【正文】 安全 3 4+ 7 7 2 網(wǎng)絡(luò)訪問控制 3 4+ 8 4 3 網(wǎng)絡(luò)安全審計(jì) 0 2 4 6 4 邊界完整性檢查 0 1 2 2 5 網(wǎng)絡(luò)入侵防范 0 1 2 2+ 6 惡意代碼防范 0 0 2 2 7 網(wǎng)絡(luò)設(shè)備防護(hù) 3 6 8 9 合計(jì) 9 18 33 32 ? 主機(jī)安全是指對(duì)信息系統(tǒng)涉及到的 服務(wù)器和工作站 進(jìn)行主機(jī)系統(tǒng)安全保護(hù)。具體關(guān)注內(nèi)容包括操作系統(tǒng)或數(shù)據(jù)庫管理系統(tǒng)的選擇、安裝和安全配置、主機(jī)入侵防范、惡意代碼防范、資源使用和運(yùn)行情況監(jiān)控等。其中，安全配置細(xì)分為身份鑒別、訪問控制、安全審計(jì)等方面的配置內(nèi)容 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 身份鑒別 1 5 6 7 2 安全標(biāo)記 0 0 0 1 3 訪問控制 3 4 7 6 4 可信路徑 0 0 0 2 5 安全審計(jì) 0 4 6+ 7+ 6 剩余信息保護(hù) 0 0 2 2 7 入侵防范 1 1 3 3 8 惡意代碼防范 1 2 3 3 9 資源控制 0 3 5 5 合計(jì) 6 19 32 36 ? 應(yīng)用安全是指對(duì)信息系統(tǒng)涉及到的 應(yīng)用系統(tǒng) 進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括應(yīng)用系統(tǒng)實(shí)現(xiàn)身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等功能方面 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 身份鑒別 3 4 5 5 2 安全標(biāo)記 0 0 0 1 3 訪問控制 2 4 6 5 4 可信路徑 0 0 0 2 5 安全審計(jì) 0 3 4 5 6 剩余信息保護(hù) 0 0 2 2 7 通信完整性 1 1+ 1+ 1 8 通信保密性 0 2 2+ 3 9 抗抵賴 0 0 2 2 10 軟件容錯(cuò) 1 2 2 3 11 資源控制 0 3 7 7 合計(jì) 7 19 31 36 ? 數(shù)據(jù)安全是指對(duì)信息系統(tǒng)中 業(yè)務(wù)數(shù)據(jù)的傳輸、存儲(chǔ)和備份恢復(fù) 進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、冗余備用設(shè)備以及備份恢復(fù)相關(guān)技術(shù)設(shè)施等方面 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 數(shù)據(jù)完整性 1 1 2 3 2 數(shù)據(jù)保密性 0 1 2 3 3 數(shù)據(jù)備份與恢復(fù) 1 2 4 5 合計(jì) 2 4 8 11 ? 安全管理結(jié)構(gòu)是指 明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門 。設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門，建立崗位和人員管理制度，根據(jù)職責(zé)分工，分別設(shè)置安全管理機(jī)構(gòu)和崗位，明確每個(gè)崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 崗位設(shè)置 1 2 4 4 2 人員配備 1 2 3 3 3 授權(quán)和審批 1 2 4 4 4 溝通和合作 1 2 5 5 5 審核和檢查 0 1 4 4 合計(jì) 4 9 20 20 ? 安全管理制度是指 確定安全管理策略，制定安全管理制度 。確定安全管理目標(biāo)和安全策略，針對(duì)信息系統(tǒng)的各類管理活動(dòng)，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 管理制度 1 3 4 4 2 制定和發(fā)布 2 3 5 6 3 評(píng)審和修訂 0 1 2 4 合計(jì) 3 7 11 14 ? 人員安全管理是指 加強(qiáng)人員的安全管理 。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 人員錄用 2 3+ 4+ 4 2 人員離崗 2 3 3+ 3+ 3 人員考核 0 1 3 4 4 安全意識(shí)教育和培訓(xùn) 2 3+ 4 4 5 外部人員訪問管理 1 1 2 3 合計(jì) 7 11 16 18 ? 人員安全管理是指 加強(qiáng)人員的安全管理 。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 人員錄用 2 3+ 4+ 4 2 人員離崗 2 3 3+ 3+ 3 人員考核 0 1 3 4 4 安全意識(shí)教育和培訓(xùn) 2 3+ 4 4 5 外部人員訪問管理 1 1 2 3 合計(jì) 7 11 16 18 ? 系統(tǒng)建設(shè)管理是指 加強(qiáng)系統(tǒng)建設(shè)過程的管理 。制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 系統(tǒng)定級(jí) 3 3 4 4 2 安全方案設(shè)計(jì) 3 4 5 5 3 產(chǎn)品采購(gòu) 1 3 4 5 4 自行軟件開發(fā) 2 3 5 6 5 外包軟件開發(fā) 3 4 4 4 6 工程實(shí)施 1 2 3+ 4 7 測(cè)試驗(yàn)收 2 3 4+ 4 8 系統(tǒng)交付 2 3 5 5 9 系統(tǒng)備案 0 0 3 3 10 安全測(cè)評(píng) 0 0 4 4+ 11 安全服務(wù)商選擇 2 3 3 3 合計(jì) 20 28 45 48 ? 系統(tǒng)運(yùn)維管理是指 加強(qiáng)系統(tǒng)運(yùn)維過程的管理 。制定系統(tǒng)運(yùn)維相關(guān)的管理制度，明確環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施 序號(hào) 安全關(guān)注點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 1 環(huán)境管理 3 4 4 5 2 資產(chǎn)管理 1 2 4 4 3 介質(zhì)管理 2 4 6+ 6+ 4 設(shè)備管理 2 4 5 5 5 安全管理中心 0 0 3 3 6 網(wǎng)絡(luò)安全管理 2 6 8 9 7 系統(tǒng)安全管理 3 6 7 8 8 惡意代碼防范 1 3 4 4 9 密碼管理 0 1 1+ 1 10 變更管理 0 2 4 5 11 備份與恢復(fù)管理 2 3 5 6 12 安全事件處置 2 4 6 8 13 應(yīng)急預(yù)案管理 0 2 5 6 合計(jì) 18 41 62 70 ? Telematics的產(chǎn)業(yè)鏈（以車廠為主） fee fee fee fee Contents Contents CRM Data Monthly Subscription Mobility Services Wireless Connections Connection Fee Telematics Services 內(nèi)容采集商 內(nèi)容整合商 終端廠商 通信運(yùn)營(yíng)商 Telematics 服務(wù)提供商 汽車廠商 客戶 Telematics發(fā)展 《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 使用介紹 公安部信息安全等級(jí)保護(hù)評(píng)估中心 馬力 目錄 ? 