护信息安全的主要依据。

安全等级在全球范围内得以广泛采用，为不同规模的信息系统提供安全保护，尤其是与计算机有关的信息系统，它受到越来越多的重视。

信息安全技术信息系统等级保护安全设计技术要求是根据安全等级保护要求而制定的，以实现信息系统等级保护的有效实施。

它主要包括信息系统安全建设要求、技术标准、安全控制要求、安全健康验证要求、安全风险管理要求等几个方面。

二、信息系统安全建设要求1、确定安全等级：根据系统内容、规模和应用环境，确定系统安全等级，并且根据安全等级制定安全控制要求。

2、安全需求分析：根据安全等级和系统功能，确定安全需求，并且对其做详细分析。

3、安全建设措施：针对安全分析的结果，确定有效的安全控制措施，以保障信息安全。

4、安全服务及测试：在安全控制实施之前应该进行全面的服务和测试，以保证安全控制措施可以有效地实施。

三、技术标准1、共用技术标准：按照国家发布的信息安全标准，依据国家安全要求、业务属性等，确定相应的安全控制措施，以达到安全要求。

2、可操作程度：检查与信息安全相关的应用系统是否具备足够的可操作性，以使用户可以有效的执行安全等级的安全控制措施。

3、安全增强技术：采用可用的安全增强技术，如双因素认证、VPN、虚拟机等，对安全等级进行有效保护。

4、工程技术标准：根据发展技术需要，系统地提出工程技术标准，为信息安全提供全面的指导和规范。

四、安全控制要求1、安全设计和测试：在设计、开发和测试过程中，应该以安全等级为依据，对系统设计、开发和测试进行充分的安全评估，以确保系统的安全性。

2、安全可控性：确保信息系统的安全性，应该把安全控制纳入系统的整体管理体系，并且把安全控制的实施责任落实到有关的责任人员身上。

3、安全记录：信息系统的安全活动必须保存有完整的日志记录，以便对系统发生的安全事件做出合理的反应。

信息系统等级保护安全设计技术要求1.1信息系统应遵守安全保护原则，严格遵守《信息系统安全法》等法律、法规及有关管理办法的要求。

1.2信息系统应遵守"认证与授权"原则，严格控制访问权限，仅获得访问权限的用户才能访问信息系统。

1.3信息系统应采用全面的安全机制和安全技术，确保信息系统的安全性、可靠性、机密性和完整性。

1.4信息系统应采取全面的安全措施，确保信息系统的所有设备都受到良好的安全管理，包括硬件设备、操作系统、数据库、网络设备等。

1.5信息系统应采取加强安全管理措施，包括安全审计和安全评估，确保信息系统的安全、高效的运行。

2.1信息系统应实施等级保护安全设计，其中内容应包括：认证与授权、日志审计、安全审计、加密安全、网络安全、备份协调、安全隔离、软件安全、数据安全和情报安全等。

2.2信息系统应根据业务场景和安全等级，划分出不同的业务系统，实施等级保护安全设计，确保业务安全和数据安全。

2.3信息系统应实施认证授权，控制访问权限，按照安全等级划分并限制访问权限，强制访问者认证，防止用户擅自获取高权限。

2.4信息系统应实施日志审计，记录审计日志，安全审计，审核系统运行状态。

2.5信息系统应实施加密安全，采取单向摘要加密技术、双向密码加密技术等加密技术，保护信息安全。

2.6信息系统应实施网络安全，采用安全策略、主机访问控制、访问控制、弱点扫描、边界防火墙等技术，保护网络安全。

2.7信息系统应实施备份协调，为系统数据安全制定备份计划，保密等级越高，备份周期越短。

2.8信息系统应实施安全隔离，根据安全等级对信息系统分层设置隔离层，采用主机组、网络拆分、安全虚拟化等手段，将不同安全等级的信息系统隔离。

2.9信息系统应实施软件安全，应采用受限运行策略、防护预处理等技术对软件进行防护，确保软件安全可靠、且内容完整。

2.10信息系统治理要求应严格执行数据保护、身份认证和秘密保护的措施，加强数据安全管理，确保数据安全和完整性，保证每一项数据的安全。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源信息安全技术信息系统安全等级保护测评要求于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作;但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订;根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准信息安全技术信息系统安全等级保护测评要求修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006;1.2制定本标准的目的和意义信息安全等级保护管理办法公通字200743号明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一;这就要求等级测评过程规范、测评结论准确、公正及可重现;信息安全技术信息系统安全等级保护基本要求GB/T22239-2008简称基本要求和信息安全技术信息系统安全等级保护测评要求GB/T28448-2012简称测评要求等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用;伴随着IT技术的发展,基本要求中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标;作为基本要求的姊妹标准,测评要求需要同步修订,依据基本要求的更新内容对应修订相关的单元测评章节;此外,测评要求还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法;1.3与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用信息安全技术信息系统安全等级保护定级指南GB/T 22240-2008简称“定级指南”确定等级保护对象的安全保护等级,然后根据信息安全技术网络安全等级保护基本要求系列标准选择安全控制措施,随后利用信息安全技术信息系统安全等级保护实施指南简称“实施指南”或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用信息安全技术网络安全等级保护测评过程指南GB/T 28449-20XX简称“测评过程指南”来规范测评过程和各项活动,利用信息安全技术网络安全等级保护测评要求系列标准来判断安全控制措施的有效性;同时,等级保护整个实施过程又是由实施指南来指导的;在等级保护的相关标准中,测评要求系列标准是基本要求系列标准的姊妹篇,测评要求针对基本要求中各要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象是否按照基本要求中的不同等级的技术和管理要求实施的,而测评过程指南则是规定了开展这些测评活动的基本过程,包括过程、任务及产品等,以指导用户对测评要求的正确使用;1.4标准组成为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T 28448-2012进行修订,修订的思路和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评要求;对GB/T 28448-2012的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分：——GB/T 信息安全技术网络安全等级保护测评要求第1部分：安全通用要求；——GB/T 信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第5部分：工控控制安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第6部分：大数据安全扩展测评要求; 2编制过程12013年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了信息安全技术信息安全等级保护测评要求标准编制组;22014年1月至5月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素；同时标准编制组调研了与信息安全技术信息系统安全等级保护测评要求GB/T 28448-2012相关的其他国家标准和行业标准,分析了信息安全技术信息系统安全等级保护基本要求GB/T 