標(biāo)準(zhǔn)解讀

《GA/T 708-2007 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)體系框架》是中國公安部發(fā)布的一項(xiàng)技術(shù)標(biāo)準(zhǔn),旨在為各類信息系統(tǒng)的安全保護(hù)提供一個(gè)全面、系統(tǒng)的框架。該標(biāo)準(zhǔn)詳細(xì)闡述了如何根據(jù)信息系統(tǒng)的不同重要程度和面臨的威脅級(jí)別,實(shí)施相應(yīng)級(jí)別的安全保護(hù)措施,確保信息的保密性、完整性、可用性和可靠性。下面是該標(biāo)準(zhǔn)的主要內(nèi)容概述:

  1. 范圍與適用對(duì)象:本標(biāo)準(zhǔn)適用于指導(dǎo)各類組織和機(jī)構(gòu)設(shè)計(jì)、實(shí)施、維護(hù)和評(píng)估其信息系統(tǒng)的安全等級(jí)保護(hù)工作。它覆蓋了從國家安全、社會(huì)秩序到個(gè)人隱私保護(hù)等多個(gè)層面的信息安全保障需求。

  2. 安全等級(jí)劃分:標(biāo)準(zhǔn)將信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí),從第一級(jí)(自主保護(hù)級(jí))到第五級(jí)(??乇Wo(hù)級(jí)),每一級(jí)都對(duì)應(yīng)著不同的安全保護(hù)要求。等級(jí)越高,意味著系統(tǒng)所承載的信息越敏感,受到的保護(hù)措施也應(yīng)越嚴(yán)格。

  3. 安全保護(hù)框架:標(biāo)準(zhǔn)構(gòu)建了一個(gè)包括安全政策、安全組織、安全建設(shè)、安全運(yùn)維和安全評(píng)估五個(gè)方面的綜合保護(hù)框架。這五個(gè)方面相輔相成,共同構(gòu)成了一個(gè)完整的信息安全管理體系。

    • 安全政策:明確信息安全管理的目標(biāo)、原則、策略和程序。
    • 安全組織:建立負(fù)責(zé)信息安全工作的組織結(jié)構(gòu)和職責(zé)分配。
    • 安全建設(shè):按照安全等級(jí)要求實(shí)施物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面的防護(hù)措施。
    • 安全運(yùn)維:進(jìn)行日常的安全監(jiān)控、事件響應(yīng)、備份恢復(fù)和安全審計(jì)等活動(dòng)。
    • 安全評(píng)估:定期對(duì)信息系統(tǒng)進(jìn)行安全檢查和風(fēng)險(xiǎn)評(píng)估,確保安全措施的有效性。

  4. 實(shí)施指南:提供了針對(duì)不同安全等級(jí)的具體實(shí)施指南,包括技術(shù)要求、管理要求以及人員培訓(xùn)等方面,幫助組織根據(jù)自身信息系統(tǒng)的特點(diǎn)和安全需求,制定并執(zhí)行相應(yīng)的保護(hù)策略。

  5. 監(jiān)督與檢查:強(qiáng)調(diào)了監(jiān)督與檢查機(jī)制的重要性,確保信息系統(tǒng)的安全保護(hù)工作能夠持續(xù)改進(jìn),適應(yīng)不斷變化的安全威脅環(huán)境。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2007-08-13 頒布
  • 2007-10-01 實(shí)施
?正版授權(quán)
GA/T 708-2007信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)體系框架_第1頁
GA/T 708-2007信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)體系框架_第2頁
GA/T 708-2007信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)體系框架_第3頁
GA/T 708-2007信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)體系框架_第4頁
GA/T 708-2007信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)體系框架_第5頁
已閱讀5頁,還剩35頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GA/T 708-2007信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)體系框架-免費(fèi)下載試讀頁

文檔簡介

犐犆犛35.020

犔09

中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)

犌犃/犜708—2007

信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)體系框架

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犃狉犮犺犻狋犲犮狋狌狉犲犳狉犪犿犲狑狅狉犽狅犳狊犲犮狌狉犻狋狔犮犾犪狊狊犻犳犻犮犪狋犻狅狀

狆狉狅狋犲犮狋犻狅狀犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿

20070813發(fā)布20071001實(shí)施

中華人民共和國公安部發(fā)布

犌犃/犜708—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息系統(tǒng)安全等級(jí)保護(hù)體系簡介!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息系統(tǒng)安全等級(jí)保護(hù)體系的組成!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息系統(tǒng)安全等級(jí)保護(hù)體系概要說明!!!!!!!!!!!!!!!!!!!!!!!!2

