当前位置：文档库 › 信息系统等级保护第三级基本要求

信息系统等级保护第三级基本要求

1 第三级基本要求

1.1 技术要求

1.1.1 物理安全

1.1.1.1 物理位置的选择（G3）

本项要求包括：

a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

1.1.1.2 物理访问控制（G3）

本项要求包括：

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前

设置交付或安装等过渡区域；

d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏（G3）

本项要求包括：

a)应将主要设备放置在机房内；

b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；

c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

d)应对介质分类标识，存储在介质库或档案室中；

e)应利用光、电等技术设置机房防盗报警系统；

f)应对机房设置监控报警系统。

1.1.1.4 防雷击（G3）

本项要求包括：

a)机房建筑应设置避雷装置；

b)应设置防雷保安器，防止感应雷；

c)机房应设置交流电源地线。

1.1.1.5 防火（G3）

本项要求包括：

a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

1.1.1.6 防水和防潮（G3）

本项要求包括：

a)水管安装，不得穿过机房屋顶和活动地板下；

b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

1.1.1.7 防静电（G3）

本项要求包括：

a)主要设备应采用必要的接地防静电措施；

b)机房应采用防静电地板。

1.1.1.8 温湿度控制（G3）

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.1.1.9 电力供应（A3）

本项要求包括：

a)应在机房供电线路上配置稳压器和过电压防护设备；

b)应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；

c)应设置冗余或并行的电力电缆线路为计算机系统供电；

d)应建立备用供电系统。

1.1.1.10 电磁防护（S3）

本项要求包括：

a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；

b)电源线和通信线缆应隔离铺设，避免互相干扰；

c)应对关键设备和磁介质实施电磁屏蔽。

1.1.2 网络安全

1.1.

2.1 结构安全（G3）

本项要求包括：

a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；

b)应保证网络各个部分的带宽满足业务高峰期需要；

c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；

d)应绘制与当前运行情况相符的网络拓扑结构图；

e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子

网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；

f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他

网段之间采取可靠的技术隔离手段；

g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的

时候优先保护重要主机。

1.1.

2.2 访问控制（G3）

本项要求包括：

a)应在网络边界部署访问控制设备，启用访问控制功能；

b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端

口级；

c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、

POP3等协议命令级的控制；

d)应在会话处于非活跃一定时间或会话结束后终止网络连接；

e)应限制网络最大流量数及网络连接数；

f)重要网段应采取技术手段防止地址欺骗；

g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访

问，控制粒度为单个用户；

h)应限制具有拨号访问权限的用户数量。

1.1.

2.3 安全审计（G3）

本项要求包括：

a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审

计相关的信息；

c)应能够根据记录数据进行分析，并生成审计报表；

d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

1.1.

2.4 边界完整性检查（S3）

本项要求包括：

a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其

进行有效阻断；

b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其

进行有效阻断。

1.1.

2.5 入侵防范（G3）

本项要求包括：

a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服

务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；

b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生

严重入侵事件时应提供报警。

1.1.

2.6 恶意代码防范（G3）

本项要求包括：

a)应在网络边界处对恶意代码进行检测和清除；

b)应维护恶意代码库的升级和检测系统的更新。

1.1.

