信息安全等级保护系列标准
信息安全等级保护2.0
信息安全等级保护2.0
信息安全等级保护2.0是国家关于信息安全管理和技术管理整体解决
方案,以及信息安全管理体系标准的衍生标准。
它主要是为了更好地
控制和保护在组织中使用的信息资源,提高组织的信息安全保护水平。
它强调在组织中确立安全等级保护制度,以更好地管理各个等级的信
息安全风险,保护组织的重要信息资源。
信息安全等级保护2.0分为四级:防护等级A、B、C和D。
安全等级A
代表基础信息安全要求,针对这级等级,组织应确立安全实施和控制
机制,以及安全风险评估机制。
安全等级B代表完整信息安全要求,
有助于组织建立安全系统,以确保组织的重要信息资源免受损害。
安
全等级C代表全面信息安全要求,主要是为了防止重要信息资源受到
外部攻击的威胁,从而更好地保护信息安全,防止其他人通过技术手
段侵入组织的系统。
安全等级D代表最高信息安全要求,其重点在于
加强信息安全体制,提高信息安全保护的综合能力,以更好地保护尤
其是重要信息资源。
信息安全等级保护 2.0旨在更好地控制和保护组织内部重要信息资源,提高组织的信息安全保护水平。
为此,它规定了必要的管理和技术手段,以保障重要信息的安全,防止未经授权的访问和攻击。
通过加强
信息安全管理体系,组织可以更好地保护信息安全,避免带来不必要
的损失。
信息安全等级保护2.0标准
信息安全等级保护2.0标准
信息安全等级保护2.0 标准是中国国家标准,用于指导信息系统的安全保护工作。
以下是信息安全等级保护 2.0 标准的一些主要方面:
1. 安全等级划分:标准将信息系统的安全等级划分为五个等级,从一级到五级,等级越高,安全要求越高。
2. 安全要求:标准规定了不同等级信息系统的安全要求,包括物理安全、网络安全、主机安全、应用安全、数据安全等方面。
3. 安全管理:标准强调了安全管理的重要性,包括安全策略、安全组织、人员管理、安全培训等方面。
4. 安全评估:标准要求对信息系统进行定期的安全评估,以确保信息系统的安全等级符合要求。
5. 安全监测:标准要求对信息系统进行实时的安全监测,及时发现和处理安全事件。
6. 应急响应:标准要求建立应急响应机制,及时处理安全事件,降低安全事件的影响。
信息安全等级保护2.0 标准是信息系统安全保护的重要指导文件,它可以帮助信息系统管理者提高信息系统的安全等级,保障信息系统的安全和稳定运行。
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
信息安全等级保护二级标准
信息安全等级保护二级标准
信息安全等级保护(简称等保)是指根据信息系统对信息的重要性、完整性、可用性等方面的要求,划分不同等级,采取相应的技术、管理和物理安全措施,对信息系统实施等级保护的活动。
信息安全等级保护的二级标准主要包括以下方面:
安全管理制度:建立健全信息安全管理体系,确保信息系统的安全管理规范、程序和制度的合理实施。
安全设计与实现:在信息系统的设计与实施过程中,充分考虑系统的安全性,采取相应的技术手段确保系统的稳定和安全运行。
系统运行维护:对信息系统的运行状态进行监测和维护,及时发现和解决系统运行中的安全问题,确保系统的连续可用性。
身份鉴别与访问控制:确保信息系统对用户的身份鉴别和访问控制具有高效性和严密性,防范未授权访问。
数据保护:采取有效措施对重要数据进行加密、备份和恢复,确保数据的完整性和可用性。
安全审计:建立完善的安全审计机制,对信息系统的操作和事件进行审计,及时发现并纠正存在的问题。
网络安全防护:针对网络通信过程中的安全隐患,采取有效的防护手段,确保信息的机密性和完整性。
应急响应与恢复:建立健全的信息安全应急响应机制,能够及时、有效地应对各类安全事件,保障系统的稳定运行。
外包服务安全管理:在使用外包服务时,确保外包服务商有相应
的信息安全管理体系,加强对外包服务的监督和管理。
安全培训与教育:对系统操作人员和管理人员进行定期的安全培训与教育,提高其安全意识和应对能力。
信息安全等级保护二级标准的实施,有助于提高信息系统的整体安全水平,保障信息的安全性、完整性和可用性。
信息安全等级保护四级防护技术要求
信息安全等级保护四级防护技术要求本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March信息安全等级保护(四级)具体技术要求我国信息安全等级保护与涉密信息系统分级保护关系等级保护分级保护保护对象不同非涉密信息系统涉密信息系统管理体系不同公安机关国家保密工作部门标准体系不同国家标准(GB、GB/T)国家保密标准(BMB,强制执行)级别划分不同第一级:自主保护级第二级:指导保护级第三级:监督保护级秘密级第四级:强制保护级机密级第五级:专控保护级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接,三个等级的防护水平不低于国家等级保护的第三、四、五级要求一、网络安全网络安全审计1、对网络系统中