5信息系統(tǒng)安全等級(jí)保護(hù)法律法規(guī)和政策依據(jù)!!!!!!!!!!!!!!!!!!!!!!3

5.1法律法規(guī)和政策分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2信息系統(tǒng)安全等級(jí)保護(hù)的現(xiàn)有政策法規(guī)!!!!!!!!!!!!!!!!!!!!!!!3

6信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.1標(biāo)準(zhǔn)的分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.2標(biāo)準(zhǔn)的具體組成!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.1基礎(chǔ)性標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.2系統(tǒng)設(shè)計(jì)指導(dǎo)類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.3系統(tǒng)實(shí)施指導(dǎo)類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.4要求類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.5檢查/測評(píng)類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

6.2.6各應(yīng)用領(lǐng)域?qū)嵤┲笇?dǎo)方案!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6.3標(biāo)準(zhǔn)所涉及的內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6.4各類標(biāo)準(zhǔn)的作用及編寫要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.4.1基礎(chǔ)性標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.4.2系統(tǒng)設(shè)計(jì)指導(dǎo)類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.4.3要求類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.4.4檢查/測評(píng)類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.4.5實(shí)施指導(dǎo)類標(biāo)準(zhǔn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

6.4.6各應(yīng)用領(lǐng)域?qū)嵤┲笇?dǎo)方案!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7信息系統(tǒng)安全等級(jí)保護(hù)管理體系!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1信息系統(tǒng)安全工程管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1.1目標(biāo)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1.2內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1.3工程管理分等級(jí)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2安全系統(tǒng)運(yùn)行管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.1目標(biāo)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.2內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.3運(yùn)行管理分等級(jí)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3信息系統(tǒng)安全監(jiān)督檢查和管理!!!!!!!!!!!!!!!!!!!!!!!!!!!16

犌犃/犜708—2007

8信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)體系!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.1信息系統(tǒng)安全的基本屬性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.2信息系統(tǒng)安全的組成與相互關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.3信息系統(tǒng)的安全等級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3.1五個(gè)安全等級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3.2安全保護(hù)等級(jí)的確定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

8.4信息系統(tǒng)安全等級(jí)保護(hù)基本框架!!!!!!!!!!!!!!!!!!!!!!!!!!21

8.4.1信息系統(tǒng)安全保護(hù)總體框架!!!!!!!!!!!!!!!!!!!!!!!!!!!21

8.4.2信息系統(tǒng)安全等級(jí)保護(hù)的基本原理和方法!!!!!!!!!!!!!!!!!!!!!22

8.5信息系統(tǒng)安全等級(jí)保護(hù)基本技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!24

8.5.1標(biāo)識(shí)與鑒別技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

8.5.2訪問控制技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

8.5.3存儲(chǔ)和傳輸數(shù)據(jù)的完整性保護(hù)技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.4存儲(chǔ)和傳輸數(shù)據(jù)的保密性保護(hù)技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.5邊界隔離與防護(hù)技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.6系統(tǒng)安全運(yùn)行及可用性保護(hù)技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.7密碼技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6信息系統(tǒng)安全等級(jí)保護(hù)支撐平臺(tái)!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6.1信息系統(tǒng)密碼基礎(chǔ)設(shè)施平臺(tái)!!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6.2信息系統(tǒng)應(yīng)用安全支撐平臺(tái)設(shè)計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6.3信息系統(tǒng)災(zāi)難備份與恢復(fù)平臺(tái)!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.6.4信息系統(tǒng)安全事件應(yīng)急響應(yīng)與管理平臺(tái)!!!!!!!!!!!!!!!!!!!!!!27

8.6.5信息系統(tǒng)安全管理平臺(tái)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

8.7等級(jí)化安全信息系統(tǒng)構(gòu)建技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!29

附錄A(資料性附錄)基本概念說明!!!!!!!!!!!!!!!!!!!!!!!!!!30

A.1業(yè)務(wù)應(yīng)用軟件系統(tǒng)及其子系統(tǒng)!!!!!!!!!!!!!!!!!!!!!!!!!!30

A.2信息系統(tǒng)及其子系統(tǒng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

A.3關(guān)于安全域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

附錄B(資料性附錄)實(shí)施等級(jí)保護(hù)的方法!!!!!!!!!!!!!!!!!!!!!!!31

B.1全系統(tǒng)同一安全等級(jí)安全保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!31

B.2分系統(tǒng)不同安全等級(jí)安全保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!31

B.3虛擬系統(tǒng)不同安全等級(jí)安全保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!31