2.7 网络设备防护（G3）

本项要求包括：

a)应对登录网络设备的用户进行身份鉴别；

b)应对网络设备的管理员登录地址进行限制；

c)网络设备用户的标识应唯一；

d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴

别；

e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接

超时自动退出等措施；

g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被

窃听；

h)应实现设备特权用户的权限分离。

1.1.3 主机安全

1.1.3.1 身份鉴别（S3）

本项要求包括：

a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；

b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂

度要求并定期更换；

c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被

窃听；

e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一

性。

f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

1.1.3.2 访问控制（S3）

本项要求包括：

a)应启用访问控制功能，依据安全策略控制用户对资源的访问；

b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所

需的最小权限；

c)应实现操作系统和数据库系统特权用户的权限分离；

d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；

e)应及时删除多余的、过期的帐户，避免共享帐户的存在。

f)应对重要信息资源设置敏感标记；

g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；

1.1.3.3 安全审计（G3）

本项要求包括：

a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统

内重要的安全相关事件；

c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

d)应能够根据记录数据进行分析，并生成审计报表；

e)应保护审计进程，避免受到未预期的中断；

f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。

1.1.3.4 剩余信息保护（S3）

本项要求包括：

a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配

给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；

b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新

分配给其他用户前得到完全清除。

1.1.3.5 入侵防范（G3）

本项要求包括：

a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、

攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；

b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的

措施；

c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级

服务器等方式保持系统补丁及时得到更新。

1.1.3.6 恶意代码防范（G3）

本项要求包括：

a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；

b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；

c)应支持防恶意代码的统一管理。

1.1.3.7 资源控制（A3）

本项要求包括：

a)应通过设定终端接入方式、网络地址范围等条件限制终端登录；

b)应根据安全策略设置登录终端的操作超时锁定；

c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使

用情况；

d)应限制单个用户对系统资源的最大或最小使用限度；

e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

1.1.4 应用安全

1.1.4.1 身份鉴别（S3）

本项要求包括：

a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；

c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复

用户身份标识，身份鉴别信息不易被冒用；

d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登

录失败处理功能，并根据安全策略配置相关参数。

1.1.4.2 访问控制（S3）

本项要求包括：

a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；

b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；

c)应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；

d)应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约

的关系。

e)应具有对重要信息资源设置敏感标记的功能；

f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；

1.1.4.3 安全审计（G3）

本项要求包括：

a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；

b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；

c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；

d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

1.1.4.4 剩余信息保护（S3）

本项要求包括：

a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清

除，无论这些信息是存放在硬盘上还是在内存中；

b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分

配给其他用户前得到完全清除。

1.1.4.5 通信完整性（S3）

应采用密码技术保证通信过程中数据的完整性。

1.1.4.6 通信保密性（S3）

本项要求包括：

a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；

b)应对通信过程中的整个报文或会话过程进行加密。

1.1.4.7 抗抵赖（G3）

本项要求包括：

a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；

b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

1.1.4.8 软件容错（A3）

本项要求包括：

a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格

式或长度符合系统设定要求；

b)应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行

恢复。

1.1.4.9 资源控制（A3）

本项要求包括：

a)当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结

束会话；

b)应能够对系统的最大并发会话连接数进行限制；

c)应能够对单个帐户的多重并发会话进行限制；

d)应能够对一个时间段内可能的并发会话连接数进行限制；

e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；

f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；

g)应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程

的优先级，根据优先级分配系统资源。

1.1.5 数据安全及备份恢复

1.1.5.1 数据完整性（S3）

本项要求包括：

a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破

坏，并在检测到完整性错误时采取必要的恢复措施；

b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到

破坏，并在检测到完整性错误时采取必要的恢复措施。

1.1.5.2 数据保密性（S3）

本项要求包括：

a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保

密性；

b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密

性。

1.1.5.3 备份和恢复（A3）

本项要求包括：

a)应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存

放；

b)应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；

c)应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；

d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用

性。

1.2 管理要求

1.2.1 安全管理制度

1.2.1.1 管理制度（G3）

本项要求包括：

a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、

原则和安全框架等；

b)应对安全管理活动中的各类管理内容建立安全管理制度；

c)应对要求管理人员或操作人员执行的日常管理操作建立操作规程；

d)应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

1.2.1.2 制定和发布（G3）

本项要求包括：

a)应指定或授权专门的部门或人员负责安全管理制度的制定；

b)安全管理制度应具有统一的格式，并进行版本控制；

c)应组织相关人员对制定的安全管理制度进行论证和审定；

d)安全管理制度应通过正式、有效的方式发布；

e)安全管理制度应注明发布范围，并对收发文进行登记。

1.2.1.3 评审和修订（G3）

本项要求包括：

a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合

理性和适用性进行审定；

b)应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全

管理制度进行修订。

1.2.2 安全管理机构

1.2.2.1 岗位设置（G3）

本项要求包括：

