信息系統(tǒng)安全等級(jí)保護(hù)講義課件

信息系統(tǒng)安全等級(jí)保護(hù)

講義內(nèi)容安全等級(jí)保護(hù)概述安全等級(jí)保護(hù)定級(jí)原理安全等級(jí)保護(hù)定級(jí)方法安全等級(jí)保護(hù)定級(jí)管理安全等級(jí)保護(hù)技術(shù)和管理要求原因發(fā)展史1994年，國(guó)務(wù)院頒布《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（147號(hào)令）第九條計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。1999年9月13日，頒布《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB/T17859-1999)，于2000年開始實(shí)施，它是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)。2003年，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）：明確提出“實(shí)行信息安全等級(jí)保護(hù)”。發(fā)展史2004年，全國(guó)信息安全保障工作會(huì)議：專門將信息安全等級(jí)保護(hù)工作作為信息安全保障工作的一項(xiàng)重要任務(wù)來部署。2004年9月，公安部、保密局、密碼管理局、國(guó)信辦聯(lián)合出臺(tái)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）：明確了信息安全等級(jí)保護(hù)制度的原則和基本內(nèi)容，以及信息安全等級(jí)保護(hù)工作的職責(zé)分工、工作實(shí)施的要求等。2007年，公安部、保密局、密碼管理局、國(guó)信辦聯(lián)合制定了《信息安全等級(jí)保護(hù)管理辦法》，標(biāo)志著我國(guó)等級(jí)保護(hù)制度的初步形成定級(jí)范圍運(yùn)營(yíng)商和服務(wù)提供商電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。重要行業(yè)鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。重要機(jī)關(guān)市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。涉密系統(tǒng)涉及國(guó)家秘密的信息系統(tǒng)。政策法規(guī)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)文件），中辦、國(guó)辦《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)文件）公安部、保密局、國(guó)密辦以及國(guó)信辦《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（標(biāo)準(zhǔn)GB/T22239-2008）《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（標(biāo)準(zhǔn)GB/T22240-2008）《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（標(biāo)準(zhǔn)GB/T25058-2010）《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》（報(bào)批稿）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)文件），公安部、保密局、國(guó)密辦以及國(guó)信辦《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)文件），公安部、保密局、國(guó)密辦以及國(guó)信辦國(guó)家標(biāo)準(zhǔn)《信息技術(shù)詞匯》第8部分：安全（GB/T5271.8）《信息技術(shù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）《信息技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》（GB/T18336-2000）《信息技術(shù)信息安全管理實(shí)用規(guī)則[》（GB/T19716-2005）《信息技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）《信息技術(shù)服務(wù)器技術(shù)要求》（GB/T21028-2007）《信息技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）《信息技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）《信息技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）其他國(guó)家標(biāo)準(zhǔn)內(nèi)容安全等級(jí)保護(hù)概述安全等級(jí)保護(hù)定級(jí)原理安全等級(jí)保護(hù)定級(jí)方法安全等級(jí)保護(hù)定級(jí)管理安全等級(jí)保護(hù)技術(shù)和管理要求等級(jí)劃分第一級(jí)（自主保護(hù)級(jí)）信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)（指導(dǎo)保護(hù)級(jí)）信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)（監(jiān)督保護(hù)級(jí)）信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)（強(qiáng)制保護(hù)級(jí)）信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)（?？乇Ｗo(hù)級(jí)）信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。