的网络设备运行状况、网络流量、用户行为等进行全面的监测、记录;2、对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;3、安全审计应可以根据记录数据进行分析,并生成审计报表;4、安全审计应可以对特定事件,提供指定方式的实时报警;5、审计记录应受到保护避免受到未预期的删除、修改或覆盖等;6、安全审计应能跟踪监测到可能的安全侵害事件,并终止违规进程;7、审计员应能够定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施(如报警并导出),当存储空间被耗尽时,终止可审计事件的发生;8、安全审计应根据信息系统的统一安全策略,实现集中审计;9、网络设备时钟应与时钟服务器时钟保持同步。
边界完整性检查1、应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为);2、应能够对非授权设备私自联到网络的行为进行检查,并准确定位、有效阻断;3、应能够对内部网络用户私自联到外部网络的行为进行检查后准确定出位置,并对其进行有效阻断;4、应能够根据信息流控制策略和信息流的敏感标记,阻止重要信息的流出。
信息安全等级保护系列标准概述
一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( s tandard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( s tandardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
信息安全等保三级标准
信息安全等保三级标准信息安全等保三级标准是指根据我国《信息安全等级保护管理办法》,对信息系统进行安全等级划分,并按照相应的技术和管理要求进行保护的标准。
信息安全等保三级标准是我国信息安全领域的重要标准之一,对于保障国家重要信息基础设施的安全具有重要意义。
本文将对信息安全等保三级标准进行详细介绍,以便广大信息安全从业人员更好地了解和应用。
一、信息安全等保三级标准概述。
信息安全等保三级标准是我国信息安全等级保护管理办法中规定的一种信息安全保护标准。
根据等级保护的需要,信息系统被划分为不同的安全等级,分别为三级、四级、五级。
其中,信息安全等保三级标准是对国家重要信息基础设施的保护要求最为严格的等级之一,涉及的信息系统安全等级较高,需要采取更加严格的技术和管理措施来保护信息系统的安全。
二、信息安全等保三级标准的技术要求。
信息安全等保三级标准对信息系统的技术要求非常严格,主要包括以下几个方面:1. 访问控制,信息系统应能够对用户的访问进行精细化控制,确保只有经过授权的用户才能够访问系统中的敏感信息。
2. 安全审计,信息系统应具备完善的安全审计功能,能够记录用户的操作行为,并能够对系统的安全状态进行全面的审计和监控。
3. 数据加密,对于系统中的重要数据,应采取加密措施,确保数据在传输和存储过程中不会被非法获取和篡改。
4. 安全通信,系统应采取安全的通信协议,确保在数据传输过程中不会被窃听和篡改。
5. 恶意代码防护,系统应具备有效的恶意代码防护措施,确保系统不会受到病毒、木马等恶意代码的侵害。
三、信息安全等保三级标准的管理要求。
除了技术要求之外,信息安全等保三级标准还对信息系统的管理提出了一系列严格要求,主要包括以下几个方面:1. 安全策略,信息系统应制定完善的安全策略,明确安全目标和安全责任,确保安全策略得到全面贯彻和执行。
2. 安全培训,对系统管理员和用户进行安全培训,提高其信息安全意识和技能,确保他们能够正确地使用和管理系统。
信息安全等级保护标准
信息安全等级保护标准信息安全等级保护标准(GB/T 22239-2008)是由中国国家标准化管理委员会发布的一项国家标准,旨在规范和指导各类信息系统的安全保护工作,保障国家重要信息基础设施的安全运行。
本标准适用于涉密信息系统、非涉密信息系统和非密级信息系统,是信息安全管理工作的重要依据。
一、信息安全等级划分。
根据GB/T 22239-2008标准,信息系统的安全等级划分包括四个等级,分别为一级、二级、三级和四级。
不同等级的信息系统对安全性的要求也不同,一级安全等级要求最严格,四级安全等级要求最低。
在具体的信息系统建设和运行中,应根据系统所处的环境和对信息安全的需求,确定相应的安全等级,并按照该等级的保护要求进行设计和实施。
二、信息安全等级保护的基本要求。
1. 安全保护目标明确,根据信息系统所处的环境和对信息安全的需求,明确安全保护的目标和要求,确保安全保护工作有的放矢。
2. 安全保护措施合理有效,采取符合实际情况的安全保护措施,包括技术措施、管理措施和物理措施,合理配置安全资源,确保安全保护措施的有效性。
3. 安全保护责任明确,明确信息系统安全保护的责任主体和责任范围,建立健全的安全管理机制,确保安全保护工作的有效实施。