a)应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责

人岗位，并定义各负责人的职责；

b)应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；

c)应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领

导委任或授权；

d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

1.2.2.2 人员配备（G3）

本项要求包括：

a)应配备一定数量的系统管理员、网络管理员、安全管理员等；

b)应配备专职安全管理员，不可兼任；

c)关键事务岗位应配备多人共同管理。

1.2.2.3 授权和审批（G3）

本项要求包括：

a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；

b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审

批程序执行审批过程，对重要活动建立逐级审批制度；

c)应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；

d)应记录审批过程并保存审批文档。

1.2.2.4 沟通和合作（G3）

本项要求包括：

a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与

沟通，定期或不定期召开协调会议，共同协作处理信息安全问题；

b)应加强与兄弟单位、公安机关、电信公司的合作与沟通；

c)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通；

d)应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等

信息；

e)应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和

安全评审等。

1.2.2.5 审核和检查（G3）

本项要求包括：

a)安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数

据备份等情况；

b)应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措

施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；

c)应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并

对安全检查结果进行通报；

d)应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进

行安全审核和安全检查活动。

1.2.3 人员安全管理

1.2.3.1 人员录用（G3）

本项要求包括：

a)应指定或授权专门的部门或人员负责人员录用；

b)应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，

对其所具有的技术技能进行考核；

c)应签署保密协议；

d)应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。

1.2.3.2 人员离岗（G3）

本项要求包括：

a)应严格规范人员离岗过程，及时终止离岗员工的所有访问权限；

b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

c)应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开。

1.2.3.3 人员考核（G3）

本项要求包括：

a)应定期对各个岗位的人员进行安全技能及安全认知的考核；

b)应对关键岗位的人员进行全面、严格的安全审查和技能考核；

c)应对考核结果进行记录并保存。

1.2.3.4 安全意识教育和培训（G3）

本项要求包括：

a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；

b)应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和

规定的人员进行惩戒；

c)应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对

信息安全基础知识、岗位操作规程等进行培训；

d)应对安全教育和培训的情况和结果进行记录并归档保存。

1.2.3.5 外部人员访问管理（G3）

本项要求包括：

a)应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监

督，并登记备案；

b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按

照规定执行。

1.2.4 系统建设管理

1.2.4.1 系统定级（G3）

本项要求包括：

a)应明确信息系统的边界和安全保护等级；

b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由；

c)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行

论证和审定；

d)应确保信息系统的定级结果经过相关部门的批准。

1.2.4.2 安全方案设计（G3）

本项要求包括：

a)应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整

安全措施；

b)应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期

的安全建设工作计划；

c)应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全

技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件；

d)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理

策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证

和审定，并且经过批准后，才能正式实施；

e)应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、

安全管理策略、总体建设规划、详细设计方案等相关配套文件。

1.2.4.3 产品采购和使用（G3）

本项要求包括：

a)应确保安全产品采购和使用符合国家的有关规定；

b)应确保密码产品采购和使用符合国家密码主管部门的要求；

c)应指定或授权专门的部门负责产品的采购；

d)应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品

名单。

1.2.4.4 自行软件开发（G3）

a)应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据

和测试结果受到控制；

b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

c)应制定代码编写安全规范，要求开发人员参照规范编写代码；

d)应确保提供软件设计的相关文档和使用指南，并由专人负责保管；

e)应确保对程序资源库的修改、更新、发布进行授权和批准。

1.2.4.5 外包软件开发（G3）

本项要求包括：

a)应根据开发需求检测软件质量；

b)应在软件安装之前检测软件包中可能存在的恶意代码；

c)应要求开发单位提供软件设计的相关文档和使用指南；

d)应要求开发单位提供软件源代码，并审查软件中可能存在的后门。

1.2.4.6 工程实施（G3）

本项要求包括：

a)应指定或授权专门的部门或人员负责工程实施过程的管理；

b)应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安

全工程过程；

c)应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

1.2.4.7 测试验收（G3）

本项要求包括：

a)应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；

b)在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中

应详细记录测试验收结果，并形成测试验收报告；

c)应对系统测试验收的控制方法和人员行为准则进行书面规定；

d)应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成

系统测试验收工作；

e)应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

1.2.4.8 系统交付（G3）

本项要求包括：

a)应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行

清点；

b)应对负责系统运行维护的技术人员进行相应的技能培训；

c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档；

d)应对系统交付的控制方法和人员行为准则进行书面规定；

e)应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成

系统交付工作。

1.2.4.9 系统备案（G3）

a)应指定专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的使用；

b)应将系统等级及相关材料报系统主管部门备案；

c)应将系统等级及其他要求的备案材料报相应公安机关备案。

1.2.4.10 等级测评（G3）

本项要求包括：

a)在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级

保护标准要求的及时整改；

b)应在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级

别并进行安全改造，发现不符合相应等级保护标准要求的及时整改；

c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评；

d)应指定或授权专门的部门或人员负责等级测评的管理。

1.2.4.11 安全服务商选择（G3）

本项要求包括：

a)应确保安全服务商的选择符合国家的有关规定；

b)应与选定的安全服务商签订与安全相关的协议，明确约定相关责任；

c)应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。

1.2.5 系统运维管理

1.2.5.1 环境管理（G3）

本项要求包括：

a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管

理；

b)应指定部门负责机房安全，并配备机房安全管理人员，对机房的出入、服务器的开

机或关机等工作进行管理；

c)应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境

安全等方面的管理作出规定；

d)应加强对办公环境的保密性管理，规范办公环境人员行为，包括工作人员调离办公

室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保

