【正文】 要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)的差異。 ?對計算機(jī)信息系統(tǒng)五個安全保護(hù)等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 （五） GA/T 387 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求 》 ? GA/T 387 — 2023主要內(nèi)容為： ? （ 1）簡單描述了關(guān)于安全等級劃分、主體、客體、 TCB、密碼技術(shù)、建立網(wǎng)絡(luò)安全的一般要求，以及網(wǎng)絡(luò)安全組成與相互關(guān)系。 ? （ 2）詳細(xì)描述了網(wǎng)絡(luò)基本安全技術(shù)，包括自主訪問控制、強制訪問控制、標(biāo)記、用戶身份鑒別、剩余信息保護(hù)、安全審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)、抗抵賴、密碼支持等。 ? （ 3）詳細(xì)描述了網(wǎng)絡(luò)安全技術(shù)要求。 ? （ 4）五個安全等級劃分要求技術(shù)方面細(xì)則。 （六） GA/T 391 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實施。 ?該標(biāo)準(zhǔn)作為 GB 17859 — 1999《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 的管理要求，是根據(jù) 《 計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 的規(guī)定編寫的，是 GB 17859 — 1999的配套標(biāo)準(zhǔn)中的重要標(biāo)準(zhǔn)之一，與上述所介紹的技術(shù)要求共同組成計算機(jī)信息系統(tǒng)的安全等級保護(hù)體系。計算機(jī)信息系統(tǒng)的安全等級保護(hù)體系從計算機(jī)信息系統(tǒng)的管理層面、物理層面、系統(tǒng)層面、網(wǎng)絡(luò)層面、應(yīng)用層面、運行層面對計算機(jī)信息系統(tǒng)資源實施保護(hù)，作為計算機(jī)信息系統(tǒng)安全保護(hù)的支撐服務(wù)。管理層面貫穿其他五個層面，是其他五個層面實施安全等級保護(hù)的保證。 （六） GA/T 391 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 》 ?GA/T 391 — 2023主要內(nèi)容為： ? （ 1）簡單描述了信息系統(tǒng)安全管理的內(nèi)涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過程、安全管理組織、人員安全管理、安全管理制度等。 ? （ 2）五個安全等級劃分要求管理方面細(xì)則。 （七） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)實施指南 》 ?該標(biāo)準(zhǔn)以信息系統(tǒng)安全等級保護(hù)建設(shè)為主要線索，介紹了信息系統(tǒng)的安全等級和保護(hù)要求等相關(guān)概念；說明了信息系統(tǒng)安全等級保護(hù)實施過程中涉及的角色；信息系統(tǒng)安全等級保護(hù)實施的基本原則；信息系統(tǒng)安全等級保護(hù)實施的基本過程；信息系統(tǒng)安全等級保護(hù)實施的主要階段和主要活動以及與信息系統(tǒng)生命周期之間的關(guān)系；提出了信息系統(tǒng)安全等級保護(hù)在信息系統(tǒng)生命周期不同階段的實施要點、實施流程、具體的活動內(nèi)容以及活動的輸入輸出等，并對其進(jìn)行了詳細(xì)的描述。 （八） 《 信息系統(tǒng)安全保護(hù)等級定級指南 》 ?根據(jù) 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)實施指南 》 中等級保護(hù)實施的生命周期，要對信息系統(tǒng)進(jìn)行安全等級保護(hù)，首先就要科學(xué)地確定信息系統(tǒng)的安全等級， 《 信息系統(tǒng)安全保護(hù)等級定級指南》 給出了如何對信息系統(tǒng)的安全等級進(jìn)行確定的規(guī)范化規(guī)定和描述。 （八） 《 信息系統(tǒng)安全保護(hù)等級定級指南 》 ?為確定信息系統(tǒng)的安全保護(hù)等級，首先要確定信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)在四個定級要素方面的賦值（分別為系統(tǒng)所屬類型、業(yè)務(wù)信息類型、服務(wù)范圍、依賴程度），然后分別由四個定級要素確定業(yè)務(wù)信息安全性和業(yè)務(wù)服務(wù)保證性兩個定級指標(biāo)的等級，再根據(jù)業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級確定業(yè)務(wù)子系統(tǒng)安全保護(hù)等級，最后由信息系統(tǒng)內(nèi)各業(yè)務(wù)子系統(tǒng)的最高等級確定信息系統(tǒng)的安全保護(hù)等級。 （八） 《 信息系統(tǒng)安全保護(hù)等級定級指南 》 ?