【導讀】GB/T×××××—××××××××-××-××發(fā)布××××-××-××實施

　　

【正文】 ............................................ 38 溝通和合作（ G4） ............................................................ 38 審核和檢查（ G4） ............................................................ 39 人員安全管理 .................................................................. 39 人員錄用（ G4） .............................................................. 39 人員離崗（ G4） .............................................................. 39 人員考核（ G4） .............................................................. 39 安全意識教育和培訓（ G4） .................................................... 39 外部人員訪問管理（ G4） ...................................................... 40 系統(tǒng)建設(shè)管理 .................................................................. 40 系統(tǒng)定級（ G4） .............................................................. 40 安全方案設(shè)計（ G4） .......................................................... 40 產(chǎn)品采購和使用（ G4） ........................................................ 40 自行軟件開發(fā)（ G4） .......................................................... 40 外包軟件開發(fā)（ G4） .......................................................... 41 工程實施（ G4） .............................................................. 41 GB/T XXXX – XXXX IX 測試驗收（ G4） .............................................................. 41 系統(tǒng)交付（ G4） .............................................................. 41 系統(tǒng)備案（ G4） .............................................................. 41 等級測評（ G4） ............................................................. 42 安全服務商選擇（ G4） ....................................................... 42 系統(tǒng)運維管理 .................................................................. 42 環(huán)境管理（ G4） .............................................................. 42 資產(chǎn)管理（ G4） .............................................................. 42 介質(zhì)管理（ G4） .............................................................. 42 設(shè)備管理（ G4） .............................................................. 43 監(jiān)控管理和安全管理中心（ G4） ................................................ 43 網(wǎng)絡(luò)安全管理（ G4） .......................................................... 43 系統(tǒng)安全管理（ G4） .......................................................... 44 惡意代碼防范管理（ G4） ...................................................... 44 密碼管理（ G4） .............................................................. 44 變更管理（ G4） ............................................................. 44 備份與恢復管理（ G4） ....................................................... 45 安全事件處置（ G4） ......................................................... 45 應急預案管理（ G4） ......................................................... 45 9 第五級基本要求 .................................................................... 46 附錄 A（規(guī)范性附錄 ） 關(guān)于信息系統(tǒng) 整體安全保護能力 的 要求 ............... 錯誤 !未定義書簽。 附錄 B（規(guī)范性附錄） 基本安全要求的選擇和使用 ......................... 錯誤 !未定義書簽。 參考文獻 ............................................................................ 51 GB/T XXXX – XXXX X 前 言 本標準的附錄 A和附錄 B 是規(guī)范性附錄 。 