终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。

1.2.5.2 资产管理（G3）

本项要求包括：

a)应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位

置等内容；

b)应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范

资产管理和使用的行为；

c)应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措

施；

d)应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化

管理。

1.2.5.3 介质管理（G3）

本项要求包括：

a)应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规

定；

b)应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专

人管理；

c)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，对介质归

档和查询等进行登记记录，并根据存档介质的目录清单定期盘点；

d)应对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工作环境

的存储介质进行内容加密和监控管理，对送出维修或销毁的介质应首先清除介质

中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁；

e)应根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法

应与本地相同；

f)应对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程

度对介质进行分类和标识管理。

1.2.5.4 设备管理（G3）

本项要求包括：

a)应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或

人员定期进行维护管理；

b)应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件

设备的选型、采购、发放和领用等过程进行规范化管理；

c)应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括

明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等；

d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管

理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等

操作；

e)应确保信息处理设备必须经过审批才能带离机房或办公地点。

1.2.5.5 监控管理和安全管理中心（G3）

本项要求包括：

a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等

进行监测和报警，形成记录并妥善保存；

b)应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分

析报告，并采取必要的应对措施；

c)应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关

事项进行集中管理。

1.2.5.6 网络安全管理（G3）

a)应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息

分析和处理工作；

b)应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打

补丁、口令更新周期等方面作出规定；

c)应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文

件进行备份；

d)应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；

e)应实现设备的最小服务配置，并对配置文件进行定期离线备份；

f)应保证所有与外部系统的连接均得到授权和批准；

g)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；

h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。

1.2.5.7 系统安全管理（G3）

本项要求包括：

a)应根据业务需求和系统安全分析确定系统的访问控制策略；

b)应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

c)应安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并

对重要文件进行备份后，方可实施系统补丁程序的安装；

d)应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程

等方面作出具体规定；

e)应指定专人对系统进行管理，划分系统管理员角色，明确各个角色的权限、责任

和风险，权限设定应当遵循最小授权原则；

f)应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行

维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；

g)应定期对运行日志和审计数据进行分析，以便及时发现异常行为。

1.2.5.8 恶意代码防范管理（G3）

本项要求包括：

a)应提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上

的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设

备接入网络系统之前也应进行病毒检查；

b)应指定专人对网络和主机进行恶意代码检测并保存检测记录；

c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定；

d)应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防

病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时

分析处理，并形成书面的报表和总结汇报。

1.2.5.9 密码管理（G3）

应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。

1.2.5.10 变更管理（G3）

a)应确认系统中要发生的变更，并制定变更方案；

b)应建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评

审、审批后方可实施变更，并在实施后将变更情况向相关人员通告；

c)应建立变更控制的申报和审批文件化程序，对变更影响进行分析并文档化，记录

变更实施过程，并妥善保存所有文档和记录；

d)应建立中止变更并从失败变更中恢复的文件化程序，明确过程控制方法和人员职

责，必要时对恢复过程进行演练。

1.2.5.11 备份与恢复管理（G3）

本项要求包括：

a)应识别需要定期备份的重要业务信息、系统数据及软件系统等；

b)应建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、

存储介质和保存期等进行规范；

c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，

备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站

运输的方法；

d)应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录

应妥善保存；

e)应定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定

的时间内完成备份的恢复。

1.2.5.12 安全事件处置（G3）

本项要求包括：

a)应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；

b)应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场

处理、事件报告和后期恢复的管理职责；

c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产

生的影响，对本系统计算机安全事件进行等级划分；

d)应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、

程度，以及处理方法等；

e)应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，

记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有

文件和记录均应妥善保存；

f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。

1.2.5.13 应急预案管理（G3）

本项要求包括：

a)应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应

急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；

b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；

c)应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次；

d)应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；

e)应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。

安全检查的基本程序

安全检查的基本程序 1、告知当受检者走进安全检查专门通道，距执勤法警1.5—2米左右的地方时，执勤法警举手示意其停下，然后向其敬礼，并告知：“我是××法院司法警察，现依据《人民法院司法警察安全检查规则》的规定对你进行检查，请予以配合，请出示你的有效证件。” 2、证件检查在受检者掏出证件时，执勤法警应注视对方双手、肩部和眼睛，密切注视其动作。上前接证件时要注意防备，特别是注意武器的安全。接过证件后，可后退一步，适当拉开距离，但眼睛要始终注视着受检者。查验证件时，应当将证件举至约同肩高，使证件与受检者同处于视野范围内。认真查验身份证和其相关证件，核实受检者的身份。在核实其身份时可采用盘问的方法，盘问要由浅入深，问明受检者对象的姓名、住址、工作单位等，要弄清携带物品的种类、盘问中应注意其表情、动作、语言的逻辑性，善于发现疑点。 3、人身安全检查人身安全检查，是指对受检者人身可能携带、藏匿的限制物品、管制物品和危险物品，依法进行搜索、检查的行动过程。只要通过证件检查发现有疑点的受检者，应立即命其站立不动，两脚分开，双手抱头面向墙站立，并告知根据《安全检查的规则》的规定对其进行人身安全检查，请予以配合。在进行人身检查时，必须保持高度警惕，要在受检对象已经被完全控制的情况下进行，防止其反抗，检查主要按从上至下、从右至左的顺序进行，重点是上肢、头部、脖颈、衣领、前胸、腋下、腰部、腿部等部位。（搜身）时一般要求用手挤压、触摸翻动，不可轻拍轻摸。（搜身时）必须认真彻底，

