網(wǎng)絡(luò)安全常用標(biāo)準(zhǔn)手冊

一、網(wǎng)絡(luò)安全監(jiān)督管理制度相關(guān)標(biāo)準(zhǔn)

（一）關(guān)鍵信息基礎(chǔ)設(shè)施保護

《中華人民共和國網(wǎng)絡(luò)安全法》第三十一條規(guī)定，國家對公共

通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)

等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄

露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)

設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。目前關(guān)

鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護工作，主要有《信息安全技術(shù)關(guān)鍵信

息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)

絡(luò)安全保護基本要求》、《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控

制措施》、《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》、

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》等五項標(biāo)

準(zhǔn)，其中部分標(biāo)準(zhǔn)還在起草制定中，可先行了解參考。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)

信息安全技術(shù)關(guān)

安全框架》作為基礎(chǔ)標(biāo)準(zhǔn)，闡明構(gòu)成框架

1——鍵信息基礎(chǔ)設(shè)施網(wǎng)————

的基本要素及其關(guān)系，統(tǒng)一通用術(shù)語和定

絡(luò)安全框架

義。

信息安全技術(shù)關(guān)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)

鍵信息基礎(chǔ)設(shè)施網(wǎng)安全保護基本要求》作為基線類標(biāo)準(zhǔn)，對

2——————

絡(luò)安全保護基本要關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展網(wǎng)絡(luò)安全保

求護工作提出最低要求。

信息安全技術(shù)關(guān)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全

3——鍵信息基礎(chǔ)設(shè)施安————控制措施》作為實施類標(biāo)準(zhǔn)，根據(jù)基本要

全控制措施求提出相應(yīng)的控制措施。

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全

信息安全技術(shù)關(guān)

檢查評估指南》作為測評類標(biāo)準(zhǔn)，依據(jù)基

4——鍵信息基礎(chǔ)設(shè)施安————

本要求明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估的

全檢查評估指南

目的、流程、內(nèi)容和結(jié)果。

1

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全

信息安全技術(shù)關(guān)保障指標(biāo)體系》作為測評類標(biāo)準(zhǔn)，依據(jù)檢

5——鍵信息基礎(chǔ)設(shè)施安————査評估結(jié)果、日常安全檢測等情況對關(guān)鍵

全保障指標(biāo)體系信息基礎(chǔ)設(shè)施安全保障狀況進行定量評

價。

（二）網(wǎng)絡(luò)安全等級保護

《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國家實行網(wǎng)

絡(luò)安全等級保護制度。2019年網(wǎng)絡(luò)安全等級保護進入2.0時代，保

護對象范圍在傳統(tǒng)信息系統(tǒng)的基礎(chǔ)上增加了云計算、移動互聯(lián)、物

聯(lián)網(wǎng)、大數(shù)據(jù)等，對等級保護制度提出了新的要求。各單位應(yīng)嚴格

對照相關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)，落實等級保護工作中的網(wǎng)絡(luò)定級及評

審、備案及審核、等級測評、安全建設(shè)整改等要求。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

信息安全技術(shù)本標(biāo)準(zhǔn)規(guī)定了等級保護對象實施網(wǎng)絡(luò)安全

GB/T

1網(wǎng)絡(luò)安全等級保2019/8/302020/3/1等級保護工作的過程，適用于指導(dǎo)網(wǎng)絡(luò)安

25058-2019

護實施指南全等級保護工作的實施。

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級保護第一級到

第四級等級保護對象的安全設(shè)計技術(shù)要

信息安全技術(shù)

求，適用于指導(dǎo)運營使用單位、網(wǎng)絡(luò)安全

GB/T網(wǎng)絡(luò)安全等級保

22019/5/102019/12/1企業(yè)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)開展網(wǎng)絡(luò)安全等

25070-2019護安全設(shè)計技術(shù)

要求級保護安全技術(shù)方案的設(shè)計和實施，也可

作為網(wǎng)絡(luò)安全職能部門進行監(jiān)督、檢査和

指導(dǎo)的依據(jù)。

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級保護的第一級

信息安全技術(shù)

