信息安全等級(jí)保護(hù)重要標(biāo)準(zhǔn)解讀

韓雪紅

（鐵路公安局，北京 100844）

信息安全等級(jí)保護(hù)重要標(biāo)準(zhǔn)解讀

韓雪紅

（鐵路公安局，北京 100844）

我國(guó)已形成了一套以信息安全等級(jí)保護(hù)為基礎(chǔ)，包含基礎(chǔ)、應(yīng)用、產(chǎn)品等類別的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，將標(biāo)準(zhǔn)體系的若干重要標(biāo)準(zhǔn)在按照其在等級(jí)保護(hù)實(shí)施的不同階段的作用劃分為定級(jí)、規(guī)劃、設(shè)計(jì)與建設(shè)以及運(yùn)維階段標(biāo)準(zhǔn)，從標(biāo)準(zhǔn)框架、主要內(nèi)容、行業(yè)指導(dǎo)意義3個(gè)方面對(duì)標(biāo)準(zhǔn)進(jìn)行解讀，旨在以點(diǎn)帶面闡述各類標(biāo)準(zhǔn)在信息等級(jí)保護(hù)不同階段的應(yīng)用和對(duì)行業(yè)開(kāi)展等級(jí)保護(hù)工作的指導(dǎo)意義。

信息安全；等級(jí)保護(hù)；標(biāo)準(zhǔn)解讀

信息安全等級(jí)保護(hù)工作是我國(guó)在信息化發(fā)展過(guò)程中對(duì)信息系統(tǒng)實(shí)施安全保護(hù)的基本制度、應(yīng)對(duì)方法和實(shí)施策略。2004 年9月，我國(guó)頒布了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》，隨后于2007年6月頒布了《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43）號(hào)文件，該文件確定了等級(jí)保護(hù)制度的基本內(nèi)容、要求和工作流程，而后頒布了定級(jí)、等級(jí)劃分、實(shí)施和測(cè)評(píng)相關(guān)的多個(gè)多家標(biāo)注你，初步形成了我國(guó)信息安全等級(jí)保護(hù)工作的標(biāo)準(zhǔn)體系。

1 標(biāo)準(zhǔn)體系

目前國(guó)家已經(jīng)出臺(tái)60余個(gè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)，包括基礎(chǔ)類、應(yīng)用類、產(chǎn)品類等類別的標(biāo)準(zhǔn)，在信息安全等級(jí)保護(hù)定級(jí)規(guī)劃、設(shè)計(jì)和運(yùn)維4個(gè)階段發(fā)揮重要作用的標(biāo)準(zhǔn)目前共8個(gè)，本文旨在對(duì)這8類標(biāo)準(zhǔn)從標(biāo)準(zhǔn)框架、標(biāo)準(zhǔn)內(nèi)容和對(duì)行業(yè)指導(dǎo)意義3個(gè)方面進(jìn)行解讀。

2 各階段標(biāo)準(zhǔn)解讀

各階段依據(jù)的重要標(biāo)準(zhǔn)如圖1所示。

圖1 信息安全等級(jí)保護(hù)各階段依據(jù)的重要標(biāo)準(zhǔn)

2.1 定級(jí)階段

信息安全等級(jí)保護(hù)第一個(gè)環(huán)節(jié)是定級(jí)，定級(jí)是開(kāi)展等級(jí)測(cè)評(píng)、建設(shè)監(jiān)督和檢查整改等工作的基礎(chǔ)。在定級(jí)階段，應(yīng)依據(jù)《信息系統(tǒng)等級(jí)保護(hù)定級(jí)指南》[1]（簡(jiǎn)稱：定級(jí)指南）對(duì)信息系統(tǒng)進(jìn)行等級(jí)評(píng)估和認(rèn)定。

2.1.1 總體框架

《定級(jí)指南》是在《信息安全等級(jí)保護(hù)管理辦法》的基礎(chǔ)上，主要從定級(jí)原理、定級(jí)方法和等級(jí)變更3個(gè)方面描述了如何對(duì)信息系統(tǒng)進(jìn)行等級(jí)確認(rèn)，為等級(jí)保護(hù)定級(jí)工作提供有效指導(dǎo)。

2.1.2 標(biāo)準(zhǔn)內(nèi)容

在《定級(jí)指南》的定級(jí)原理一節(jié)，定義了信息系統(tǒng)的5個(gè)安全等級(jí)，在定級(jí)方法一節(jié)中，說(shuō)明了信息系統(tǒng)的安全包括系統(tǒng)服務(wù)安全和業(yè)務(wù)信息安全，并根據(jù)受侵害客體和對(duì)客體的侵害程度，來(lái)確定信息系統(tǒng)的服務(wù)安全保護(hù)級(jí)別和安全保護(hù)級(jí)別，最后綜合考慮取較高者為安全保護(hù)等級(jí)。