不留隐患。一般容易忽视但有可能隐藏凶器的器位：帽子里、衣领口、腋下腰间、皮带内侧、衣服口袋，小腿部位等。人身安全检查时，必须分工明确、站位合理，一般采取一人检查，其他人员警戒的方式。 4、对随身携带物品的检查物品检查：主要包括受检者的行李、包裹等。基本程序要求是：①必须首先把受检者与其携带的包裹分离开，再进行开包检查，防止受检人趁机使用装在包内的武器行凶顽抗。②开包检查时，要分工明确，一人检查其他警员警戒特别要加强对受检者的警戒。③查验物品要按一问、二看、三听、四闻、五摸、六开的顺序进行。要轻开、慢拉，谨慎开启，防止内有爆炸物。 ④检查物品时要从上往下地进行，特别要注意箱包的底部、角部和外侧小兜，注意发现夹层。要对物品轻拿轻放，防止损坏。不能掏底取物，更不能反复翻动。发现管制物品和危险物品，应马上对受检者进行控制并进行询问。对检查出的物品按《安全检查规则》的第十二条进行处理。 5、检查后的工作对经过安全检查解除怀疑的，应当立即归还证件、物品、协助理妥箱包，礼貌予以放行，并做好解释工作。

信息系统安全等级保护定级报告模版

附件1：《信息系统安全等级保护定级报告》模版《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定 1、业务信息描述描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织 —9 —

的合法权益）中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。（二）系统服务安全保护等级的确定 1、系统服务描述描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。（三）安全保护等级的确定 —10 —

安全生产检查的方法及工作程序标准版本

文件编号：RHD-QB-K5932 （管理制度范本系列）编辑：XXXXXX 查核：XXXXXX 时间：XXXXXX 安全生产检查的方法及工作程序标准版本

安全生产检查的方法及工作程序标准版本操作指导：该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的，并由相关人员在办理业务或操作时必须遵循的程序或步骤。，其中条款可根据自己现实基础上调整，请仔细浏览后进行编辑与保存。 (一)检查方法 1.常规检查常规检查是常见的一种检查方法。通常是由安全管理人员作为检查工作的主体，到作业场所的现场，通过感观或辅助一定的简单工具、仪表等，对作业人员的行为、作业场所的环境条件、生产设备设施等进行的定性检查．安全检查人员通过这一手段，及时发现现场存在的不安全隐患并采取措施予以消除，纠正施工人员的不安全行为。常规检查完全依靠安全检查人员的经验和能力，

检查的结果直接受安全检查人员个人素质的影响。因此，对安全检查人员个人素质的要求较高。 2.安全检查表法为使检查工作更加规范，将个人的行为对检查结果的影响减少到最小，常采用安全检查表法。安全检查表(SCL)是事先把系统加以剖析，列出各层次的不安全因素，确定检查项目，并把检查项目按系统的组成顺序编制成表，以便进行检查或评审，这种表就叫做安全检查表。安全检查表是进行安全检查，发现和查明各种危险和隐患，监督各项安全规章制度的实施，及时发现事故隐患并制止违章行为的一个有力工具。安全检查表应列举需查明的所有可能会导致事故的不安全因素。每个检查表均需注明检查时间、检查者、直接负责人等，以便分清责任。安全检查表的设

信息系统安全等级保护测评准则.

目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)

7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A（资料性附录）测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B（资料性附录）关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)

粉尘车间安全检查基本要求(正式)

编订：__________________ 单位：__________________ 时间：__________________ 粉尘车间安全检查基本要求(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-2882-67 粉尘车间安全检查基本要求(正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 1、粉尘车间应单独设置，宜设置在单层建筑物内。如设置在多层建筑内，粉尘车间应用实体墙分隔，并与其他作业场所保持足够的安全距离。 2、粉尘车间作业人数在5人以上的应设有两个安全出口，出口上方应有“安全出口”指示标志和应急灯；室内配备消防器材（消防砂及氯化钠、碳酸钠、硼砂、化学干粉灭火器），设置“禁止烟火”、“禁止吸烟”的警示标志。铝镁粉厂房和库房内不应存放汽油、煤油、苯等易燃物 3、配电箱应设在室外，设在室内的所用电气设备必须是粉尘防爆型的。（灯具）喷粉烤箱十分危险！防爆！ 4、开关电源线必须穿管保护，接头点不得裸露；所用电气设备必须加接地线；开关、插座不得装在可