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

犌犃/犜708—2007

前言

本標(biāo)準(zhǔn)的附錄A、附錄B為資料性附錄。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本標(biāo)準(zhǔn)起草單位:北京江南天安科技有限公司,北京思源新創(chuàng)信息安全資訊有限公司。

本標(biāo)準(zhǔn)主要起草人:吉增瑞、王志強(qiáng)、陳冠直、景乾元、宋健平。

犌犃/犜708—2007

引言

信息系統(tǒng)安全等級(jí)保護(hù)通過三大功能和五個(gè)環(huán)節(jié),對(duì)國家、社會(huì)、集團(tuán)和個(gè)人所建立和使用的信息

系統(tǒng),分等級(jí)實(shí)施必要的安全保護(hù)。

實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)的三大功能是:

———防范與保護(hù)功能:從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等組成部分,實(shí)現(xiàn)整體防范與保護(hù);

———監(jiān)督與檢查功能:各單位自我檢查與政府職能部門監(jiān)督檢查相結(jié)合,從技術(shù)和管理兩個(gè)方面,

確保信息系統(tǒng)的安全性達(dá)到確定安全等級(jí)的要求;

———響應(yīng)與處置功能:信息系統(tǒng)擁有者,對(duì)系統(tǒng)的安全事件應(yīng)有快速響應(yīng)與處置的能力,并在發(fā)現(xiàn)

重大問題時(shí)能及時(shí)向主管部門反映,與有關(guān)單位溝通。

實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)的五個(gè)環(huán)節(jié)是指:

———政策、法規(guī)環(huán)節(jié):制定完善的信息安全等級(jí)保護(hù)政策、法規(guī),建立專門的管理機(jī)構(gòu),明確實(shí)施的

程序和方法。

———規(guī)范化技術(shù)與管理環(huán)節(jié):制定符合國情的信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)和管理標(biāo)準(zhǔn),并按標(biāo)準(zhǔn)要

求實(shí)施安全管理,進(jìn)行安全技術(shù)和產(chǎn)品的研究和開發(fā)。

———系統(tǒng)構(gòu)建過程控制環(huán)節(jié):按照誰主管誰負(fù)責(zé)的要求,對(duì)安全信息系統(tǒng)的構(gòu)建過程進(jìn)行全方位控

制,并通過檢測機(jī)構(gòu)嚴(yán)格的檢測評(píng)估,確保所構(gòu)建的安全信息系統(tǒng)達(dá)到所需要的安全性要求。

———系統(tǒng)運(yùn)行過程控制環(huán)節(jié):按照誰運(yùn)營誰負(fù)責(zé)的要求,對(duì)安全信息系統(tǒng)的運(yùn)行過程進(jìn)行全方位控

制,并通過職能部門的監(jiān)督檢查,確保所運(yùn)行的安全信息系統(tǒng)達(dá)到所設(shè)計(jì)的安全性要求。

———系統(tǒng)監(jiān)督、檢查環(huán)節(jié):信息安全相關(guān)職能部門,依照法律、法規(guī)和標(biāo)準(zhǔn),制定完善信息安全監(jiān)管

規(guī)章制度,開展信息安全等級(jí)保護(hù)專項(xiàng)管理工作。督促安全等級(jí)保護(hù)責(zé)任制的落實(shí),監(jiān)督、檢

查并指導(dǎo)信息系統(tǒng)所屬部門和單位的信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)和管理,對(duì)安全技術(shù)產(chǎn)品

實(shí)行監(jiān)管,對(duì)安全檢測機(jī)構(gòu)實(shí)施監(jiān)管。建立非盈利的覆蓋全國的系統(tǒng)安全等級(jí)保護(hù)執(zhí)法檢查

與檢測支持體系,使用統(tǒng)一標(biāo)準(zhǔn)對(duì)運(yùn)行中的安全信息系統(tǒng)進(jìn)行檢查、檢測、評(píng)估,確保其實(shí)際運(yùn)

行過程中的安全性達(dá)到設(shè)計(jì)的目標(biāo)要求。

本標(biāo)準(zhǔn)是對(duì)信息系統(tǒng)安全等級(jí)保護(hù)各個(gè)組成部分及其相互關(guān)系的描述,首先對(duì)信息系統(tǒng)安全等級(jí)

保護(hù)的組成部分的主要內(nèi)容及其相互關(guān)系做簡要說明,然后對(duì)每一個(gè)組成部分的主要內(nèi)容做比較詳細(xì)

的說明。

犌犃/犜708—2007

信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)體系框架

1范圍

本標(biāo)準(zhǔn)規(guī)定了

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評(píng)論

0/150

提交評(píng)論