GB/T到第四級等級保護對象的安全通用要求和

3網(wǎng)絡(luò)安全等級保2019/5/102019/12/1

22239-2019安全擴展要求，適用于指導(dǎo)分等級的非涉

護基本要求

密對象的安全建設(shè)和監(jiān)督管理。

2

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

本標(biāo)準(zhǔn)從安全管理中心的功能、接口、自

信息安全技術(shù)身安全等方面，對GB/T25070中提出的安

GB/T網(wǎng)絡(luò)安全等級保2018/12/2全管理中心及其安全技術(shù)和機制進行了進

42019/7/1

36958-2018護安全管理中心8一步規(guī)范，提出了通用的安全技術(shù)要求，

技術(shù)要求指導(dǎo)安全廠商和用戶依據(jù)本標(biāo)準(zhǔn)要求設(shè)計

和建設(shè)安全管理中心。

信息安全技術(shù)

GB/T本標(biāo)準(zhǔn)規(guī)定了定級方法，為各系統(tǒng)建設(shè)使

5網(wǎng)絡(luò)安全等級保2020/4/282020/11/1

22240-2020用單位定級工作提供指導(dǎo)。

護定級指南

二、網(wǎng)絡(luò)安全管理運維工作相關(guān)標(biāo)準(zhǔn)

（一）信息安全管理體系

信息安全管理體系（ISMS）是組織在整體或特定范圍內(nèi)建立信

息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。各單位應(yīng)