燃材料上。 5、2.4米以下的金属灯架必须加接地线（照明灯管要求防爆），回路必须安装漏电保护装置。 6、所有金属设备、装置外壳，金属管道、支架、构件、部件及排风除尘装置，均应采用静电直接接地；所有金属管道连接处(如法兰)，必须进行跨接；操作人员应采取防静电措施。（对金属以外的静电导体及亚导体则应作间接接地）。 7、砂带机、打磨机、抛光机等皮带轮、布轮都应有防护罩。 8、粉尘车间应设置粉尘浓度监测装置。作业场所应有通风除尘装置。 9、公司应建立粉尘车间管理制度，制度内应有粉尘定期清理的规定、应有专人负责管理；应建立设备维护保养制度，要有维保记录。 10、作业人员应正确穿戴劳保用品，作业场所应有危害告知。 11、粉尘作业场所浓度符合国家标准、行业标准，

信息安全等级保护介绍

国家信息安全等级保护制度的主要内容和要求一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。三、工作分工和组织协调（一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。（二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。

信息安全等级保护制度

第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

安全检查及相关工作的具体要求示范文本

安全检查及相关工作的具体要求示范文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月

安全检查及相关工作的具体要求示范文本使用指引：此操作规程资料应用在实际工作生产管理中为了保障过程顺利推进，同时考虑各个环节之间的关系，每个环节实现的具体要求而进行的风险控制与规划，并将危害降低到最小，文档经过下载可进行自定义修改，请根据实际需求进行调整与使用。一、认真检查化工企业特别是危险化学品生产企业的周边防护距离，对不符合国家有关法律、法规和标准规定的，责令限期整改，整改后仍达不到规定的，坚决责令停产、停业。对那些由于城市的发展，过去处于城市的边缘而今处在市区的老企业需要转产、停产、搬迁、关闭的，要提出整改意见，报同级人民政府批准后实施。二、认真排查企业危险化学品特别是有关剧毒化学品、易燃易爆化学品的生产、使用装置、设备和设施，对存在的事故隐患进行登记造册，责令限期整改直至达到国家有关规定，并建立挂牌督办制度。三、对去年以来已经进行安全评估的危险化学品生

产、储存企业定期进行检查、抽查，分类指导，突出重点，强化监管。对不合格的企业，责令停产整改；对差的企业，责令限期整改；对限期内不整改或经整改后仍达不到要求的，要依法坚决关闭。对一般的企业，督促其整改达到好的标准；对好的企业，促使其全面达到好的标准。四、对已经列入搬迁规划而仍然需要进行生产的企业，要督促其切实采取有效措施，加强安全生产管理，保证安全生产；对未采取有效防范措施的，要责令停产整改。五、对责令停产、停业的企业，要督促其采取有效措施，处置危险化学品的生产或者储存设备、库存产品及生产原料，不得留有事故隐患，并要将处置方案报所在地设区的市级人民政府安全生产监管、环境保护、公安等部门备案。同时，各级安全生产监管部门要加强对处置情况的监督检查。

信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如： ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems（美国国家标准和技术研究所） ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual（美国国防部） ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防部） ●Information Assurance Technology Framework3.1（美国国家安全局）这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的

信息系统等级保护建设方案详细

边界接入平台终端安全保护系统建设方案 2009年6月5日

文件修改记录

目录 1项目建设的必要性 (5) 1.1政策必要性 (5) 1.2整体安全需要 (5) 1.3合规性需要 (6) 2法规、政策和技术依据 (7) 2.1信息安全等级保护有关法规、政策、文件 (7) 2.1.1《中华人民共和国计算机信息系统安全保护条例》（国务院147号令） (7) 2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）. 7 2.1.3《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） (8) 2.1.4《信息安全等级保护管理办法》（公通字[2007]43号） (9) 2.1.5信息安全等级保护技术标准体系及其关系 (9) 3终端安全防护系统功能介绍 (14) 3.1终端安全防护系统（前置服务器版）功能介绍 (14) 3.1.1强身份认证功能 (14) 3.1.2多用户强制访问控制 (14) 图3.1.3 用户权限控制示意图 (15) 3.1.3应用系统安全封装 (17) 3.1.4自主访问控制 (17) 图3.1.4 文件保密柜示意图 (17) 3.1.5数据保密性保护 (17) 3.1.6系统完整性保护 (18) 3.1.7行为审计监控 (18) 3.1.8边界保护控制 (18) 3.2终端安全防护系统（PC版）功能介绍 (19) 3.2.1强身份认证功能 (19) 3.2.2强制访问控制 (20) 图3.2.2 用户权限控制示意图 (21) 3.2.3自主访问控制 (22) 图3.2.3 文件保密柜示意图 (22) 3.2.4数据保密性保护 (23) 3.2.5系统完整性保护 (23) 3.2.6行为审计监控 (23) 3.2.7边界保护控制 (24)