2.1.3 行業(yè)指導(dǎo)意義

各行業(yè)結(jié)合行業(yè)自身的特點(diǎn)和行業(yè)特殊性，出臺(tái)行業(yè)自己的定級(jí)指導(dǎo)意見(jiàn)或定級(jí)指南，被定級(jí)信息系統(tǒng)需要結(jié)合行業(yè)特點(diǎn)，綜合考慮，做到全地區(qū)信息系統(tǒng)等級(jí)保護(hù)定級(jí)的一致性。

2.2 規(guī)劃階段

在規(guī)劃階段，可依據(jù)GB/T22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[2]（簡(jiǎn)稱 ：基本要求）來(lái)明確安全等級(jí)保護(hù)的基本需求。

2.2.1 總體框架

在《基本要求》中，將基本要求劃分為技術(shù)要求和管理要求，總計(jì)10個(gè)方面。技術(shù)要求分別為物理層安全要求、主機(jī)層安全要求、應(yīng)用層安全要求、網(wǎng)絡(luò)層安全要求、數(shù)據(jù)安全及備份恢復(fù)要求5個(gè)方面；管理要求分別為管理制度要求、管理機(jī)構(gòu)要求、人員管理要求、建設(shè)管理要求和運(yùn)行維護(hù)管理要求5個(gè)方面。

2.2.2 標(biāo)準(zhǔn)內(nèi)容

在《基本要求》中，根據(jù)側(cè)重點(diǎn)不同，技術(shù)類安全要求可進(jìn)一步劃分為3個(gè)保護(hù)類，分別為通用安全、信息安全和服務(wù)保證。信息安全是指保護(hù)信息系統(tǒng)數(shù)據(jù)在傳輸、存儲(chǔ)避免被破壞和未授權(quán)的篡改；服務(wù)保證類是指避免系統(tǒng)遭受未授權(quán)修改和破壞，保障系統(tǒng)連續(xù)正常運(yùn)行。

2.2.3 行業(yè)指導(dǎo)意義

行業(yè)如制定符合自身行業(yè)特點(diǎn)的規(guī)范和標(biāo)準(zhǔn)，可以根據(jù)行業(yè)自身特點(diǎn)和實(shí)際需求，依據(jù)《基本要求》開(kāi)展行業(yè)自身的標(biāo)準(zhǔn)研究及制定工作。對(duì)于《基本要求》中提出的無(wú)法實(shí)現(xiàn)或有更加有效的安全措施，可在保證不降低整體安全保護(hù)能力的情況下對(duì)條款進(jìn)行適當(dāng)調(diào)整。

2.3 設(shè)計(jì)與建設(shè)階段

在系統(tǒng)設(shè)計(jì)和建設(shè)階段活動(dòng)包含方案設(shè)計(jì)和技術(shù)措施，在此階段參考三類標(biāo)準(zhǔn)，分別為《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)的劃分準(zhǔn)則》[3]、《信息系統(tǒng)通用安全的技術(shù)要求》[4]、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》[5]。

2.3.1 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》解讀

2.3.1.1 總體框架

在《劃分準(zhǔn)則》中，在第1章范圍定義中首先明確了等級(jí)保護(hù)的五個(gè)等級(jí)，分別為第1級(jí)的用戶自主保護(hù)、第2級(jí)的系統(tǒng)審計(jì)保護(hù)，第3級(jí)的安全標(biāo)記保護(hù)，第4級(jí)的結(jié)構(gòu)化保護(hù)和第5級(jí)的訪問(wèn)驗(yàn)證保護(hù)；其次對(duì)敏感標(biāo)記、主、客體等專用術(shù)語(yǔ)進(jìn)行了定義；最后闡述了信息系統(tǒng)等級(jí)劃分的準(zhǔn)則。

2.3.1.2 主要內(nèi)容

《劃分準(zhǔn)則》的主要內(nèi)容是描述如何劃分信息系統(tǒng)安全等級(jí)保護(hù)的5個(gè)等級(jí)，其中，在用戶自主保護(hù)級(jí)中，從訪問(wèn)控制、身份鑒別和數(shù)據(jù)完整性3個(gè)方面進(jìn)行劃分，在系統(tǒng)審計(jì)保護(hù)級(jí)中，新增了客體重用和審計(jì)；安全標(biāo)記保護(hù)級(jí)新增了強(qiáng)制訪問(wèn)控制和標(biāo)記；結(jié)構(gòu)化保護(hù)級(jí)新增了隱蔽通道分析和可新路徑；訪問(wèn)驗(yàn)證保護(hù)級(jí)新增了可信恢復(fù)。