第五級(jí)第四級(jí)第三級(jí)第二級(jí)定級(jí)監(jiān)管部門第一級(jí)單位自主公安部門公安部門和國(guó)密部門國(guó)密部門？定級(jí)要素受侵害的客體——等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面：公民、法人和其他組織的合法權(quán)益；社會(huì)秩序、公共利益；國(guó)家安全。對(duì)客體的侵害程度——對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定，表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過危害方式、危害后果和危害程度加以描述。侵害程度歸結(jié)為以下三種：造成一般損害；造成嚴(yán)重?fù)p害；造成特別嚴(yán)重?fù)p害。等級(jí)、定級(jí)要素、監(jiān)管關(guān)系等級(jí)受侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)公民、法人和其他組織的合法權(quán)益一般損害自主保護(hù)第二級(jí)公民、法人和其他組織的合法權(quán)益嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會(huì)秩序和公共利益嚴(yán)重?fù)p害第三級(jí)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督保護(hù)國(guó)家安全一般損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制保護(hù)國(guó)家安全嚴(yán)重?fù)p害第五級(jí)國(guó)家安全特別嚴(yán)重?fù)p害專控保護(hù)內(nèi)容安全等級(jí)保護(hù)概述安全等級(jí)保護(hù)定級(jí)原理安全等級(jí)保護(hù)定級(jí)方法安全等級(jí)保護(hù)定級(jí)管理安全等級(jí)保護(hù)技術(shù)和管理要求確定安全對(duì)象業(yè)務(wù)信息安全保護(hù)等級(jí)從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。以業(yè)務(wù)為主題，如不同應(yīng)用系統(tǒng)系統(tǒng)服務(wù)安全保護(hù)等級(jí)從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。以服務(wù)為主題，如不同子網(wǎng)、數(shù)據(jù)中心確定定級(jí)對(duì)象（流程1）具有唯一確定的安全責(zé)任單位（一個(gè)單位）這種定級(jí)對(duì)象是能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。具有信息系統(tǒng)的基本要素（一個(gè)系統(tǒng)）這種定級(jí)對(duì)象是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用（一種應(yīng)用）這種定級(jí)對(duì)象是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有一定的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。確定受侵害的客體（流程2、5）A-侵害國(guó)家安全影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力；影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；影響國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益；影響國(guó)家重要的安全保衛(wèi)工作；其他影響國(guó)家安全的事項(xiàng)。B1-侵害社會(huì)秩序影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序；影響各種類型的經(jīng)濟(jì)活動(dòng)秩序；影響各行業(yè)的科研、生產(chǎn)活動(dòng)秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會(huì)秩序的事項(xiàng)。B2-影響公共利益影響社會(huì)成員使用公共設(shè)施；影響社會(huì)成員獲取公開信息資源；影響社會(huì)成員接受公共服務(wù)等方面；其他影響公共利益的事項(xiàng)。C-影響公民、法人和其他組織的合法權(quán)益指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。確定對(duì)客體的侵害程度（流程3、6）一般損害工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較低損害。嚴(yán)重?fù)p害工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的財(cái)產(chǎn)損失，較大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的財(cái)產(chǎn)損失，大范圍的社會(huì)不良影響，對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。確定定級(jí)對(duì)象的安保等級(jí)（流程4、7）業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表表A-業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)定級(jí)監(jiān)督管理第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行備案。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。等級(jí)測(cè)評(píng)與自查第三方測(cè)評(píng)運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。測(cè)評(píng)周期第三級(jí)：每年至少一次第四級(jí)：每半年至少一次第五級(jí)：應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。