信息安全等级保护培训教材（第1册）

信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则 信 信息评信评信安全等级 息系过息要息系统程系求系统等指统 统现安级南安安状信息安全等级方全保 全全分法等护等等析保护安全建设级安 级级整改工作 指导保全 保保护设护护实计测测施技安全要求 指术南要 求 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保护基本要求 技术类 管理类 产品类 信息系统通用安全 信息系统安全 操作系统安全技术 技术要求 管理要求 要求 信息系统物理安全 信息系统安全工程 数据库管理系统安全技术要求 管理要求 技术要求 网络基础安全技术 其他管理类标准 网络和终端设备隔离部要求 件技术要求 其他技术类标准 其他产品类标准 计算机信息系统安全保护等级划分准则（GB17859） 图2 等级保护相关标准与等级保护各工作环节的关系

9

（一）各类标准与等级保护工作的关系 1、基础标准

《计算机信息系统安全保护等级划分准则》是强制性国家标准，是等级保护的基础性标准，在此基础上制定出《信息系统通用安全技术要求》等技术类、《信息系统安全管理要求》、《信息系统安全工程管理要求》等管理类、《操作系统安全技术要求》等产品类标准，为相关标准的制定起到了基础性作用。

2、安全要求类标准

《基本要求》以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。

（1）《信息系统安全等级保护基本要求》（以下简称《基本要求》）。该标准是在《计算机信息系统安全保护等级划分准则》、技术类标准和管理类标准基础上，总结几年的实践，结合当前信息技术发展的实际情况研究制定的，该标准提出了各级信息系统应当具备的安全保护能力，并从技术和管理两方面提出了相应的措施。

（2）信息系统安全等级保护基本要求的行业细则。重点行业可以按照《基本要求》等国家标准，结合行业特点，在公安部等有关部门指导下，确定《基本要求》的具体指标，在不低于《基本要求》的情况下，结合系统安全保护的特殊需求，制定行业标准规范或细则。

3、定级类标准

《信息系统安全等级保护定级指南》和信息系统安全等级保

10

护行业定级细则为确定信息系统安全保护等级提供支持。

（1）《信息系统安全等级保护定级指南》（GB/T22240-2008）。该标准规定了定级的依据、对象、流程和方法以及等级变更等内容，用于指导开展信息系统定级工作。

（2）信息系统安全等级保护行业定级细则。重点行业可以按照《信息系统安全等级保护定级指南》等国家标准，结合行业特点和信息系统的特殊性，在公安部等有关部门指导下，制定行业信息系统定级规范或细则。

4、方法指导类标准

《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准。

（1）《信息系统安全等级保护实施指南》（信安字[2007]10号）。该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。

（2）《信息系统等级保护安全设计技术要求》（信安秘字[2009]059号）。该标准提出了信息系统等级保护安全设计的技术要求，包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求，以及定级系统互联的设计技术要求，明确了体现定级系统安全保护能力的整体控制机制，用于指导信息系统运营使用

11

单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。

5、现状分析类标准

《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。

（1）《信息系统安全等级保护测评要求》。该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容，用于规范和指导测评人员如何开展等级测评工作。

（2）《信息系统安全等级保护测评过程指南》。该标准阐述了信息系统等级测评的测评过程，明确了等级测评的工作任务、分析方法以及工作结果等，包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动，用于规范测评机构的等级测评过程。

（二）在应用有关标准中需注意的几个问题

1、《基本要求》是信息系统安全建设整改的基本目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。《基本要求》中不包含安全设计和工程实施等内容，因此，在系统安全建设整改中，可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。

2、由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级，因此，在进行信息系统安全建

12