本标准中的每一个安全保护等级的基本安全要求按照业务信息安全性等级和系统服务保证性等级相同的情况组织,也就是每一级的基本安全要求针对S1A1G1、S2A2G2、S3A3G3和S4A4G4情况给出。
对于确定了安全保护等级的信息系统,选择和使用基本安全要求时,可以按照以下过程进行:
1、明确信息系统应该具有的安全保护能力,根据 信息系统的安全保护等级选择基本安全要求,包括技术要求和管理要求。简单的方法是根据本标准,一级系统选择第一级基本安全要求,二级系统选择第二级基本安 全要求,三级系统选择第三级基本安全要求,四级系统选择第四级基本安全要求,以此作为出发点。
2、根据信息系统的定级结果对基本安全要求进行调整。根据系统服务保证性等级选择相应等级的系统服务保证类(A类)基本安全要求;根据业务信息安全性等级选择相应等级的业务信息安全类(S类)基本安全要求。
3、针 对不同行业或不同系统的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的基本安全要求或补充基本安全要求。对于本标准中提出的基本安全要 求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
总之,保证不同安全保护等级的信息系统具有相应 级别的安全保护能力,满足相应级别的基本安全要求,是信息系统等级保护的核心。选用本标准中提供的基本安全要求是保证信息系统具备一定安全保护能力的一种 途径和出发点,在此出发点的基础上,可以参考等级保护的其它相关标准和安全方面的其它相关标准,调整和补充基本安全要求,从而实现信息系统在满足等级保护 基本要求基础上,又具有自身特点的保护。
[1] GB/T 20269-2006 信息安全技术 信息系统安全管理要求
[2] GB/T 20270-2006 信息安全技术 网络基础安全技术要求
[3] GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
[4] GB/T 20272-2006 信息安全技术 操作系统安全技术要求
[5] GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