自查信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。自查周期第三級(jí)：每年至少一次第四級(jí)：每半年至少一次第五級(jí)：應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。定級(jí)申報(bào)材料編寫《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；系統(tǒng)安全組織機(jī)構(gòu)和管理制度；系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見；主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》一、XXX信息系統(tǒng)描述簡(jiǎn)述確定該系統(tǒng)為定級(jí)對(duì)象的理由：1.描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門，說明本單位或部門對(duì)信息系統(tǒng)具有信息安全保護(hù)責(zé)任，該系統(tǒng)為本單位或部門的定級(jí)對(duì)象；2.定級(jí)對(duì)象具有的信息系統(tǒng)基本要素，描述基本要素、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界和邊界設(shè)備；3.定級(jí)對(duì)象是否承載著單一或相對(duì)獨(dú)立的業(yè)務(wù)，業(yè)務(wù)情況描述。二、XXX信息系統(tǒng)安全保護(hù)等級(jí)確定（一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定：1、業(yè)務(wù)信息描述、2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定、3、信息受到破壞后對(duì)侵害客體的侵害程度的確定、4、業(yè)務(wù)信息安全等級(jí)的確定（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定：1、系統(tǒng)服務(wù)描述、2、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定、3、系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度的確定、4、系統(tǒng)服務(wù)安全等級(jí)的確定（三）整體安全保護(hù)等級(jí)的確定：由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定，最終確定該系統(tǒng)的安全保護(hù)等級(jí)。信息系統(tǒng)名稱安全保護(hù)等級(jí)業(yè)務(wù)信息安全等級(jí)系統(tǒng)服務(wù)安全等級(jí)XXX信息系統(tǒng)XXX信息系統(tǒng)安全等級(jí)保護(hù)備案表

涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)備案表內(nèi)容安全等級(jí)保護(hù)概述安全等級(jí)保護(hù)定級(jí)原理安全等級(jí)保護(hù)定級(jí)方法安全等級(jí)保護(hù)定級(jí)管理安全等級(jí)保護(hù)技術(shù)和管理要求安全保護(hù)能力總體要求第一級(jí)安全保護(hù)能力應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害。在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。第二級(jí)安全保護(hù)能力應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件。在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。第三級(jí)安全保護(hù)能力應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。第四級(jí)安全保護(hù)能力應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件。在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。第五級(jí)安全保護(hù)能力（略）由國(guó)家指定部門或機(jī)構(gòu)確定?；景踩蠼Y(jié)構(gòu)某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理基本技術(shù)要求的三種類型類型第一級(jí)基本技術(shù)要求物理安全物理訪問控制（G1）、防盜竊和防破壞（G1）、防雷擊（G1）、防火（G1）、防水和防潮（G1）、溫濕度控制（G1）、電力供應(yīng)（A1）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G1）、訪問控制（G1）、設(shè)備防護(hù)（G1）主機(jī)安全身份鑒別（S1）、訪問控制（S1）、入侵防范（G1）、惡意代碼防范（G1）應(yīng)用安全身份鑒別（S1）、訪問控制（S1）、通信完整性（S1）、軟件容錯(cuò)（A1）、數(shù)據(jù)安全及備份恢復(fù)、數(shù)據(jù)完整性（S1）、備份和恢復(fù)（A1）第一級(jí)基本管理要求安全管理制度管理制度（G1）、制定和發(fā)布（G1）安全管理機(jī)構(gòu)崗位設(shè)置（G1）、人員配備（G1）、授權(quán)和審批（G1）、溝通和合作（G1）人員安全管理人員錄用（G1）、人員離崗（G1）、安全意識(shí)教育和培訓(xùn)（G1）、外部人員訪問管理（G1）系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)（G1）、安全方案設(shè)計(jì)（G1）、產(chǎn)品采購(gòu)和使用（G1）、自行軟件開發(fā)（G1）、外包軟件開發(fā)（G1）、工程實(shí)施（G1）、測(cè)試驗(yàn)收（G1）、系統(tǒng)交付（G1）、安全服務(wù)商選擇（G1）系統(tǒng)運(yùn)維管理環(huán)境管理（G1）、資產(chǎn)管理（G1）、設(shè)備管理（G1）、網(wǎng)絡(luò)安全管理（G1）、系統(tǒng)安全管理（G1）、惡意代碼防范管理（G1）、備份與恢復(fù)管理（G1）、安全事件處置（G1）第二級(jí)基本技術(shù)要求物理安全物理位置的選擇（G2）、物理訪問控制（G2）、防盜竊和防破壞（G2）、防雷擊（G2）、防火（G2） 