2.3.1.3 行業(yè)指導(dǎo)意義

《劃分準(zhǔn)則》屬于強(qiáng)制性技術(shù)規(guī)范，是各行業(yè)制定行業(yè)自身計(jì)算機(jī)信息系統(tǒng)安全法規(guī)和監(jiān)督檢查的依據(jù)性文件。其他技術(shù)標(biāo)準(zhǔn)均需以此標(biāo)準(zhǔn)作為基礎(chǔ)性標(biāo)準(zhǔn)。

2.3.2 《信息系統(tǒng)通用安全技術(shù)要求》解讀

本標(biāo)準(zhǔn)為信息系統(tǒng)的信息技術(shù)產(chǎn)品和安全產(chǎn)品技術(shù)選型提供依據(jù)。（1）為這些產(chǎn)品和設(shè)備的相關(guān)安全標(biāo)準(zhǔn)制定提供參考。（2）為信息系統(tǒng)選擇安全技術(shù)產(chǎn)品和設(shè)置安全設(shè)備的相應(yīng)安全機(jī)制提供指導(dǎo)。

2.3.2.1 總體框架

《信息系統(tǒng)通用安全技術(shù)要求》（簡(jiǎn)稱：通用安全技術(shù)要求）針對(duì)信息系統(tǒng)所采用的安全技術(shù)要素，從安全保證和安全功能兩個(gè)方面，對(duì)安全技術(shù)要素的安全性提出了要求。

2.3.2.2 標(biāo)準(zhǔn)內(nèi)容

《通用安全技術(shù)要求》對(duì)1~5級(jí)應(yīng)達(dá)到的安全保證技術(shù)要求和安全功能技術(shù)要求分別進(jìn)行了描述。

2.3.2.3 行業(yè)指導(dǎo)意義

各行業(yè)在進(jìn)行等級(jí)保護(hù)建設(shè)過(guò)程中應(yīng)以《通用安全技術(shù)要求》為參照，落實(shí)安全保護(hù)技術(shù)措施。各行業(yè)安全技術(shù)人員在保證不降低信息系統(tǒng)的整體安全防護(hù)能力的前提下，可以依據(jù)自身行業(yè)特點(diǎn)采取變通方法實(shí)現(xiàn)。

2.3.3 《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》解讀

該標(biāo)準(zhǔn)是用于指導(dǎo)信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)和信息系統(tǒng)運(yùn)營(yíng)使用單位等機(jī)構(gòu)開(kāi)展信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)的設(shè)計(jì)的參考標(biāo)準(zhǔn)。

2.3.3.1 總體框架

本標(biāo)準(zhǔn)從設(shè)計(jì)目標(biāo)、設(shè)計(jì)策略和設(shè)計(jì)技術(shù)要求等方面進(jìn)行了描述。

2.3.3.2 標(biāo)準(zhǔn)內(nèi)容

在本標(biāo)準(zhǔn)中，將信息系統(tǒng)設(shè)計(jì)分為安全管理中心、計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全設(shè)計(jì)4個(gè)部分。

安全計(jì)算環(huán)境是對(duì)已定級(jí)的信息系統(tǒng)的數(shù)據(jù)進(jìn)行存儲(chǔ)和、處理和進(jìn)行安全策略配置的體系；區(qū)域邊界安全設(shè)計(jì)是對(duì)安全計(jì)算環(huán)境間，安全通信網(wǎng)絡(luò)與安全計(jì)算環(huán)境間實(shí)現(xiàn)安全通信的體系；通信網(wǎng)絡(luò)安全設(shè)計(jì)是對(duì)已定級(jí)信息系統(tǒng)的安全計(jì)算環(huán)境之間進(jìn)行數(shù)據(jù)傳輸以及安全策略實(shí)施的相關(guān)部件。

安全管理中心是對(duì)已定級(jí)信息系統(tǒng)的安全策略，包括安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境和安全區(qū)域邊界3個(gè)層面的安全策略實(shí)行統(tǒng)一管理的平臺(tái)。安全管理中心主要從安全管理、系統(tǒng)管理和審計(jì)管理3方面進(jìn)行設(shè)計(jì)。