結(jié)合自身實際建立信息安全管理體系，可以有效規(guī)范工作人員行為，

保證各種技術(shù)手段的有效落實，合理統(tǒng)籌管理軟硬件，對有序、高

效開展網(wǎng)絡(luò)安全工作具有重大意義。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

信息安全技術(shù)本標(biāo)準(zhǔn)依據(jù)GB17859-1999的五個安全保

GB/T

1信息系統(tǒng)安全2006/05/2006/12/護等級的劃分，規(guī)定了信息系統(tǒng)安全所需

20269-2006

管理要求3101要的各個安全等級的管理要求。

本標(biāo)準(zhǔn)規(guī)定了信息安全工程的管理要求，

是對信息安全工程中所涉及到的需求方、

實施方與第三方工程實施的指導(dǎo)性文件，

信息安全技術(shù)各方可以此為依據(jù)建立安全工程管理體

GB/T2006/05/2006/12/

2信息系統(tǒng)安全系。本標(biāo)準(zhǔn)按照GB17859-1999劃分的五

20282-20063101

工程管理要求個安全保護等級，規(guī)定了信息安全工程的

不同要求。本標(biāo)準(zhǔn)適用于該系統(tǒng)的需求方

和實施方的工程管理，其他有關(guān)各方也可

參照使用。

3

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

信息技術(shù)安全本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立、實現(xiàn)、

GB/T2016/08/2017/03/

3技術(shù)信息安全維護和持續(xù)改進信息安全管理體系要

22080-20162901

管理體系要求求。

本標(biāo)準(zhǔn)依據(jù)GB/T22080-2008，關(guān)注設(shè)計

和實施一個成功的信息安全管理體系

信息技術(shù)安全

（ISMS）所需要的關(guān)鍵方，描述了ISMS

技術(shù)信息安全

4GB/T2015/05/2016/01/規(guī)范及其設(shè)計的過程，從開始到產(chǎn)生實

31496-2015管理體系實施1501

施計劃，適用于各種規(guī)模和類型的組織

指南

（例如，商業(yè)企業(yè)、政府機構(gòu)、非贏利

組織）。

本標(biāo)準(zhǔn)為信息安全風(fēng)險管理提供指南。本

信息技術(shù)安全

GB/T2015/06/2016/02/標(biāo)準(zhǔn)支持GB/T22080所規(guī)約的一般概念，

5技術(shù)信息安全

31722-20150201旨在為基于風(fēng)險管理方法來符合要求地

風(fēng)險管理

實現(xiàn)信息安全提供幫助。

本標(biāo)準(zhǔn)就信息安全治理的概念和原則提

信息技術(shù)安全供指南，通過本標(biāo)準(zhǔn)，組織可以對其范

GB/T2016/08/2017/03/

6圍內(nèi)的信息安全相關(guān)活動進行評價、指

32923-2016技術(shù)信息安全2901

治理導(dǎo)、監(jiān)視和溝通。本標(biāo)準(zhǔn)適用于所有類型

和規(guī)模的組織。

（二）風(fēng)險管理

實施網(wǎng)絡(luò)安全風(fēng)險管理，將安全風(fēng)險控制在可接受的水平是網(wǎng)

絡(luò)安全工作的基本方法論。隨著政府部門、企事業(yè)單位以及各行各

業(yè)對信息系統(tǒng)依賴程度的日益增強，運用風(fēng)險評估去識別安全風(fēng)險、

解決信息安全問題得到了廣泛的認識和應(yīng)用。各單位應(yīng)積極開展風(fēng)

險評估和管理工作，主動避免風(fēng)險，有效控制和管理風(fēng)險。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

信息安全技術(shù)本標(biāo)準(zhǔn)提出了風(fēng)險評估的基本概念、要

GB/T2007/06/2007/11/

1信息安全風(fēng)險素關(guān)系、分析原理、實施流程和評估方

20984-20071401

評估規(guī)范法，以及風(fēng)險評估在信息系統(tǒng)生命周期

4

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

不同階段的實施要點和工作形式適用于

規(guī)范組織開展的風(fēng)險評估工作。

本標(biāo)準(zhǔn)規(guī)定了信息安全風(fēng)險評估實施的

信息安全技術(shù)過程和方法，適用于各類安全評估機構(gòu)

GB/T2015/05/2016/01/

2信息安全風(fēng)險或被評估組織對非涉密信息系統(tǒng)的信息

31509-20151501

評估實施指南安全風(fēng)險評估項目的管理，指導(dǎo)風(fēng)險評

估項目的組織、實施、驗收等工作。

本標(biāo)準(zhǔn)給出了信息安全風(fēng)險處理實施的

信息安全技術(shù)

GB/T2016/10/2017/05/管理過程和方法，適用于指導(dǎo)信息系統(tǒng)

3信息安全風(fēng)險

33132-20161301運營使用單位和信息安全服務(wù)機構(gòu)實施

處理實施指南

信息安全風(fēng)險處理活動。

本指導(dǎo)文件規(guī)定了信息安全風(fēng)險管理的

信息安全技術(shù)內(nèi)容和過程，為信息系統(tǒng)生命周期不同階

GB/Z2009/09/2009/12/

4信息安全風(fēng)險段的信息安全風(fēng)險管理提供指導(dǎo)。本指導(dǎo)

24364-20093001

管理指南性技術(shù)文件適用于指導(dǎo)組織進行信息安

全風(fēng)險管理工作。

（三）運維管理

部分單位在日常網(wǎng)絡(luò)安全工作中存在重安全建設(shè)、輕安全運維

的情況，而安全運維是避免網(wǎng)絡(luò)安全事件的最有效手段。下述標(biāo)準(zhǔn)

從多個方面為安全運維工作提供了規(guī)范性參考，各單位應(yīng)積極學(xué)習(xí)

對照，推動網(wǎng)絡(luò)安全運維管理工作規(guī)范化、長效化。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