22239-2008的修订可能对其产生的影响;32014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定基本要求修订思路发生重大变化,为适应基本要求修订思路的变化在信息安全技术信息系统安全等级保护测评要求GB/T 28448-2012的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求、信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求、信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求、信息安全技术网络安全等级保护测评要求第5部分：工控控制安全扩展要求和信息安全技术网络安全等级保护测评要求第6部分：大数据安全扩展要求;构成GB/T 、GB/T 、……等测评要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012的修订思路和内容;52014年7月至2015年5月,标准编制组根据新修订基本要求草案第一稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第一稿;62015年5月至2015年12月,标准编制组根据新修订基本要求草案第三稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第二稿;72016年5月至2016年6月,标准编制组根据新修订基本要求草案第五稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第三稿;82016年5月23日,在评估中心针对信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第三稿进行行业内专家评审会;92016年7月,标准编制组根据新修订基本要求草案第六稿和第七稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿;92016年7月-8月,将信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见;102016年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿征求意见;112016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见;12根据专家意见已经修订完成,形成信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第五稿;13根据测评机构反馈意见修订完成,形成信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第六稿;14前正在推进测评要求后续专标准修订工作;3标准编制的技术路线安全等级保护测评以下简称等级测评的概念性描述框架由两部分构成：单项测评和整体测评,图1给出了等级测评框架;图1 等级测评描述框架针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性;单项测评是由测评指标、测评对象、测评实施和单元判定构成;本部分的测评指标包括信息安全技术网络安全等级保护基本要求第1部分：安全通用要求第四级目录下的要求项;测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等;对于框架来说,每一个被测安全要求项不同级别均有一组与之相关的预先定义的测评对象如制度文档、各类设备设施及相关人员等;制度文档是指针对等级保护对象所制定的相关联的文件如：政策、程序、计划、系统安全需求、功能规格及建筑设计;各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件如：硬件、软件、固件或物理设施;相关人员或部门,是指应用上述制度、设备及安全配置的人;测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述;测评实施主要由测评方法和测评规程构成;其中测评方法包括：访谈、检查和测试说明见术语,测评人员通过这些方法试图获取证据;上述的评估方法都由一组相关属性来规范测评方法的测评力度;这些属性是：广度覆盖面和深度;对于每一种测评方法都标识定义了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法;上述三种测评方法访谈、检查和测评的测评结果都用以对安全控制的有效性进行评估;测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据;结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法;通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合;整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评;4标准总体框架本标准共分为11章,4个附录,每章内容如下：第1、2、3章,为标准的常规性描述,包括范围、规范性引用文件、术语和定义；第4章,概要描述了安全等级保护测评方法及单项测评和整体测评组成；第5、6、7、8章,分别描述了第一、二、三、四级测评要求,每级分别遵从基本要求的框架从安全技术和安全管理两大方面描述如何实施测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开；而管理方面则分别从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与基本要求形成了相互对照、和谐统一的标准体系;第9章,略掉第五级的测评要求;第10章,描述了系统整体测评方法;在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评;分别从安全控制点、安全控制点间及层面间测评三方面进行描述,分析了在进行系统测评时所需考虑的方向和指导思想;第11章,概要说明了给出测评结论的方法,测评结论主要应该包括哪些方面的内容等;附录A,描述了各种测评方法的测评强度,并具体描述针对不同等级保护对象的测评强度;附录B,描述了测评指标编码规则及专用缩略语;附录C,描述了设计要求测评验证内容;附录D,为基本要求的要求项和测评要求的测评单元索引表;5主要章节的编写方法第5、6、7、8章分别描述了第一级、第二级、第三级和第四级所有测评要求的内容,在章节上分别对应国标GB/T 的第5章到第8章;在国标GB/T 第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面如物理和环境安全、网络和通信安全、设备和计算安全等进行划分和描述,四级目录按照安全控制点进行划分和描述如设备和计算安全层面下分为身份鉴别、访问控制、安全审计等,第五级目录是每一个安全控制点下面包括的具体安全要求项;具体编制案例如下;案例：7 第三级测评要求安全技术单项测评物理和环境安全物理位置的选择测评单元L3-PES1-01a 测评指标机房场地应选择在具有防震、防风和防雨等能力的建筑内；本条款引用自b 测评对象记录类文档、机房;c 测评实施1 应核查所在建筑物是否具有建筑物抗震设防审批文档；2 应核查机房是否不存在雨水渗漏；3 应核查门窗是否不存在因风导致的尘土严重；4 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂;d 单元判定如果1-4均为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合或部分符合本测评单元指标要求;测评单元L3-PES1-02a 测评指标机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施;本条款引用自b 测评对象机房;c 测评实施1 应核查是否不位于所在建筑物的顶层或地下室,如果否,则核查是否采取了防水和防潮措施;d 单元判定如果以上测评实施内容为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合本测评单元指标要求;信息安全技术网络系统安全等级保护测评要求第1部分：安全通用要求编写组2016年10月。