2.3.3.3 行業(yè)指導(dǎo)意義

各行業(yè)在制定信息系統(tǒng)設(shè)計(jì)方案過(guò)程中，應(yīng)依據(jù)自身信息系統(tǒng)的行業(yè)特點(diǎn)，全面地考慮，可對(duì)用戶和設(shè)備節(jié)點(diǎn)的身份認(rèn)證中心，也可以對(duì)各信息系統(tǒng)單獨(dú)構(gòu)建認(rèn)證中心。由于本標(biāo)準(zhǔn)不包括信息系統(tǒng)安全管理和物理安全等方面的要求，因此，在對(duì)信息系統(tǒng)等級(jí)保護(hù)安全方案設(shè)計(jì)時(shí)，應(yīng)與《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)結(jié)合使用。

2.4 運(yùn)維階段

在運(yùn)維階段，包含對(duì)信息系統(tǒng)的運(yùn)行管理、變更管理、事件處理、等級(jí)測(cè)評(píng)和備案等，在此階段，可參考的標(biāo)準(zhǔn)包括《信息系統(tǒng)安全管理要求》[6]、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》[7]、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》[8]等。

2.4.1 《信息系統(tǒng)安全管理要求》解讀

《信息系統(tǒng)安全管理要求》（簡(jiǎn)稱：安全管理要求）可為組織體系和管理體系的建立，安全管理的策略制定等管理措施提供參考和指導(dǎo)。

2.4.1.1 總體框架

在《安全管理要求》中：（1）對(duì)信息系統(tǒng)的安全保護(hù)提出了分等級(jí)管理的要求，闡述了安全管理的要素以及不同等級(jí)的強(qiáng)度要求；（2）描述目前我國(guó)信息系統(tǒng)通用的安全管理措施；（3）將安全管理要求落實(shí)到等級(jí)保護(hù)所定義的5個(gè)等級(jí)上，主要包括了兩方面的內(nèi)容，即安全管理分等級(jí)要求和安全管理要素。

2.4.1.2 標(biāo)準(zhǔn)內(nèi)容

《安全管理要求》中根據(jù)劃分的五個(gè)安全等級(jí)，從機(jī)構(gòu)人員、安全風(fēng)險(xiǎn)、環(huán)境資源、政策制度、操作維護(hù)、業(yè)務(wù)連續(xù)性、應(yīng)急和備份、生命周期、監(jiān)督檢查等管理要素為出發(fā)，對(duì)信息系統(tǒng)的安全管理措施進(jìn)行全面描述。

2.4.1.3 行業(yè)指導(dǎo)意義

《安全管理要求》在人員組織機(jī)構(gòu)等方面可能存在全部或部分暫時(shí)無(wú)法實(shí)現(xiàn)的問(wèn)題，在不降低信息系統(tǒng)的安全保護(hù)能力的前提下，各行業(yè)可采取一些變通方法加以實(shí)現(xiàn)。

2.4.2 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》解讀

《信息安全等級(jí)保護(hù)管理辦法》中指出，當(dāng)信息系統(tǒng)完成等級(jí)保護(hù)建設(shè)工作后，主管部門(mén)可選擇符合條件的測(cè)評(píng)機(jī)構(gòu)對(duì)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。

2.4.2.1 總體框架

《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（簡(jiǎn)稱：測(cè)評(píng)要求）中首先描述了信息系統(tǒng)等級(jí)測(cè)評(píng)的內(nèi)容和原則。在第5~9章中指出了不同安全級(jí)系統(tǒng)的單元測(cè)評(píng)要求。第10章整體測(cè)評(píng)提出了對(duì)安全層面間、安全控制間、系統(tǒng)結(jié)構(gòu)和區(qū)域間安全測(cè)評(píng)的要求。第11章中指出了如何得出等級(jí)測(cè)評(píng)結(jié)論。

2.4.2.2 標(biāo)準(zhǔn)內(nèi)容

《測(cè)評(píng)要求》是基于《基本要求》對(duì)等級(jí)保護(hù)的10個(gè)方面提出了測(cè)評(píng)方法和測(cè)評(píng)指標(biāo)，主要包括10個(gè)測(cè)評(píng)項(xiàng)，技術(shù)層面包括物理層安全、主機(jī)層安全、應(yīng)用層安全、網(wǎng)絡(luò)層安全和數(shù)據(jù)安全；管理層面具體包括管理制度測(cè)評(píng)要求、管理機(jī)構(gòu)測(cè)評(píng)要求、系統(tǒng)建設(shè)管理測(cè)評(píng)要求、人員安全管理測(cè)評(píng)要求和運(yùn)維管理測(cè)評(píng)要求。