本標(biāo)準(zhǔn)從技術(shù)方面規(guī)定，為目前企業(yè)和

政府在IT安全運維管理方面提供了指

信息安全技術(shù)導(dǎo)。主要技內(nèi)容：從角色和責(zé)任、部門

GB/T2018/09/2019/04/

1信息系統(tǒng)安全IT安全策略、IT項目安全資源、管理控

36626-20181701

運維管理指南制、系統(tǒng)開發(fā)生命周期的安全性、信息

和IT設(shè)備識別和分類、安全風(fēng)險管理、

事件管理等幾個方面進行描述。

5

（四）事件管理

網(wǎng)絡(luò)安全沒有絕對的安全，管理和處置各類網(wǎng)絡(luò)安全事件，是

做好網(wǎng)絡(luò)安全工作的重要方面。各單位要認真學(xué)習(xí)網(wǎng)絡(luò)安全事件管

理相關(guān)國家標(biāo)準(zhǔn)，明確網(wǎng)絡(luò)安全事件的分級分類及處置流程，科學(xué)

正確處置各種數(shù)據(jù)丟失、網(wǎng)絡(luò)癱瘓、網(wǎng)站被篡改等網(wǎng)絡(luò)安全事件。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

本指導(dǎo)性技術(shù)文件描述了信息安全事件

信息技術(shù)安的管理過程，提供了規(guī)劃和制定信息安

GB/T全技術(shù)信息全事件管理策略和方案的指南，給出了

2017/12/2018/07/

120985.1-20安全事件管管理信息安全事件和開展后續(xù)工作的相

2901

17理第1部分：事關(guān)過程和規(guī)程，可用于指導(dǎo)信息安全管

件管理原理理者，信息系統(tǒng)、服務(wù)和網(wǎng)絡(luò)管理者對

信息安全事件的管理。

信息安全技術(shù)本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循

2GB/T信息系統(tǒng)災(zāi)難2007/06/2007/11/的基本要求，適用于信息系統(tǒng)災(zāi)難恢復(fù)的

20988-20071401

恢復(fù)規(guī)范規(guī)劃、審批、實施和管理。

本標(biāo)準(zhǔn)規(guī)定了災(zāi)難恢復(fù)中心建設(shè)與運維

信息安全技術(shù)

的管理過程，適用于開展信息系統(tǒng)災(zāi)難恢

災(zāi)難恢復(fù)中心

3GB/T2013/12/2014/07/復(fù)及業(yè)務(wù)連續(xù)性活動的機構(gòu)或提供信息

30285-2013建設(shè)與運維管3115

系統(tǒng)災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性服務(wù)的服務(wù)

理規(guī)范

機構(gòu)。

本指導(dǎo)性技術(shù)文件為信息安全事件的分

類分級提供指導(dǎo)，用于信息安全事件的

信息安全技術(shù)

GB/Z2007/06/2007/11/防范與處置，為事前準(zhǔn)備、事中應(yīng)對、

4信息安全事件

20986-20071401事后處理提供一個基礎(chǔ)指南，可供信息

分類分級指南

系統(tǒng)和基礎(chǔ)信息傳輸網(wǎng)絡(luò)的運營和使用

單位以及信息安全主管部門參考使用。

標(biāo)準(zhǔn)范圍包括：對災(zāi)難備份與恢復(fù)服務(wù)

信息安全技術(shù)提供者應(yīng)具備的服務(wù)提供者能力要求、

GB/T2018/12/2019/07/

5災(zāi)難恢復(fù)服務(wù)服務(wù)過程要求，以及對提供信息系統(tǒng)災(zāi)

36957-20182801

要求難備份與恢復(fù)服務(wù)的組織進行評估的方

法。

6

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

本標(biāo)準(zhǔn)適用于信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)機

構(gòu)。主要技術(shù)內(nèi)容:1.確立災(zāi)難恢復(fù)服務(wù)

機構(gòu)的服務(wù)資質(zhì)等級；2.規(guī)定各等級災(zāi)難

信息安全技術(shù)

GB/T2018/12/2019/07/恢復(fù)服務(wù)機構(gòu)的基本資格；3.明確各等級

6災(zāi)難恢復(fù)服務(wù)

