標準解讀

《GA/T 708-2007 信息安全技術 信息系統(tǒng)安全等級保護體系框架》是中國公安部發(fā)布的一項技術標準,旨在為各類信息系統(tǒng)的安全保護提供一個全面、系統(tǒng)的框架。該標準詳細闡述了如何根據信息系統(tǒng)的不同重要程度和面臨的威脅級別,實施相應級別的安全保護措施,確保信息的保密性、完整性、可用性和可靠性。下面是該標準的主要內容概述:

  1. 范圍與適用對象:本標準適用于指導各類組織和機構設計、實施、維護和評估其信息系統(tǒng)的安全等級保護工作。它覆蓋了從國家安全、社會秩序到個人隱私保護等多個層面的信息安全保障需求。

  2. 安全等級劃分:標準將信息系統(tǒng)的安全保護等級劃分為五級,從第一級(自主保護級)到第五級(??乇Wo級),每一級都對應著不同的安全保護要求。等級越高,意味著系統(tǒng)所承載的信息越敏感,受到的保護措施也應越嚴格。

  3. 安全保護框架:標準構建了一個包括安全政策、安全組織、安全建設、安全運維和安全評估五個方面的綜合保護框架。這五個方面相輔相成,共同構成了一個完整的信息安全管理體系。

    • 安全政策:明確信息安全管理的目標、原則、策略和程序。
    • 安全組織:建立負責信息安全工作的組織結構和職責分配。
    • 安全建設:按照安全等級要求實施物理安全、網絡安全、主機安全、應用安全和數據安全等方面的防護措施。
    • 安全運維:進行日常的安全監(jiān)控、事件響應、備份恢復和安全審計等活動。
    • 安全評估:定期對信息系統(tǒng)進行安全檢查和風險評估,確保安全措施的有效性。

  4. 實施指南:提供了針對不同安全等級的具體實施指南,包括技術要求、管理要求以及人員培訓等方面,幫助組織根據自身信息系統(tǒng)的特點和安全需求,制定并執(zhí)行相應的保護策略。

  5. 監(jiān)督與檢查:強調了監(jiān)督與檢查機制的重要性,確保信息系統(tǒng)的安全保護工作能夠持續(xù)改進,適應不斷變化的安全威脅環(huán)境。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執(zhí)行有效
  • 2007-08-13 頒布
  • 2007-10-01 實施
?正版授權
GA/T 708-2007信息安全技術信息系統(tǒng)安全等級保護體系框架_第1頁
GA/T 708-2007信息安全技術信息系統(tǒng)安全等級保護體系框架_第2頁
GA/T 708-2007信息安全技術信息系統(tǒng)安全等級保護體系框架_第3頁
GA/T 708-2007信息安全技術信息系統(tǒng)安全等級保護體系框架_第4頁
GA/T 708-2007信息安全技術信息系統(tǒng)安全等級保護體系框架_第5頁
已閱讀5頁,還剩35頁未讀 繼續(xù)免費閱讀

下載本文檔

文檔簡介

犐犆犛35.020

犔09

中華人民共和國公共安全行業(yè)標準

犌犃/犜708—2007

信息安全技術

信息系統(tǒng)安全等級保護體系框架

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犃狉犮犺犻狋犲犮狋狌狉犲犳狉犪犿犲狑狅狉犽狅犳狊犲犮狌狉犻狋狔犮犾犪狊狊犻犳犻犮犪狋犻狅狀

狆狉狅狋犲犮狋犻狅狀犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿

20070813發(fā)布20071001實施

中華人民共和國公安部發(fā)布

犌犃/犜708—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息系統(tǒng)安全等級保護體系簡介!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息系統(tǒng)安全等級保護體系的組成!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息系統(tǒng)安全等級保護體系概要說明!!!!!!!!!!!!!!!!!!!!!!!!2

5信息系統(tǒng)安全等級保護法律法規(guī)和政策依據!!!!!!!!!!!!!!!!!!!!!!3

5.1法律法規(guī)和政策分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2信息系統(tǒng)安全等級保護的現有政策法規(guī)!!!!!!!!!!!!!!!!!!!!!!!3

6信息系統(tǒng)安全等級保護標準體系!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.1標準的分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.2標準的具體組成!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.1基礎性標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.2系統(tǒng)設計指導類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.3系統(tǒng)實施指導類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.4要求類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2.5檢查/測評類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

6.2.6各應用領域實施指導方案!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6.3標準所涉及的內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6.4各類標準的作用及編寫要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.4.1基礎性標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.4.2系統(tǒng)設計指導類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.4.3要求類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.4.4檢查/測評類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

6.4.5實施指導類標準!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

6.4.6各應用領域實施指導方案!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7信息系統(tǒng)安全等級保護管理體系!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1信息系統(tǒng)安全工程管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1.1目標!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1.2內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.1.3工程管理分等級要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2安全系統(tǒng)運行管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.1目標!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.2內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.3運行管理分等級要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3信息系統(tǒng)安全監(jiān)督檢查和管理!!!!!!!!!!!!!!!!!!!!!!!!!!!16

犌犃/犜708—2007

8信息系統(tǒng)安全等級保護技術體系!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.1信息系統(tǒng)安全的基本屬性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.2信息系統(tǒng)安全的組成與相互關系!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.3信息系統(tǒng)的安全等級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3.1五個安全等級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3.2安全保護等級的確定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