《 信息系統(tǒng)安全保護(hù)等級定級指南 》 為各單位開展、實施等級保護(hù)提供了一個通用標(biāo)準(zhǔn)奠定了堅實的基礎(chǔ)。 ?各單位首先根據(jù) 《 信息系統(tǒng)安全保護(hù)等級定級指南》 中的標(biāo)準(zhǔn)方法，明確確定本單位信息系統(tǒng)的安全等級，一旦等級確定完成，后續(xù)的建設(shè)和運行維護(hù)工作，再參考 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 實施。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 規(guī)定了信息系統(tǒng)安全等級保護(hù)的基本要求，包括基本技術(shù)要求和基本管理要求，適用于不同安全等級的信息系統(tǒng)的安全保護(hù)。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 為安全等級保護(hù)的每一個級別（共五個級別）都規(guī)定了要實現(xiàn)的安全目標(biāo)，以及為了實現(xiàn)安全目標(biāo)所必須采用的技術(shù)措施和管理手段。每一級別的技術(shù)措施和管理手段具體要求都被明確提出并分類組織。其中，技術(shù)措施的要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個不同層次；管理手段的要求分為安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運行維護(hù)管理五個不同類別。 （九） 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 ?《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)基本要求 》 為安全等級保護(hù)的每一級別所規(guī)定的技術(shù)措施和管理手段的要求，各單位應(yīng)當(dāng)根據(jù)本單位信息系統(tǒng)安全級別的具體情況嚴(yán)格遵循。 （十） 《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 ?各單位對信息系統(tǒng)安全等級保護(hù)的實施力度和遵循情況，不僅需要各單位自身進(jìn)行檢查和評估，而且需要信息安全監(jiān)管職能部門依法進(jìn)行監(jiān)督、檢查。評價信息系統(tǒng)是否達(dá)到了相應(yīng)級別的安全保護(hù)要求的過程，是對信息系統(tǒng)等級保護(hù)進(jìn)行測評的活動。為了規(guī)范安全等級保護(hù)的測評活動， 《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 對每一特定安全級別的信息系統(tǒng)從技術(shù)措施和管理措施兩方面提出了測評要求。 （十） 《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 ?《 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則 》 將測評分為安全控制測評和系統(tǒng)整體測評兩方面。安全控制測評，主要是測評信息系統(tǒng)安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實施和配置情況；系統(tǒng)整體測評，主要對信息系統(tǒng)的整體安全性進(jìn)行測評。安全控制測評是信息系統(tǒng)整體安全性測評的基礎(chǔ)。 第二節(jié) 信息安全等級保護(hù)實施 ?一、基本原則 ?二、參與角色和職責(zé) ?三、實施過程 ?四、安全等級保護(hù)與信息系統(tǒng)生命周期的關(guān)系 一、基本原則 ?等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 ?等級保護(hù)在實施過程中應(yīng)遵循以下基本原則： ?（一）自主保護(hù)原則 ? 由各主管部門和運營、使用單位按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級，自行組織實施安全保護(hù)。 ?（二）同步建設(shè)原則 ? 信息系統(tǒng)在新建、改建、擴(kuò)建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 一、基本原則 ?（三）重點保護(hù)原則 ? 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同的安全等級，實現(xiàn)不同強度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 ?（四）適當(dāng)調(diào)整原則 ? 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。因為信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級，根據(jù)信息系統(tǒng)安全等級的調(diào)整情況，重新實施安全保護(hù)。 二、參與角色和職責(zé) ?信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)中的 《 信息安全技術(shù) ——信息系統(tǒng)安全等級保護(hù)實施指南 》 ，將參與等級保護(hù)過程的各類組織和人員劃分為： ? 