4. 安全保护监督检查,建立健全的安全监督检查机制,对信息系统的安全保护工作进行定期检查和评估,及时发现和解决安全隐患。
5. 应急响应能力,建立健全的信息安全事件应急响应机制,对可能发生的安全事件进行预案设计和应急演练,提高信息系统的抗风险能力。
三、信息安全等级保护标准的意义。
信息安全等级保护标准的制定和实施,对于保障国家重要信息基础设施的安全运行,维护国家安全和社会稳定具有重要意义。
同时,对于促进信息技术的发展和应用,提高信息系统的安全性和可信度,也具有积极的推动作用。
在当前信息化的大背景下,信息系统的安全性问题日益突出,各类网络攻击、信息泄露事件层出不穷。
因此,加强信息安全等级保护工作,严格按照GB/T 22239-2008标准的要求,对信息系统进行科学合理的安全保护,已成为当务之急。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全国信安标委秘书处 上官晓丽国家信息安全等级保护安全建设工程师培训二○一五年十一月一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( standard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( standardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
标准制定中要体现该原则。
(三)中华人民共和国国务院2012年6月28日发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(即国务院23号文件)中再次强调“落实信息安全等级保护制度,开展相应等级的安全建设和管理”,“加快法规制度和标准建设”,“中央财政加大投入,重点支持信息安全战略研究和标准制定....等重要基础性工作。
”(四)2013年3月在《中华人民共和国国民经济和社会发展十二五规划纲要》中要求:健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系。
(五)2015年2月11日李克强主持召开的国务院常务会议指出:在涉及公众利益的健康、安全、环保等领域建立统一的强制性国家标准,逐步缩减推荐性标准,推动向公益性标准过渡。
......提高标准国际化水平。
◆我国信息安全标准化工作最早可追溯到20世纪80年代。
回顾我国二十多年的信息安全标准化发展经历,可以简单分为两个阶段。
◆第一个阶段是从最开始到2002年,这期间信息安全还没有引起人们的高度重视,标准化工作都是由各部门和行业根据行业业务需求分别制定,没有统筹规划和统一管理,各部门相互之间缺少沟通和交流。
◆第二个阶段是2002年以后,我国成立全国信息安全标准化技术委员会,全面规划和管理我国信息安全国家标准。
◆我国于1984年7月在信息技术标准化技术委员会之下组建了数据加密标准化分技术委员会,1985年发布了第一个有关信息安全方面的标准;◆1997年8月改组成全国信息技术标准化技术委员会信息安全分技术委员会。
◆该分技术委员会本着积极采用国际标准的原则,将一批国际信息安全基础技术标准转化成国家标准,为我国信息安全标准化工作奠定了初步基础。
◆在上述分委员会的推动下,公安部、安全部、国家保密局、国家密码管理委员会(现国家密码管理局)和军队有关部门等参与下,制定了一批信息安全的国家或行业标准,为推动我国信息安全技术在各行业的应用和普及发挥了积极作用。
其标准系列编号主要有:GB、GB/T、GJB、BMB、GA、YD等。
2002年4月, 全国信息安全标准化技术委员会(简称信安标委,编号TC260)成立,它是国家标准化管理委员会的直属标委会,其职责是从事全国信息安全标准化工作,统一协调和申报信息安全国家标准年度计划项目,组织国家标准的送审、报批、宣贯等工作。
在国家标准委和工信部的领导下,在公安部、安全部、国家保密局、国家密码管理局、国家认监委和总参等相关部门的指导和大力支持下,根据《国家信息安全“十一五”规划》(以下简称《规划》)要求,我国信息安全标准化沿着采用国际标准与自主研制并重的工作思路,取得了卓有成效的成绩,研究制定了一大批信息安全国家标准,已初步建立了我国信息安全标准体系,有力支持了我国信息安全保障体系建设。
正式发布国家标准:162项正在执行国标计划:169项信息安全等级保护标准化工作发展◆1994年国务院发布147号令即公布《中华人民共和国计算机信息系统安全保护条例》之后。
公安部在国家发改委支持下通过执行国家专项“1110 工程”,开始系统地制定国家信息安全标准,90 年代末形成一批急需的信息安全标准,其中包括信息安全第一个强制性标准---GB17859-1999。
◆近几年,为组织各单位、各部门开展信息安全等级保护工作,公安部根据法律授权,会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作,出台了一系列政策文件,构成了信息安全等级保护政策体系,为指导各地区、各部门开展等级保护工作提供了政策保障。