信息系统安全等级

附件乐3：乐山《信息系统安全等级保护定级报告》模金阳县人民医院《信息系统安全等级保护定级报告》一、金阳县人民医院信息系统描述金阳县人民医院信息系统主要有医院信息管理系统（HIS）、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理，对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总，为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担，医院始终将信息安全建设作为安全重中之重建设和管理，将其确定为定级对象进行监督，网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成，提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础，其主要为保障数据的传输和程序文件的运行；数据控制文件系统、程序源码成为信息表现的载体，二者共同完成院内医疗、办公等信息的综合管理。二、金阳县人民医院信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定 1、业务信息描述本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性，需要不定时进行对该系统进行程序升级和漏洞防范，所以很容易受到“黑客”攻击和破坏，可能会影响医疗、办公正常秩序和正常行使工作职能，导致业务能力下降，从某种角度可侵害患者、医院和医院职工的合法权益，造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定当此信息受到破坏后，会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为二级。（二）系统服务安全保护等级的确定 1、系统服务描述本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定该系统服务遭到破坏后，所侵害的客体是公民、医院和其他组织的合法权益，同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为：可以对患者、法人和医院职工的合法权益造成侵害（影响正常工作的开展，导致业务能力下降，造成不良影响，引起医患法律纠纷等）。 3、系统服务受到破坏后对侵害客体的侵害程度的确定上述结果的程度表现为：患者、医院和医院职工的合法权益造成一般损害，即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。

安全检查规定(最新版)

( 安全管理 ) 单位：_________________________ 姓名：_________________________ 日期：_________________________ 精品文档 / Word文档 / 文字可改安全检查规定(最新版) Safety management is an important part of production management. Safety and production are in the implementation process

安全检查规定(最新版) 第一条安全检查的主要任务是进行危害识别，查找不安全因素和不安全行为，提出消除或控制不安全因素的方法和纠正不安全行为的措施。第二条安全检查主要包括安全管理检查和现场安全检查两部分安全管理检查的主要内容： 1.检查各级领导对安全生产工作的认识，各级领导班子研究安全工作情况的记录、安委会工作会议记要（录）等； 2.安全生产责任制、安全管理制度等修订完善情况；各项管理制度落实情况；安全基础工作落实情况等； 3.检查各级领导和管理人员的安全法规教育和安全生产管理的资格教育是否达到要求；检查员工的安全意识、安全知识教育，以及特殊作业的安全技术知识教育是否达标。现场安全检查的主要内容：

1.按照工艺、设备、储运、电气、仪表、消防、检维修、工业卫生等专业的标准、规范、制度等，检查生产、施工现场是否落实，是否存在安全隐患； 2.检查企业各级机构和个人的安全生产责任制是否落实，检查员工是否认真执行各项安全生产纪律和操作规程。 3.检查生产、检修、施工等直接作业环节各项安全生产保证措施是否落实。第三条安全检查应按照国家现行规范、标准和集团公司有关规定进行。第四条安全检查分为外部检查和内部检查。外部检查是指按照国家职业安全卫生法规要求进行的法定监督、检测检查和政府部门组织的安全督查，内部检查是集团公司、直属企业内部根据生产情况开展的计划性和临时性自查活动。第五条内部检查主要有综合性检查、日常检查和专项检查等形式。 1.综合性检查

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》一、马尔康县人民检察院门户网站信息系统描述（一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。服务器托管在九龙县电信公司机房（三）该信息系统业务主要包含：等业务。二、马尔康县人民检察院门户网站信息系统安全保护等级确定（一）业务信息安全保护等级的确定 1、业务信息描述该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利 —9 —

益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定上述结果的程度表现为严重损害，即工作职能受到严重影响，造成较大范围的不良影响等。 4、业务信息安全等级的确定业务信息安全保护等级为第二级。（二）系统服务安全保护等级的确定 1、系统服务描述该系统属于为民生、经济、建设等提供信息服务的信息系统，其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益，同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为：一可以对公民、法人和其他组织的合法权益造成侵害（影响正常工作的开展，造成不良影响，引起法律纠纷等）；—10 —