使用時(shí)機(jī)和主要作用 ? 保護(hù)要求分級(jí)描述的主要思想 ? 各級(jí)系統(tǒng)保護(hù)的主要內(nèi)容 ? 一、使用時(shí)機(jī)和主要作用 《管理辦法》”等級(jí)劃分和保護(hù)“第八條 ? 信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù) 本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn) 對(duì)信息系統(tǒng)進(jìn)行保護(hù)，國(guó)家有關(guān)信息安全職能部門對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。 《管理辦法》”等級(jí)保護(hù)的實(shí)施與管理“第十二條 ? 在信息系統(tǒng)建設(shè)過程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng) 按照 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB178591999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照 ……等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的 信息安全設(shè)施 。 《管理辦法》”等級(jí)保護(hù)的實(shí)施與管理“第十三條 ? 運(yùn)營(yíng)、使用單位應(yīng)當(dāng) 參照 《信息安全技術(shù)信息系統(tǒng)安全管理要求》（ GB/T202692023）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（ GB/T202822023）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的 安全管理制度 。 《管理辦法》”等級(jí)保護(hù)的實(shí)施與管理“第十四條 ? 信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)， 定期 對(duì)信息系統(tǒng)安全等級(jí)狀況 開展等級(jí)測(cè)評(píng) 。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。 《管理辦法》”等級(jí)保護(hù)的實(shí)施與管理“第十四條 ? 信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng) 定期 對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況 進(jìn)行自查 。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。 《管理辦法》”等級(jí)保護(hù)的實(shí)施與管理“第十四條 ? 經(jīng)測(cè)評(píng)或者自查， 信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的 ，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案 進(jìn)行整改 。 技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的作用 技術(shù)標(biāo)準(zhǔn)和管理規(guī)范 信息系統(tǒng)定級(jí) 信息系統(tǒng)安全建設(shè)或改建 安全狀況達(dá)到等級(jí)保護(hù)要求的信息系統(tǒng) 涉及的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ? 《信息安全等級(jí)保護(hù)管理辦法》公通字 [2023]43號(hào) ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB178591999） ? 《信息安全等級(jí)保護(hù)實(shí)施指南》 ? 《信息安全等級(jí)保護(hù)定級(jí)指南》 ? 《信息安全等級(jí)保護(hù)基本要求》 ? 《信息安全等級(jí)保護(hù)測(cè)評(píng)要求》 ? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（ GB/T202702023） ? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》GB/T202712023） ? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（ GB/T202722023） ? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（ GB/T202732023） 涉及的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ? 《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（ GB/T202692023） ? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（ GB/T202822023） ? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（ GB/T202822023） 整體要求的管理規(guī)范和技術(shù)標(biāo)準(zhǔn) ? 《信息安全等級(jí)保護(hù)管理辦法》 ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB178591999） ? 《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 ? 《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 ? 《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 ? 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 ? 等等 《基本要求》的作用 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 運(yùn)營(yíng)、使用單位 （安全服務(wù)商） 主管部門 （等級(jí)測(cè)評(píng)機(jī)構(gòu)） 安全保護(hù) 測(cè)評(píng)檢查 《基本要求》的定位 ? 是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”，同樣級(jí)別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺”來衡量，保證權(quán)威性，是 一個(gè)達(dá)標(biāo)線 ； ? 每個(gè)級(jí)別的信息系統(tǒng)按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力， 達(dá)到一種基本的安全狀態(tài) 。 ? 是每個(gè)級(jí)別信息系統(tǒng)進(jìn)行安全保護(hù)工作的一個(gè) 基本出發(fā)點(diǎn) ，更加貼切的保護(hù)可以通過需求分析對(duì)基本要求進(jìn)行補(bǔ)充， 參考其他有關(guān)等級(jí)保護(hù)或安全方面的標(biāo)準(zhǔn)來實(shí)現(xiàn) 。 《基本要求》的定位 某級(jí)信息系統(tǒng) 基本保護(hù) 精確保護(hù) 基本要求