2.4.2.3 行業(yè)指導(dǎo)意義

各行業(yè)如制定有行業(yè)特色的等級(jí)保護(hù)測(cè)評(píng)規(guī)范或標(biāo)準(zhǔn)，以此為依據(jù)對(duì)信息系統(tǒng)按照行業(yè)標(biāo)準(zhǔn)進(jìn)行符合性測(cè)評(píng)，結(jié)合行業(yè)內(nèi)信息系統(tǒng)的實(shí)際需求，綜合分析被測(cè)系統(tǒng)是否具備相應(yīng)等級(jí)的安全防護(hù)能力。

2.4.3 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》解讀

《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》主要闡述了兩個(gè)方面的問(wèn)題，（1）確定了信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)的過(guò)程；（2）描述了等級(jí)保護(hù)測(cè)評(píng)的任務(wù)、工作結(jié)果和分析方法。《測(cè)評(píng)過(guò)程指南》旨在為運(yùn)營(yíng)使用單位、信息系統(tǒng)測(cè)評(píng)機(jī)構(gòu)和信息系統(tǒng)主管部門(mén)如何開(kāi)展等級(jí)測(cè)評(píng)工作提供指導(dǎo)和依據(jù)。

2.4.3.1 總體框架

《測(cè)評(píng)過(guò)程指南》以對(duì)3級(jí)信息系統(tǒng)等級(jí)測(cè)評(píng)為例，描述了信息系統(tǒng)等級(jí)測(cè)評(píng)的活動(dòng)和任務(wù)，包括4個(gè)層面的工作，即測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析與報(bào)告編制。

2.4.3.2 標(biāo)準(zhǔn)內(nèi)容

測(cè)評(píng)準(zhǔn)備是指需要掌握被測(cè)信息系統(tǒng)的詳細(xì)信息，為實(shí)施測(cè)評(píng)工作做好測(cè)試工具及文檔方面的準(zhǔn)備；方案編制是編寫(xiě)與被測(cè)信息系統(tǒng)相適應(yīng)的測(cè)評(píng)實(shí)施手冊(cè)；分析與報(bào)告編制是指測(cè)評(píng)結(jié)果，分析被測(cè)系統(tǒng)的安全保護(hù)建設(shè)現(xiàn)狀，分析被測(cè)系統(tǒng)與其安全等級(jí)要求間的差距，形成測(cè)評(píng)報(bào)告。

2.4.3.3 行業(yè)指導(dǎo)意義

《測(cè)評(píng)過(guò)程指南》描述了等級(jí)測(cè)評(píng)的基本工作過(guò)程，《測(cè)評(píng)過(guò)程指南》針對(duì)已定級(jí)的信息系統(tǒng)首次進(jìn)行等級(jí)測(cè)評(píng)工作的描述，對(duì)于非首次實(shí)施等級(jí)測(cè)評(píng)的工作過(guò)程，應(yīng)參考該標(biāo)準(zhǔn)中的調(diào)整原則予以調(diào)整。

3 結(jié)束語(yǔ)

通過(guò)對(duì)上述在我國(guó)信息安全等級(jí)保護(hù)工作中涉及到的主要標(biāo)準(zhǔn)從標(biāo)準(zhǔn)框架、主要內(nèi)容、行業(yè)指導(dǎo)意義3個(gè)方面對(duì)標(biāo)準(zhǔn)進(jìn)行解讀，明確了各標(biāo)準(zhǔn)在等級(jí)保護(hù)工作各個(gè)階段發(fā)揮的作用和應(yīng)用場(chǎng)合 ，可為各行業(yè)等級(jí)保護(hù)工作的有序開(kāi)展提供參考和借鑒。

[1] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 22240-2008，信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[2] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 22239-2008，信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[3] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T17859-1999，信息安全技術(shù)-計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，1999.

[4] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20271-2006，信息系統(tǒng)通用安全技術(shù)要求 [S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2006.

[5] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 25070-2010，信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2010.

[6] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 25070-2010，信息系統(tǒng)安全管理要求 [S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2006.

[7] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 28448-2012，信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

[8] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.GB/T 22240-2008，信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南[S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2012.

責(zé)任編輯 徐侃春

Interpretation on important standards for information security level protection

HAN Xuehong
( Railway Public Security Administration, Beijing 100844, China )

A set of standard system for information security level protection was built including theoretical principle classes, application classes and production classes in our country. Several standards included in the standard system were divided into several phases as grading, planning, design, construction and operation, the proposed standards would be interpreted from three aspects as framework, main content and industry guidance. The purpose of this paper was to elaborate standards applications and industry guidance at different stages in security level protection.

information security; level protection; interpretation on standard

U29-39

A

1005-8451（2015）02-0041-04

2014-10-08

韓雪紅 ，處級(jí)正職。