37046-20182801災(zāi)難恢復(fù)服務(wù)機構(gòu)的基本能力要求；4.制

能力評估準(zhǔn)則

定各等級災(zāi)難恢復(fù)服務(wù)機構(gòu)的質(zhì)量管理

能力衡量標(biāo)準(zhǔn)；5.提出各等級災(zāi)難恢復(fù)服

務(wù)機構(gòu)的災(zāi)難恢復(fù)服務(wù)能力要求。

（五）監(jiān)測預(yù)警

網(wǎng)絡(luò)安全監(jiān)測預(yù)警，是重要的網(wǎng)絡(luò)安全日?；A(chǔ)性工作。各單

位應(yīng)深入了解網(wǎng)絡(luò)攻擊的類型、技術(shù)、方式，明確網(wǎng)絡(luò)安全事件或

威脅的重要程度和可能造成的影響，規(guī)范開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警工

作，提高網(wǎng)絡(luò)安全風(fēng)險威脅防御保障能力，為抵御攻擊夯實基礎(chǔ)。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

本標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)安全預(yù)警的分級指南

與處理流程，為及時準(zhǔn)確了解網(wǎng)絡(luò)安全

信息安全技術(shù)

GB/T2016/08/2017/03/事件或威脅的影響程度、可能造成的后

1網(wǎng)絡(luò)安全預(yù)警

32924-20162901果，及采取有效措施提供指導(dǎo)，也適用

指南

于網(wǎng)絡(luò)與信息系統(tǒng)主管和運營部門參考

開展網(wǎng)絡(luò)安全事件或威脅的處置工作。

本標(biāo)準(zhǔn)明確了網(wǎng)絡(luò)攻擊的基本要求，提出

信息安全技術(shù)

GB/T2018/12/2019/07/了網(wǎng)絡(luò)攻擊與防范的基本行為準(zhǔn)則適用

2網(wǎng)絡(luò)攻擊定義

37027-20182801于對計算機網(wǎng)絡(luò)實施攻擊和防范的個

及描述規(guī)范

人、企事業(yè)單位和社會團體等組織。

（六）可信計算

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等新技術(shù)普及，網(wǎng)絡(luò)安全壓力增

大，采用可信技術(shù)以確保數(shù)據(jù)存儲可信、操作行為可信、體系結(jié)構(gòu)

7

可信、資源配置可信和策略管理可信。

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

信息安全技術(shù)本標(biāo)準(zhǔn)規(guī)定了可信平臺主板的組成結(jié)構(gòu)、

GB/T可信計算規(guī)范2013/11/2014/02/信任鏈構(gòu)建流程、功能接口，適用于基于

1

29827-2013可信平臺主板1201可信平臺控制模塊的可信平臺主板的設(shè)

功能接口計、生產(chǎn)和使用。

本標(biāo)準(zhǔn)規(guī)定了可信平臺主板的組成結(jié)

信息安全技術(shù)

GB/T2013/11/2014/02/構(gòu)、信任鏈構(gòu)建流程、功能接口，適用

2可信計算規(guī)范

29828-20131201于基于可信平臺控制模塊的可信平臺主

可信連接架構(gòu)

板的設(shè)計、生產(chǎn)和使用。

本標(biāo)準(zhǔn)適用于云計算環(huán)境下可信服務(wù)器

平臺的研發(fā)、生產(chǎn)、集成。可信服務(wù)器的

測試及管理可參照本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)主要

內(nèi)容包括：1.TPCM和TSB在可信服務(wù)器平

信息安全技術(shù)

臺中應(yīng)用；2.虛擬環(huán)境下，可信服務(wù)器平

GB/T可信計算規(guī)范2018/09/2019/04/

3臺完整性度量、傳遞與報告；3.虛擬TPCM

36639-2018服務(wù)器可信支1701

的組成結(jié)構(gòu)、功能及安全性要求；4.虛擬

撐平臺

機可信遷移及遠程證明的流程及功能要

求；5.根據(jù)服務(wù)器主板的特點，對GB/T

29827-2013《信息安全技術(shù)可信計算規(guī)范

可信平臺主板功能接口》的功能擴展。

信息安全技術(shù)本標(biāo)準(zhǔn)規(guī)定了可信軟件基的功能結(jié)構(gòu)、工

GB/T

4可信計算規(guī)范2019/8/302020/3/1作流程、保障要求和交互接口規(guī)范，適用

37935-2019

可信軟件基于可信軟件基的設(shè)計、生產(chǎn)和測評。

（七）電子政務(wù)

