【正文】 要求，即主要說(shuō)明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級(jí)要求對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)的差異。 ?對(duì)計(jì)算機(jī)信息系統(tǒng)五個(gè)安全保護(hù)等級(jí)每一級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 （五） GA/T 387 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求 》 ? GA/T 387 — 2023主要內(nèi)容為： ? （ 1）簡(jiǎn)單描述了關(guān)于安全等級(jí)劃分、主體、客體、 TCB、密碼技術(shù)、建立網(wǎng)絡(luò)安全的一般要求，以及網(wǎng)絡(luò)安全組成與相互關(guān)系。 ? （ 2）詳細(xì)描述了網(wǎng)絡(luò)基本安全技術(shù)，包括自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、標(biāo)記、用戶身份鑒別、剩余信息保護(hù)、安全審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)、抗抵賴、密碼支持等。 ? （ 3）詳細(xì)描述了網(wǎng)絡(luò)安全技術(shù)要求。 ? （ 4）五個(gè)安全等級(jí)劃分要求技術(shù)方面細(xì)則。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實(shí)施。 ?該標(biāo)準(zhǔn)作為 GB 17859 — 1999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 的管理要求，是根據(jù) 《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 的規(guī)定編寫的，是 GB 17859 — 1999的配套標(biāo)準(zhǔn)中的重要標(biāo)準(zhǔn)之一，與上述所介紹的技術(shù)要求共同組成計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)保護(hù)體系。計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)保護(hù)體系從計(jì)算機(jī)信息系統(tǒng)的管理層面、物理層面、系統(tǒng)層面、網(wǎng)絡(luò)層面、應(yīng)用層面、運(yùn)行層面對(duì)計(jì)算機(jī)信息系統(tǒng)資源實(shí)施保護(hù)，作為計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的支撐服務(wù)。管理層面貫穿其他五個(gè)層面，是其他五個(gè)層面實(shí)施安全等級(jí)保護(hù)的保證。 （六） GA/T 391 — 2023《 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求 》 ?GA/T 391 — 2023主要內(nèi)容為： ? （ 1）簡(jiǎn)單描述了信息系統(tǒng)安全管理的內(nèi)涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過(guò)程、安全管理組織、人員安全管理、安全管理制度等。 ? （ 2）五個(gè)安全等級(jí)劃分要求管理方面細(xì)則。 （七） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 ?該標(biāo)準(zhǔn)以信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)為主要線索，介紹了信息系統(tǒng)的安全等級(jí)和保護(hù)要求等相關(guān)概念；說(shuō)明了信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中涉及的角色；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本原則；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本過(guò)程；信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的主要階段和主要活動(dòng)以及與信息系統(tǒng)生命周期之間的關(guān)系；提出了信息系統(tǒng)安全等級(jí)保護(hù)在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)、實(shí)施流程、具體的活動(dòng)內(nèi)容以及活動(dòng)的輸入輸出等，并對(duì)其進(jìn)行了詳細(xì)的描述。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?根據(jù) 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 中等級(jí)保護(hù)實(shí)施的生命周期，要對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)，首先就要科學(xué)地確定信息系統(tǒng)的安全等級(jí)， 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 給出了如何對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行確定的規(guī)范化規(guī)定和描述。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?為確定信息系統(tǒng)的安全保護(hù)等級(jí)，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在四個(gè)定級(jí)要素方面的賦值（分別為系統(tǒng)所屬類型、業(yè)務(wù)信息類型、服務(wù)范圍、依賴程度），然后分別由四個(gè)定級(jí)要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個(gè)定級(jí)指標(biāo)的等級(jí)，再根據(jù)業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級(jí)，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級(jí)確定信息系統(tǒng)的安全保護(hù)等級(jí)。 （八） 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 ?《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 》 為各單位開(kāi)展、實(shí)施等級(jí)保護(hù)提供了一個(gè)通用標(biāo)準(zhǔn)奠定了堅(jiān)實(shí)的基礎(chǔ)。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 中的標(biāo)準(zhǔn)方法，明確確定本單位信息系統(tǒng)的安全等級(jí)，一旦等級(jí)確定完成，后續(xù)的建設(shè)和運(yùn)行維護(hù)工作，再參考 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 實(shí)施。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 規(guī)定了信息系統(tǒng)安全等級(jí)保護(hù)的基本要求，包括基本技術(shù)要求和基本管理要求，適用于不同安全等級(jí)的信息系統(tǒng)的安全保護(hù)。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 為安全等級(jí)保護(hù)的每一個(gè)級(jí)別（共五個(gè)級(jí)別）都規(guī)定了要實(shí)現(xiàn)的安全目標(biāo)，以及為了實(shí)現(xiàn)安全目標(biāo)所必須采用的技術(shù)措施和管理手段。每一級(jí)別的技術(shù)措施和管理手段具體要求都被明確提出并分類組織。其中，技術(shù)措施的要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)不同層次；管理手段的要求分為安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)行維護(hù)管理五個(gè)不同類別。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 為安全等級(jí)保護(hù)的每一級(jí)別所規(guī)定的技術(shù)措施和管理手段的要求，各單位應(yīng)當(dāng)根據(jù)本單位信息系統(tǒng)安全級(jí)別的具體情況嚴(yán)格遵循。 （十） 《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 ?各單位對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施力度和遵循情況，不僅需要各單位自身進(jìn)行檢查和評(píng)估，而且需要信息安全監(jiān)管職能部門依法進(jìn)行監(jiān)督、檢查。評(píng)價(jià)信息系統(tǒng)是否達(dá)到了相應(yīng)級(jí)別的安全保護(hù)要求的過(guò)程，是對(duì)信息系統(tǒng)等級(jí)保護(hù)進(jìn)行測(cè)評(píng)的活動(dòng)。為了規(guī)范安全等級(jí)保護(hù)的測(cè)評(píng)活動(dòng)， 《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 對(duì)每一特定安全級(jí)別的信息系統(tǒng)從技術(shù)措施和管理措施兩方面提出了測(cè)評(píng)要求。 （十） 《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 ?《 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則 》 將測(cè)評(píng)分為安全控制測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩方面。安全控制測(cè)評(píng)，主要是測(cè)評(píng)信息系統(tǒng)安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施和配置情況；系統(tǒng)整體測(cè)評(píng)，主要對(duì)信息系統(tǒng)的整體安全性進(jìn)行測(cè)評(píng)。安全控制測(cè)評(píng)是信息系統(tǒng)整體安全性測(cè)評(píng)的基礎(chǔ)。 第二節(jié) 信息安全等級(jí)保護(hù)實(shí)施 ?一、基本原則 ?二、參與角色和職責(zé) ?三、實(shí)施過(guò)程 ?四、安全等級(jí)保護(hù)與信息系統(tǒng)生命周期的關(guān)系 一、基本原則 ?等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 ?等級(jí)保護(hù)在實(shí)施過(guò)程中應(yīng)遵循以下基本原則： ?（一）自主保護(hù)原則 ? 由各主管部門和運(yùn)營(yíng)、使用單位按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級(jí)，自行組織實(shí)施安全保護(hù)。 ?（二）同步建設(shè)原則 ? 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 一、基本原則 ?（三）重點(diǎn)保護(hù)原則 ? 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同的安全等級(jí)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 ?（四）適當(dāng)調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。因?yàn)樾畔⑾到y(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級(jí)，根據(jù)信息系統(tǒng)安全等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。 二、參與角色和職責(zé) ?