、防水和防潮（G2） 、防靜電（G2） 、溫濕度控制（G2）、電力供應(yīng)（A2）、電磁防護(hù)（S2）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G2）、訪問控制（G2） 、安全審計(jì)（G2）、邊界完整性檢查（S2）、入侵防范（G2）、網(wǎng)絡(luò)設(shè)備防護(hù)（G2）主機(jī)安全身份鑒別（S2）、訪問控制（S2）、安全審計(jì)（G2）、入侵防范（G2） 、惡意代碼防范（G2）、資源控制（A2）應(yīng)用安全身份鑒別（S2）、訪問控制（S2）、安全審計(jì)（G2）、通信完整性（S2） 、通信保密性（S2）、軟件容錯(cuò)（A2）、資源控制（A2）數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性（S2）、數(shù)據(jù)保密性（S2）、備份和恢復(fù)（A2）第二級(jí)基本管理要求安全管理制度管理制度（G2）、制定和發(fā)布（G2）、評(píng)審和修訂（G2）安全管理機(jī)構(gòu)崗位設(shè)置（G2）、人員配備（G2、授權(quán)和審批（G2）、溝通和合作（G2）、審核和檢查（G2）人員安全管理人員錄用（G2）、人員離崗（G2）、人員考核（G2）、安全意識(shí)教育和培訓(xùn)（G2）、外部人員訪問管理（G2）系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)（G2）、安全方案設(shè)計(jì)（G2）、產(chǎn)品采購(gòu)和使用（G2） 、自行軟件開發(fā)（G2）、外包軟件開發(fā)（G2）、工程實(shí)施（G2）、測(cè)試驗(yàn)收（G2）、系統(tǒng)交付（G2）、安全服務(wù)商選擇（G2）系統(tǒng)運(yùn)維管理環(huán)境管理（G2）、資產(chǎn)管理（G2）、介質(zhì)管理（G2、設(shè)備管理（G2）、網(wǎng)絡(luò)安全管理（G2）、系統(tǒng)安全管理（G2）、惡意代碼防范管理（G2）、密碼管理（G2）、變更管理（G2）、備份與恢復(fù)管理（G2）、安全事件處置（G2）、應(yīng)急預(yù)案管理（G2）第三級(jí)基本技術(shù)要求物理安全物理位置的選擇（G3）、物理訪問控制（G3）、防盜竊和防破壞（G3）、防雷擊（G3）、防火（G3）、防水和防潮（G3）、防靜電（G3）、溫濕度控制（G3）、電力供應(yīng)（A3）、電磁防護(hù)（S3）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）、訪問控制（G3）、安全審計(jì)（G3）、邊界完整性檢查（S3）、入侵防范（G3）、惡意代碼防范（G3）、網(wǎng)絡(luò)設(shè)備防護(hù)（G3）主機(jī)安全身份鑒別（S3）、訪問控制（S3）、安全審計(jì)（G3）、剩余信息保護(hù)（S3）、入侵防范（G3）、惡意代碼防范（G3）、資源控制（A3）應(yīng)用安全身份鑒別（S3）、訪問控制（S3）、安全審計(jì)（G3）、剩余信息保護(hù)（S3）、通信完整性（S3）、通信保密性（S3、抗抵賴（G3）、軟件容錯(cuò)（A3）、資源控制（A3）、數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）、備份和恢復(fù)（A3）第三級(jí)基本管理要求安全管理制度管理制度（G3）、制定和發(fā)布（G3）、評(píng)審和修訂（G3）安全管理機(jī)構(gòu)崗位設(shè)置（G3）、人員配備（G3）、授權(quán)和審批（G3）、溝通和合作（G3）、審核和檢查（G3） 人員安全管理人員錄用（G3）、人員離崗（G3）、人員考核（G3）、安全意識(shí)教育和培訓(xùn)（G3）、外部人員訪問管理（G3）系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)（G3）、安全方案設(shè)計(jì)（G3）、產(chǎn)品采購(gòu)和使用（G3）、自行軟件開發(fā)（G3）、外包軟件開發(fā)（G3）、工程實(shí)施（G3）、測(cè)試驗(yàn)收（G3）、系統(tǒng)交付（G3）、系統(tǒng)備案（G3）、等級(jí)測(cè)評(píng)（G3）、安全服務(wù)商選擇（G3）系統(tǒng)運(yùn)維管理環(huán)境管理（G3）、資產(chǎn)管理（G3）、介質(zhì)管理（G3）、設(shè)備管理（G3）、監(jiān)控管理和安全管理中心（G3）、網(wǎng)絡(luò)安全管理（G3）、系統(tǒng)安全管理（G3）、惡意代碼防范管理（G3）、密碼管理（G3）、變更管理（G3）、備份與恢復(fù)管理（G3）、安全事件處置（G3）、應(yīng)急預(yù)案管理（G3）第四級(jí)基本技術(shù)要求物理安全物理位置的選擇（G4）、物理訪問控制（G4）、防盜竊和防破壞（G4）、防雷擊（G4）、防火（G4）、防水和防潮（G4）、防靜電（G4）、溫濕度控制（G4）、電力供應(yīng)（A4）、電磁防護(hù)（S4）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G4）、訪問控制（G4）、安全審計(jì)（G4）、邊界完整性檢查（S4、入侵防范（G4）、惡意代碼防范（G4）、網(wǎng)絡(luò)設(shè)備防護(hù)（G4）主機(jī)安全身份鑒別（S4）、安全標(biāo)記（S4）、訪問控制（S4）、可信路徑（S4）、安全審計(jì)（G4）、剩余信息保護(hù)（S4）、入侵防范（G4）、惡意代碼防范（G4）、資源控制（A4）應(yīng)用安全身份鑒別（S4）、安全標(biāo)記（S4）、訪問控制（S4）、可信路徑（S4）、安全審計(jì)（G4）、剩余信息保護(hù)（S4）、通信完整性（S4）、通信保密性（S4）、抗抵賴（G4）、軟件容錯(cuò)（A4）、資源控制（A4）