隨著政府部門辦公信息化程度不斷提高，網(wǎng)絡(luò)安全隱患也隨之

暴露，越來越成為不法分子攻擊的重點目標(biāo)。為加強電子政務(wù)辦公

領(lǐng)域網(wǎng)絡(luò)安全反顧和，國家從網(wǎng)絡(luò)、軟件、硬件、技術(shù)、管理等多

個方面出臺一系列國家標(biāo)準(zhǔn)，各單位要認真學(xué)習(xí)遵循、同步整改。

8

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

信息安全技術(shù)本標(biāo)準(zhǔn)建立了政府部門信息技術(shù)服務(wù)外

GB/T政府部門信息包信息安全管理模型，提出了政府部門信

2016/08/2017/03/

132926-20息技術(shù)服務(wù)外包信息安全管理生命周期

技術(shù)服務(wù)外包2901

16

信息安全管理各階段活動的管理要求，適用于政府部門

規(guī)范采購和使用信息技術(shù)服務(wù)。

本標(biāo)準(zhǔn)是GB/T29245—2012《信息安全技

術(shù)政府部門信息安全管理基本要求》框

架下的政府部門信息安全保障標(biāo)準(zhǔn)體系

信息安全技術(shù)政

的組成部分，用于指導(dǎo)各級政府部門對所

GB/T府聯(lián)網(wǎng)計算機終

22016/8/292017/3/1管轄范圍內(nèi)聯(lián)網(wǎng)計算機終端的管理和安

32925-2016端安全管理基本

要求全檢查工作，使其具備一定的安全防護能

力，可與各種具體的計算機終端應(yīng)用場

景、操作系統(tǒng)和應(yīng)用軟件的配置指南配合

使用。

本標(biāo)準(zhǔn)規(guī)定了辦公設(shè)備安全技術(shù)要求和

安全管理功能要求，適用于政府部門等

GB/T信息安全技術(shù)

2012/12/2013/06/機構(gòu)中對辦公設(shè)備具有高安全要求的信

329244-201辦公設(shè)備基本

3101息處理環(huán)境，用于辦公設(shè)備的采購、測

2安全要求

評、維護和管理，也可為辦公設(shè)備的設(shè)

計提供參考。

本標(biāo)準(zhǔn)基于電子政務(wù)移動辦公系統(tǒng)的基

信息安全技術(shù)

GB/T本結(jié)構(gòu)和主要安全風(fēng)險，提出了電子政

2017/12/2018/07/

435282-20電子政務(wù)移動務(wù)移動辦公系統(tǒng)的整體安全框架，規(guī)定

2901

17辦公系統(tǒng)安全了移動終端安全、信道安全、移動接入

技術(shù)規(guī)范安全和服務(wù)端安全應(yīng)滿足的技術(shù)要求。

本標(biāo)準(zhǔn)規(guī)定了計算機終端核心配置基線

信息安全技術(shù)的基本要素，規(guī)范了基于XML的核心配

GB/T

計算機終端核心2017/12/2018/07/置基線標(biāo)記規(guī)則，給出了核心配置基線

535283-20

配置基線結(jié)構(gòu)規(guī)2901應(yīng)用方法實例，適用于計算機終端的核

17

范心配置自動化工作，包括計算機終端核

心配置自動化工具的設(shè)計、開發(fā)和應(yīng)用。

9

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

本標(biāo)準(zhǔn)將為安全辦公U盤產(chǎn)品定義了一組

與具體實現(xiàn)無關(guān)的、完整的、緊密關(guān)聯(lián)的

最小安全要求集合；標(biāo)準(zhǔn)描述了安全辦公

信息安全技

GB/TU盤使用中的環(huán)境和面臨的威脅；陳述相

術(shù)安全辦公2018/12/2019/07/

637091-20應(yīng)保證級別的安全辦公U盤應(yīng)該達到的安

U盤安全技術(shù)2801

18全目的和必須滿足的安全技術(shù)要求和安

要求

全保證要求，以及它們之間的基本原理。

本項目將結(jié)合目前國內(nèi)外最新技術(shù)的發(fā)