信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)中的 《 信息安全技術(shù) ——信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 》 ，將參與等級(jí)保護(hù)過(guò)程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運(yùn)營(yíng)、使用單位；主要角色將參與等級(jí)保護(hù)實(shí)施過(guò)程的所有活動(dòng) ? 次要角色：是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測(cè)評(píng)機(jī)構(gòu)和安全產(chǎn)品供應(yīng)商。次要角色將參與等級(jí)保護(hù)實(shí)施過(guò)程的某一個(gè)或多個(gè)活動(dòng)。 等級(jí)保護(hù)實(shí)施過(guò)程中各類角色的職責(zé) ?（一）信息系統(tǒng)主管部門 ? 主要責(zé)任： ? 做好下屬單位的等級(jí)保護(hù)監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)； ? 對(duì)下屬單位確定的信息系統(tǒng)安全等級(jí)進(jìn)行審批； ? 督促下屬單位定期進(jìn)行安全狀況檢測(cè)評(píng)估，及時(shí)消除安全隱患和漏洞等。 等級(jí)保護(hù)實(shí)施過(guò)程中各類角色的職責(zé) ?（二）信息系統(tǒng)運(yùn)營(yíng)、使用單位 ? 信息系統(tǒng)運(yùn)營(yíng)、使用單位的主要責(zé)任是按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全等級(jí)，并報(bào)其主管部門審批同意；對(duì)安全等級(jí)在三級(jí)以上的信息系統(tǒng)，報(bào)送本地區(qū)地市級(jí)公安機(jī)關(guān)備案；根據(jù)已經(jīng)確定的安全等級(jí)，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工；采購(gòu)和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施；對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評(píng)估，發(fā)現(xiàn)問(wèn)題及時(shí)整改；加強(qiáng)和完善自身等級(jí)保護(hù)制度的建設(shè)，加強(qiáng)自我保護(hù)；定期進(jìn)行安全狀況檢測(cè)評(píng)估，及時(shí)消除安全隱患和漏洞，建立安全制度，制定不同等級(jí)信息安全事件的響應(yīng)、處置預(yù)案，加強(qiáng)信息系統(tǒng)的安全管理。 等級(jí)保護(hù)實(shí)施過(guò)程中各類角色的職責(zé) ?（三）信息系統(tǒng)安全服務(wù)商 ? 信息系統(tǒng)安全服務(wù)商的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位的委托，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成等級(jí)保護(hù)的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級(jí)、進(jìn)行安全需求分析、進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工等。 等級(jí)保護(hù)實(shí)施過(guò)程中各類角色的職責(zé) ?（四）信息安全監(jiān)管機(jī)構(gòu) ? 信息安全監(jiān)管機(jī)構(gòu)的主要責(zé)任是對(duì)不同重要程度的信息系統(tǒng)的等級(jí)保護(hù)工作給予相應(yīng)的指導(dǎo)，確保等級(jí)保護(hù)工作順利開(kāi)展；按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點(diǎn)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的等級(jí)保護(hù)狀況進(jìn)行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達(dá)到等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的要限期整改，使信息系統(tǒng)的安全保護(hù)措施更加完善；對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品的等級(jí)進(jìn)行監(jiān)督檢查。 等級(jí)保護(hù)實(shí)施過(guò)程中各類角色的職責(zé) ?（五）安全測(cè)評(píng)機(jī)構(gòu) ? 安全測(cè)評(píng)機(jī)構(gòu)的主要責(zé)任是根據(jù)信息系統(tǒng)運(yùn)營(yíng)、使用單位的委托或根據(jù)信息安全監(jiān)管機(jī)構(gòu)的委托，協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位或信息安全監(jiān)管機(jī)構(gòu)按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評(píng)估，對(duì)安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行檢查評(píng)估。 等級(jí)保護(hù)實(shí)施過(guò)程中各類角色的職責(zé) ?（六）安全產(chǎn)品供應(yīng)商 ? 安全產(chǎn)品供應(yīng)商的主要責(zé)任是按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，開(kāi)發(fā)符合等級(jí)保護(hù)要求的信息安全產(chǎn)品；提交信息安全產(chǎn)品進(jìn)行安全等級(jí)測(cè)評(píng)并按照等級(jí)保護(hù)要求銷售信息安全產(chǎn)品。 三、實(shí)施過(guò)程 ?對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的過(guò)程劃分為五個(gè)階段 （一）系統(tǒng)定級(jí)階段 ?系統(tǒng)定級(jí)階段通過(guò)對(duì)信息系統(tǒng)的調(diào)查和分析進(jìn)行信息