8.4信息系統(tǒng)安全等級保護基本框架!!!!!!!!!!!!!!!!!!!!!!!!!!21

8.4.1信息系統(tǒng)安全保護總體框架!!!!!!!!!!!!!!!!!!!!!!!!!!!21

8.4.2信息系統(tǒng)安全等級保護的基本原理和方法!!!!!!!!!!!!!!!!!!!!!22

8.5信息系統(tǒng)安全等級保護基本技術!!!!!!!!!!!!!!!!!!!!!!!!!!24

8.5.1標識與鑒別技術!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

8.5.2訪問控制技術!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

8.5.3存儲和傳輸數據的完整性保護技術!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.4存儲和傳輸數據的保密性保護技術!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.5邊界隔離與防護技術!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.6系統(tǒng)安全運行及可用性保護技術!!!!!!!!!!!!!!!!!!!!!!!!!25

8.5.7密碼技術!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6信息系統(tǒng)安全等級保護支撐平臺!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6.1信息系統(tǒng)密碼基礎設施平臺!!!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6.2信息系統(tǒng)應用安全支撐平臺設計!!!!!!!!!!!!!!!!!!!!!!!!!26

8.6.3信息系統(tǒng)災難備份與恢復平臺!!!!!!!!!!!!!!!!!!!!!!!!!!27

8.6.4信息系統(tǒng)安全事件應急響應與管理平臺!!!!!!!!!!!!!!!!!!!!!!27

8.6.5信息系統(tǒng)安全管理平臺!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

8.7等級化安全信息系統(tǒng)構建技術!!!!!!!!!!!!!!!!!!!!!!!!!!!29

附錄A(資料性附錄)基本概念說明!!!!!!!!!!!!!!!!!!!!!!!!!!30

A.1業(yè)務應用軟件系統(tǒng)及其子系統(tǒng)!!!!!!!!!!!!!!!!!!!!!!!!!!30

A.2信息系統(tǒng)及其子系統(tǒng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

A.3關于安全域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

附錄B(資料性附錄)實施等級保護的方法!!!!!!!!!!!!!!!!!!!!!!!31

B.1全系統(tǒng)同一安全等級安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!31

B.2分系統(tǒng)不同安全等級安全保護!!!!!!!!!!!!!!!!!!!!!!!!!!31

B.3虛擬系統(tǒng)不同安全等級安全保護!!!!!!!!!!!!!!!!!!!!!!!!!31

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

犌犃/犜708—2007

前言

本標準的附錄A、附錄B為資料性附錄。

本標準由公安部信息系統(tǒng)安全標準化技術委員會提出并歸口。

本標準起草單位:北京江南天安科技有限公司,北京思源新創(chuàng)信息安全資訊有限公司。

本標準主要起草人:吉增瑞、王志強、陳冠直、景乾元、宋健平。

犌犃/犜708—2007

引言

信息系統(tǒng)安全等級保護通過三大功能和五個環(huán)節(jié),對國家、社會、集團和個人所建立和使用的信息

系統(tǒng),分等級實施必要的安全保護。

實現信息系統(tǒng)安全等級保護的三大功能是:

———防范與保護功能:從物理、網絡、系統(tǒng)、應用和管理等組成部分,實現整體防范與保護;

———監(jiān)督與檢查功能:各單位自我檢查與政府職能部門監(jiān)督檢查相結合,從技術和管理兩個方面,

確保信息系統(tǒng)的安全性達到確定安全等級的要求;

———響應與處置功能:信息系統(tǒng)擁有者,對系統(tǒng)的安全事件應有快速響應與處置的能力,并在發(fā)現

重大問題時能及時向主管部門反映,與有關單位溝通。

實現信息系統(tǒng)安全等級保護的五個環(huán)節(jié)是指:

———政策、法規(guī)環(huán)節(jié):制定完善的信息安全等級保護政策、法規(guī),建立專門的管理機構,明確實施的

程序和方法。

———規(guī)范化技術與管理環(huán)節(jié):制定符合國情的信息系統(tǒng)安全等級保護技術和管理標準,并按標準要

求實施安全管理,進行安全技術和產品的研究和開發(fā)。

———系統(tǒng)構建過程控制環(huán)節(jié):按照誰主管誰負責的要求,對安全信息系統(tǒng)的構建過程進行全方位控

制,并通過檢測機構嚴格的檢測評估,確保所構建的安全信息系統(tǒng)達到所需要的安全性要求。

———系統(tǒng)運行過程控制環(huán)節(jié):按照誰運營誰負責的要求,對安全信息系統(tǒng)的運行過程進行全方位控

制,并通過職能部門的監(jiān)督檢查,確保所運行的安全信息系統(tǒng)達到所設計的安全性要求。

———系統(tǒng)監(jiān)督、檢查環(huán)節(jié):信息安全相關職能部門,依照法律、法規(guī)和標準,制定完善信息安全監(jiān)管

規(guī)章制度,開展信息安全等級保護專項管理工作。督促安全等級保護責任制的落實,監(jiān)督、檢

查并指導信息系統(tǒng)所屬部門和單位的信息系統(tǒng)安全等級保護的建設和管理,對安全技術產品

實行監(jiān)管,對安全檢測機構實施監(jiān)管。建立非盈利的覆蓋全國的系統(tǒng)安全等級保護執(zhí)法檢查

與檢測支持體系,使用統(tǒng)一標準對運行中的安全信息系統(tǒng)進行檢查、檢測、評估,確保其實際運

行過程中的安全性達到設計的目標要求。

本標準是對信息系統(tǒng)安全等級保護各個組成部分及其相互關系的描述,首先對信息系統(tǒng)安全等級

保護的組成部分的主要內容及其相互關系做簡要說明,然后對每一個組成部分的主要內容做比較詳細

的說明。

犌犃/犜708—2007

信息安全技術

信息系統(tǒng)安全等級保護體系框架

1范圍

本標準規(guī)定了

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論