同时,在国内有关部门、专家、企业的共同努力下,制定了信息安全等级保护工作需要的一系列标准,形成了信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
信息安全等级保护标准发挥的作用(一)支撑作用。
信息安全等级保护标准是国家信息安全政策、法律和法规在技术和技术管理领域的体现,发挥着技术支撑作用。
(二)规范作用。
信息安全标准在信息安全等保建设中,起着指标和度量作用,发挥了规范和检验作用。
(三)指导作用。
标准在信息安全等保工作中发挥了统一信息安全术语、概念、框架和路线图的作用。
(四)基础作用。
现有标准既是信息安全工作的基础和里程碑,又是新标准的起点。
(五)培训作用。
标准及其解释本身就是一部信息安全专业的理论及最佳实践的经验总结,也是信息安全的基础教材何为“ 标准体系”▪国家标准GB/T 13016-2009《标准体系表编制原则和要求》明确了标准体系研究的基本概念、编制原则和基本方法▪标准体系是客观存在的标准有机整体,是标准的集合。
标准体系是通过系统的标准化指导行业、机构团体、产品、服务或工程项目等,从而达到整体的最佳效益。
标准体系表用以表达标准体系的构思、设想、整体规划,包括标准体系结构图和明细表,也可通过辅助的矩阵图或板块图等表示。
标准体系表是表达标准体系概念的模型。
▪GB/T 13016-2009规定“标准体系表的编制,应首先明确建立标准体系的目的。
不同的目的,可以编制出不同的标准体系表。
”标准分类▪目前尚无统一的标准分类理论和方法。
各标准组织基本上是根据各自的实践经验和实际需要,划分标准类别(分析),构建标准体系(综合),而且在不断进行调整。
▪国际上来讲,很少谈及标准体系,更多讲的是标准路线图,与体系不同的话,包括了对每项涉及到的标准化的制定时间表,更有计划性。
(一)国际标准化组织的标准分类ISO/IEC JTC1 SC27是国际标准化组织(ISO)和国际电工委员会(IEC)在信息技术领域共同成立的第一联合技术委员会(JTC1)下属的信息安全分技术委员会,专门负责信息与信息通信技术(ICT)安全标准研制工作。
下设5个工作组,见下图。
(二)我国信息安全标准分类我国信息安全有关部门多年来对信息安全标准分类方法进行了持续研究,并从不同角度先后提出了多种分类方法。
如:◆全国信息安全标准化技术委员会编制的《信息安全标准体系》(V1.0);◆全国信息安全标准化技术委员会秘书处编印《信息安全国家标准目录》V2.0版)◆国家信息安全等级保护工作协调小组办公室组织专家和标准起草单位共同编写的《信息安全等级保护主要标准简要介绍》等等。
《信息安全标准体系》是全国信息安全标准化技术委员会的技术文件,用于指导信息安全标准制定和信息安全标准实施。
2005年,形成《国家信息安全标准体系》v1.02014年,形成《国家信息安全标准体系》v4.0该标准体系v4.0,密切结合全国信息安全标准化技术委员会的组织架构体系和近年来信息安全国家标准研究与制定情况,对现有信息安全国家标准进行了归类和整理而提出的。
该标准体系编制原则:力图体现既能保持与国际接轨,又能体现全国信息安全标准化技术委员会的工作特点;既能反映标准体系的共性,又能体现信息安全标准化的特征。
国家信息安全标准体系▪是由信息安全领域内具有内在联系的标准组成的科学有机整体;▪是编制信息安全标准制、修订计划的重要依据;▪是促进信息安全领域内的标准组成趋向科学合理化的手段;▪是一幅现有、应有和预计制定信息安全标准的蓝图,并随着科学技术的发展不断地完善和更新。
国家信息安全标准体系主要由体系框架和标准明细表两部分组成,为现阶段信息安全标准制、修订提供依据,为信息安全保障体系建设提供支撑.信息安全技术标准从总体上可划分为七大类:▪基础标准▪技术与机制标准▪管理标准▪测评标准▪密码标准▪保密标准▪通信安全标准在每一大类的基础上,可按照标准所涉及的主要内容进行细分。
管理标准基础标准技术与机制标准测评标准信息安全技术标准体系安全术语体系结构模型框架密码技术保密技术标识与鉴别授权与访问控制实体管理物理安全管理基础管理体系管理支撑技术信息安全服务测评基础产品测评系统测评密码基础密码技术密码管理保密技术保密管理2、2009年10月国家信息安全等级保护工作协调小组办公室组织专家和标准起草单位编写的《信息安全等级保护主要标准简要介绍》一文中提出的信息安全等级保护标准分类是:(1)基础类标准(2)应用类标准( 3)产品类标准(4)其他类标准《信息系统安全等级保护实务》一书介绍等保标准即采用此分类法。
4、本文介绍等级保护标准采用的分类:(1)信息系统安全等级保护基础标准(2)信息系统安全等级保护建设与测评标准(3)信息系统安全等级保护管理标准(4)信息安全产品技术要求与测评标准(5)信息安全等级保护物理安全标准这个分类以信息安全等级保护标准已有分类方法为基础,参考了国内外信息安全标准分类的方案,并结合等级保护标准发展的实际情况。