展情況，制定安全辦公U盤安全技術(shù)要求。

本標(biāo)準(zhǔn)從信息技術(shù)方面規(guī)定了按照《信息

安全技術(shù)安全可靠辦公信息系統(tǒng)技術(shù)要

信息安全技求》對辦公信息系統(tǒng)進行測試所需要的內(nèi)

GB/T

術(shù)辦公信息2018/12/2019/07/

7容，適用于政府部門等對信息處理環(huán)境具

37096-202801

系統(tǒng)安全測

18有較高安全要求的辦公信息系統(tǒng)的測試，

試規(guī)范

用于安全辦公信息系統(tǒng)的測試，也可為辦

公信息系統(tǒng)的設(shè)計提供參考。

本標(biāo)準(zhǔn)主要面向基于國產(chǎn)CPU/OS的辦公

信息系統(tǒng)(黨委、政府、軍隊、檔案館等

信息安全技術(shù)

GB/T系統(tǒng))的硬件需求、基礎(chǔ)軟件需求及業(yè)務(wù)

辦公信息系統(tǒng)2018/12/2019/07/

837095-20系統(tǒng)需求，從功能性、可靠性、性能、

安全基本技術(shù)2801

18安全性、可維護性、可移植性等方面制

要求

定系統(tǒng)的評價指標(biāo)，為系統(tǒng)的建設(shè)提供

技術(shù)依據(jù)。

本標(biāo)準(zhǔn)從信息技術(shù)方面規(guī)定了按照《信

信息安全技息安全技術(shù)安全可靠辦公信息系統(tǒng)技

GB/T

術(shù)辦公信息2018/12/2019/07/術(shù)要求》的基礎(chǔ)進行信息系統(tǒng)建設(shè)、開

937094-20

系統(tǒng)安全管2801發(fā)的內(nèi)容，適用于政府部門等對信息處

18

理要求理環(huán)境具有較高安全要求的辦公信息系

統(tǒng)的建設(shè)。

本標(biāo)準(zhǔn)按照國家信息安全等級保護的要

信息安全技術(shù)求，規(guī)定了終端計算機的安全技術(shù)要求

GB/T終端計算機通

2012/12/2013/06/和測試評價方法，適用于指導(dǎo)終端計算

1029240-20

用安全技術(shù)要3101機的設(shè)計生產(chǎn)企業(yè)、使用單位和信息安

12

求與測試評價全服務(wù)機構(gòu)實施終端計算機等級保護安

方法

全技術(shù)的設(shè)計、實現(xiàn)和評估工作。

10

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

本標(biāo)準(zhǔn)適用于各級政務(wù)部門、研究機構(gòu)、

企事業(yè)單位等的互聯(lián)網(wǎng)郵件系統(tǒng)、電子

GB/T信息安全技術(shù)政務(wù)外網(wǎng)郵件系統(tǒng)、電子政務(wù)內(nèi)網(wǎng)郵件

112018/12/2019/07/

37002-20電子郵件系統(tǒng)系統(tǒng)或單位內(nèi)網(wǎng)郵件系統(tǒng)的設(shè)計、實現(xiàn)

2801

18安全技術(shù)要求和使用，也適用于相關(guān)生產(chǎn)廠商用于設(shè)

計、研制、開發(fā)、制造、測試、管理、

集成和維護。

信息安全技術(shù)本標(biāo)準(zhǔn)適用于地市級(含以下)政府單位，

GB/Z基于互聯(lián)網(wǎng)電基于互聯(lián)網(wǎng)開展不涉及國家秘密的電子

2018/03/2018/10/

1224294.1-子政務(wù)信息安政務(wù)信息安全建設(shè)，為工程技術(shù)人員設(shè)計

1501

2018全實施指南基于互聯(lián)網(wǎng)電子政務(wù)信息安全保障架構(gòu)