本標準由公安部 和 全國信息安全 標準化 技術(shù) 委員會 提出。 本標準由 全國信息安全 標準化 技術(shù) 委員會歸口 。 本標準起草單位：公安部信息安全等級保護評估中心。 本標準主要起草人： 馬力、任衛(wèi)紅、李明、袁靜、謝朝海、曲潔、李升、 陳雪秀、 朱建平、黃洪、劉靜、 羅崢 、 畢馬寧 。 GB/T XXXX – XXXX XI 引 言 依據(jù) 《中華人民共和國計算機信息系統(tǒng)安全保護條例》 （國務院 147 號令）、 《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā) [2020]27 號） 、 《關(guān)于信息安全等級保護工作的實施意見》（公通字 [2020]66 號） 和《信息安全等級保護管理辦法》 （公通字 [2020]43 號） ，制定本標準。 本標準是信息安全等級保護相關(guān)系列標準之一 。 與本標準相關(guān) 的系列標準包括： —— GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南； —— GB/T CCCCCCCC 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南 。 本標準與 GB17859199 GB/T 202692020 、 GB/T 202702020 、 GB/T 202712020 等標準共同構(gòu)成 了 信息系統(tǒng)安全等級保護 的相關(guān) 配套 標準。 其中 GB178591999 是 基礎(chǔ)性 標準， 本標準、GB/T2026920 GB/T2027020 GB/T202712020等 是 在 GB178591999基礎(chǔ)上的 進一步細化 和擴展 。 本標準在 GB17859199 GB/T2026920 GB/T2027020 GB/T202712020 等技術(shù)類標準的基礎(chǔ)上，根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同 安全保護等級 信息系統(tǒng)的 最低保護要求，即 基本安全要求， 基本安全要求 包括基本技術(shù)要求和基本管理要求， 本標準 適用于指導不同 安全保護等級 信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。 在本標準文本中，黑體字表示較低 等級中 沒有出現(xiàn)或增強的要求 。 GB/T XXXX – XXXX 1 信息系統(tǒng)安全等級保護基本要求 1 范圍 本標準規(guī)定了 不同 安全 保護等級 信息系統(tǒng) 的基本保護要求，包括 基本技術(shù)要求和基本管理要求，適用于指導分等級的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理 。 2 規(guī)范性引用文件 下列文件中的條款通過在本標準的引用而成為本標準的條款。凡是注日 期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本 標準 ，然而，鼓勵根據(jù)本 標準 達成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本 標準 。 GB/T 信息技術(shù) 詞匯 第 8部分：安全 GB178591999 計算機 信息系統(tǒng)安全 保護 等級劃分準則 GB/T AAAAAAAA 信息安全技術(shù) 信息系統(tǒng)安全等級保護 定級指南 3 術(shù)語和定義 GB/T GB 178591999確立的以及下列術(shù)語和定義適用于本標準。 安全保護能力 security protection ability 系統(tǒng)能夠 抵御威脅、發(fā)現(xiàn)安全事件以及在系統(tǒng) 遭到 損害 后能夠恢復 先 前狀態(tài) 等 的程度。 4 信息系統(tǒng)安全等級保護概述 信息系統(tǒng) 安全保護等級 信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程 度等，由低到高劃分為五級 ，五級定義見GB/T AAAAAAAA。 不同 等級 的安全保護能力 不同 等級 的信息系統(tǒng)應具備的基本安全保護能力如下： 第 一級安全保護能力：應能夠防護系統(tǒng)免受來 自 個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊 、一般的自然災難 、 以及其他相當危害程度的威脅所造成的關(guān)鍵資源 損害 ，在 系統(tǒng)遭到 損害 后，能夠恢復部分功能。 第 二級安全保護能力：應能夠防護系統(tǒng)免受來自 外部 小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊 、 一般的自然災難 、 以及其他相當危害程度的威脅所造成的重要資源 損害 ， 能夠 發(fā)現(xiàn)重要的安全漏洞和 安全事件 ，在 系統(tǒng)遭到 損害 后， 能夠在 一段時間內(nèi)恢復部分功能。 第 三級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自 外部 有組織的團體 、 擁有較為豐富資源的威脅源發(fā)起的惡意攻擊 、 較為嚴重的自然災難 、 以及其他相當危害程度的威脅所造成的主要資源 損害 ， 能夠 發(fā)現(xiàn)安全漏洞和安全事件 ，在 系統(tǒng)遭到 損害 后，能夠較快恢復絕大部分功能。 GB/T XXXX – XXXX 2 第 四級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自 國家級別的、 敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊 、 嚴重的自然災難 、 以及其他相當危害程度的威脅所造成的資源 損害 ，能夠 發(fā)現(xiàn)安全漏洞 和安全事件 ，在 系統(tǒng)遭到 損害 后，能夠迅速恢復所有功能。 第 五級安全保護能力： （略）。 基本 技術(shù)要求和 基本 管理要求 信息系統(tǒng)安全 等級保護 應 依據(jù)信息系統(tǒng)的 安全保護等級 情況保證它們具有相應等級的基本安全保護能力，不同 安全保護等級 的信息系統(tǒng)要求具有不同的安全保護能力。 基本安全要求是針對不同 安全保護等級 信息系統(tǒng)應該具有的基本安全保護能力提出的安全要求，根據(jù) 實現(xiàn)方式的不同， 基本安全要求分為基本 技術(shù) 要求 和 基本 管理 要求 兩 大類 。技術(shù) 類安全要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)，主要 通過 在信息系統(tǒng)中 部署軟硬件 并正確的配置其安全功 能 來實現(xiàn) ； 管理類安全要求與 信息系統(tǒng)中各種 角色 參與 的活動有關(guān)，