主要角色：是指信息系統(tǒng)主管部門和信息系統(tǒng)運營、使用單位；主要角色將參與等級保護(hù)實施過程的所有活動 ? 次要角色：是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測評機(jī)構(gòu)和安全產(chǎn)品供應(yīng)商。次要角色將參與等級保護(hù)實施過程的某一個或多個活動。 等級保護(hù)實施過程中各類角色的職責(zé) ?（一）信息系統(tǒng)主管部門 ? 主要責(zé)任： ? 做好下屬單位的等級保護(hù)監(jiān)督管理工作； ? 組織、協(xié)調(diào)和督促下屬單位按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行等級保護(hù)； ? 對下屬單位確定的信息系統(tǒng)安全等級進(jìn)行審批； ? 督促下屬單位定期進(jìn)行安全狀況檢測評估，及時消除安全隱患和漏洞等。 等級保護(hù)實施過程中各類角色的職責(zé) ?（二）信息系統(tǒng)運營、使用單位 ? 信息系統(tǒng)運營、使用單位的主要責(zé)任是按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全等級，并報其主管部門審批同意；對安全等級在三級以上的信息系統(tǒng)，報送本地區(qū)地市級公安機(jī)關(guān)備案；根據(jù)已經(jīng)確定的安全等級，按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計、建設(shè)施工；采購和使用相應(yīng)等級的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實安全技術(shù)措施；對已經(jīng)完成等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評估，發(fā)現(xiàn)問題及時整改；加強和完善自身等級保護(hù)制度的建設(shè)，加強自我保護(hù)；定期進(jìn)行安全狀況檢測評估，及時消除安全隱患和漏洞，建立安全制度，制定不同等級信息安全事件的響應(yīng)、處置預(yù)案，加強信息系統(tǒng)的安全管理。 等級保護(hù)實施過程中各類角色的職責(zé) ?（三）信息系統(tǒng)安全服務(wù)商 ? 信息系統(tǒng)安全服務(wù)商的主要責(zé)任是根據(jù)信息系統(tǒng)運營、使用單位的委托，按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，協(xié)助信息系統(tǒng)運營、使用單位完成等級保護(hù)的相關(guān)工作，可能包括確定其信息系統(tǒng)的安全等級、進(jìn)行安全需求分析、進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計、建設(shè)施工等。 等級保護(hù)實施過程中各類角色的職責(zé) ?（四）信息安全監(jiān)管機(jī)構(gòu) ? 信息安全監(jiān)管機(jī)構(gòu)的主要責(zé)任是對不同重要程度的信息系統(tǒng)的等級保護(hù)工作給予相應(yīng)的指導(dǎo)，確保等級保護(hù)工作順利開展；按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點對第三級、第四級信息系統(tǒng)的等級保護(hù)狀況進(jìn)行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達(dá)到等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的要限期整改，使信息系統(tǒng)的安全保護(hù)措施更加完善；對信息系統(tǒng)中使用的信息安全產(chǎn)品的等級進(jìn)行監(jiān)督檢查。 等級保護(hù)實施過程中各類角色的職責(zé) ?（五）安全測評機(jī)構(gòu) ? 安全測評機(jī)構(gòu)的主要責(zé)任是根據(jù)信息系統(tǒng)運營、使用單位的委托或根據(jù)信息安全監(jiān)管機(jī)構(gòu)的委托，協(xié)助信息系統(tǒng)運營、使用單位或信息安全監(jiān)管機(jī)構(gòu)按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對已經(jīng)完成等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行檢查評估，對安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行檢查評估。 等級保護(hù)實施過程中各類角色的職責(zé) ?（六）安全產(chǎn)品供應(yīng)商 ? 安全產(chǎn)品供應(yīng)商的主要責(zé)任是按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，開發(fā)符合等級保護(hù)要求的信息安全產(chǎn)品；提交信息安全產(chǎn)品進(jìn)行安全等級測評并按照等級保護(hù)要求銷售信息安全產(chǎn)品。 三、實施過程 ?對信息系統(tǒng)實施等級保護(hù)的過程劃分為五個階段 （一）系統(tǒng)定級階段 ?系統(tǒng)定級階段通過對信息系統(tǒng)的調(diào)查和分析進(jìn)行信息