第1部分：總則提供技術(shù)參考。

本標(biāo)準(zhǔn)明確了互聯(lián)網(wǎng)電子政務(wù)分域控制

的兩個階段，在接入控制階段，對接入控

制結(jié)構(gòu)、接入安全設(shè)備功能、接入認證、

信息安全技術(shù)接入控制規(guī)則、接入控制管理等方面給出

基于互聯(lián)網(wǎng)電子指南性建議要求；在安全交換階段，對安

GB/Z

政務(wù)信息安全實全交換模式、定制數(shù)據(jù)安全交換要求、數(shù)

1324294.2-2017/05/2017/12/

施指南第2部據(jù)流安全交換要求給出指南性建議要求，

20173101

分：接入控制與適用于沒有電子政務(wù)外網(wǎng)專線或沒有租

安全交換用通信網(wǎng)絡(luò)專線條件的組織機構(gòu)，為管理

人員、工程技術(shù)人員、信息安全產(chǎn)品提供

者進行信息安全規(guī)劃與建設(shè)提供管理和

技術(shù)參考。

信息安全技

本部分根據(jù)信任體系構(gòu)建策略要求，明

術(shù)基于互聯(lián)

確相關(guān)的身份認證及授權(quán)管理功能要

GB/Z網(wǎng)電子政務(wù)信

2017/05/2017/12/求，定義身份認證與授權(quán)管理技術(shù)規(guī)范。

1424294.3-息安全實施指

3101本部分適用于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中身

2017南第3部分：

份認證與授權(quán)管理系統(tǒng)的設(shè)計、研發(fā)與

身份認證與授

建設(shè)。

權(quán)管理

11

序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱發(fā)布日期實施日期備注

GB/Z24292的本部分按照終端安全防護

信息安全技

策略,明確了基于互聯(lián)網(wǎng)電子政務(wù)終端

術(shù)基于互聯(lián)

GB/Z的安全防護技術(shù)要求。適用于沒有電子

網(wǎng)電子政務(wù)信2017/05/2017/12/

1524294.4-政務(wù)外網(wǎng)專線或沒有租用通信網(wǎng)絡(luò)專線

息安全實施指1201

2017條件的組織機構(gòu)，基于互聯(lián)網(wǎng)開展不涉

南第4部分：

及國家秘密的電子政務(wù)信息安全建設(shè),

終端安全防護

提供管理和技術(shù)參考。

本標(biāo)準(zhǔn)規(guī)定了政府部門信息安全管理基

GB/T信息安全技術(shù)

2012/12/2013/06/本要求，用于指導(dǎo)各級政府部門的信息安

1629245-20政府部門信息安

3101全管理工作。本標(biāo)準(zhǔn)適用于各級政府部

12全管理基本要求

門，其他單位可以參考使用。

本標(biāo)準(zhǔn)給出了政府門戶網(wǎng)站系統(tǒng)安全技

GB/T信息安全技術(shù)術(shù)控制措施。本標(biāo)準(zhǔn)適用于指導(dǎo)政府部門

1731506-20政府門戶網(wǎng)站系2015/05/2016/01/開展門戶網(wǎng)站系統(tǒng)安全技術(shù)防范工作，

15統(tǒng)安全技術(shù)指南1501也可作為對政府門戶網(wǎng)站系統(tǒng)實施安全

檢查的依據(jù)。

本標(biāo)準(zhǔn)提出了政務(wù)計算機終端核心配置

信息安全技術(shù)

GB/T的基本概念和要求，規(guī)定了核心配置的自

政務(wù)計算機終2013/12/2014/07/

1830278-20動化實現(xiàn)方法，規(guī)范了核心配置實施流

端核心配置規(guī)