信息安全技术-信息系统安全等级保护实施指南

信息安全技术信息系统安全等级保护实施指南前言本标准的附录 A 是规范性附录。本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位：公安部信息安全等级保护评估中心。本标准主要起草人：毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147 号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）、《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号）和《信息安全等级保护管理办法》（公通字[2007]43 号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南；— — GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。在对信息系统实施信息安全等级保护的过程中，除使用本标准外，在不同的阶段，还应参照其他有关信息安全等级保护的标准开展工作。在信息系统定级阶段，应按照GB/T AAAA-AAAA介绍的方法，确定信息系统安全保护等级。在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照 GB17859-1999 、 GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。 GB17859-1999、 GB/T BBBB-BBBB、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB17859-1999是基础性标准， GB/T20269-2006、 GB/T20270-2006和 GB/T20271-2006等是对GB17859-1999的进一步细化和扩展，GB/T BBBB-BBBB是以GB17859-1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求，是其他标准的一个底线子集。对信息系统的安全等级保护应从GB/T BBBB-BBBB出发，在保证信息系统满足基本安全要求的基础上，逐步提高对信息系统的保护水平，最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006 等标准的要求。除本标准和上述提到的标准外，在信息系统安全等级保护实施过程中，还可参照和使用 GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。信息系统安全等级保护实施指南 1范围本标准规定了信息系统安全等级保护实施的过程，适用于指导信息系统安全等级保护的实施。

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告一、XX平台系统描述（一）2014年8月，XX正式上线，XX隶属于北京XX科技有限公司，该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台，将出借人和借款人衔接，为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构，也是为该信息系统定级的责任单位。（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。该系统相关的用户数据中心网络，资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中，将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑，统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。（三）该系统业务主要包含：用户身份安全信息、业务平台数据、购买服务等业务，并新增加了法务审核，风险控制等等业

务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中：通过网络与第三方支付平台的连接，均采用约定好的报文格式进行通讯，业务处理流程实时完成。业务处理系统以内部财务结算模式，负责各类买入转让还款的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下：二、XX平台系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定 1、业务信息描述北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业，XX为旗下借贷平台主要是通过线上平台，将出借人和借款人衔接，为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务，解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、

加油站安全检查基本要点

编号：SY-AQ-03075 ( 安全管理) 单位：_____________________ 审批：_____________________ 日期：_____________________ WORD文档/ A4打印/ 可编辑加油站安全检查基本要点 Basic points of gas station safety inspection

加油站安全检查基本要点导语：进行安全管理的目的是预防、消灭事故，防止或消除事故伤害，保护劳动者的安全与健康。在安全管理的四项主要内容中，虽然都是为了达到安全管理的目的，但是对生产因素状态的控制，与安全管理目的关系更直接，显得更为突出。一、加油站主要设施和存在的问题 1、主要设施（1）站房用于加油站管理和经营的建筑物。（2）加油岛用于安装加油机的平台。（3）埋地油罐采用直接覆土或罐池充沙（细土）方式埋设在地下，且罐内最高液面低于罐外4m范围内地面的最低标高0.2m的卧式油品储罐。（4）密闭卸油点埋地油罐以密闭方式接卸汽车油罐车所载油品的固定接头处。 2、加油站等级划分级别

油罐容积（m3 ）总容积单罐容积一级 120

（2）消防设施不齐全、灭火器配置不符合标准。（3）电力设施安装不符合国家标准要求。（4）防雷、防静电设施不符合国家标准要求。（5）操作员着装不符合要求。（6）安全规章不健全，操作人员未经培训。二、安全检查要点 1、防火间距（1）油罐、加油机、通气管管口与站外建、构筑物的防火距离（m）设施距离项目埋地油罐通气管管口加油机

信息系统安全等级保护基本要求

信息系统安全等级保护基本要求 1 范围本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导分等级的信息系统的安全建设和监督管理。 2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3 术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4 信息系统安全等级保护概述信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA-AAAA。不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰

信息系统安全等级保护基本要求

蓝色部分是操作系统安全等级划分，红色部分是四级操作系统关于网络部分的要求:）《信息系统安全等级保护基本要求》中华人民共和国国家标准GB/T 22239-2008 引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字 [2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南； ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准，本标准、GB/T20269-2006、 GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上，根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的最低保护要求，即基本安全要求，基本安全要求包括基本技术要求和基本管理要求，本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。在本标准文本中，黑体字表示较低等级中没有出现或增强的要求。信息系统安全等级保护基本要求 1范围本标准规定了不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导分等级的信息系统的安全建设和监督管理。 2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4信息系统安全等级保护概述 4.1信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级，五级定义见GB/T AAAA- AAAA。 4.2不同等级的安全保护能力