信息系统安全等级保护标准（070620报批稿）

"《信息系统安全等级保护基本要求（报批稿）（070620）》是针对信息系统安全等级保护的一份重要文档，旨在规定不同安全等级的信息系统应达到的技术和管理要求。这份文档按照2007年的格式重新排版，详细列出了从第一级到更高级别的安全保护措施，涵盖物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个方面，同时对管理要求进行了详尽的规定，包括安全管理制度、安全管理机构、人员安全管理、系统建设管理等内容。" 文档的核心内容主要围绕以下几个知识点展开： 1. **信息系统安全等级**：定义了不同等级的信息系统安全保护要求，如一级通常适用于基本的信息系统，而更高级别则适用于处理敏感或关键信息的系统。 2. **技术要求**：涵盖了物理安全、网络安全、主机安全、应用安全和数据安全五个层面。例如，物理安全包括物理访问控制、防盗窃、防破坏等；网络安全涉及结构安全、访问控制和网络设备防护；主机安全则关注身份鉴别、访问控制以及入侵防范；应用安全关注身份鉴别、访问控制、通信完整性和软件容错；数据安全及备份恢复则要求确保数据完整性并能进行有效备份与恢复。 3. **管理要求**：强调了建立安全管理制度、设立安全管理机构、人员安全管理、系统建设管理等环节的重要性。比如，安全管理制度包括制度制定、发布；人员安全管理涉及人员录用、离岗、培训和外部人员访问；系统建设管理则覆盖了系统定级、安全方案设计直至系统交付的全过程。 4. **分类与分级**：技术要求分为不同类型，如G1表示一般要求，S1表示安全要求，A1表示可用性要求。这些分类有助于指导不同安全等级的信息系统实施相应的保护措施。 5. **实施步骤**：每个章节都详细列出了实施这些要求的具体步骤，例如在系统建设管理中，包括系统定级、安全方案设计、产品采购、自行和外包软件开发、工程实施等环节，确保了从规划到运行的全周期安全管控。 这份报批稿为我国信息系统安全等级保护提供了标准化的参考依据，对于指导和规范各类组织、企业建立健全信息安全体系，提高信息系统的安全性具有重要意义。通过执行这些基本要求，可以有效地防止和应对各种信息安全威胁，保障信息资产的安全，降低风险。