技术与机制标准

2.技术与机制标准

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

◇规定了对等级保护的五个级别的保护能力（五级能力未公开）

◇规定了等级保护五个级别（五级保护标准未公开）五大层面基本技术要求（物理、 网络、主机、应用、数据）和五大层面基本管理要求（制度、机构、人员、系统建设、系统运维）的控制项

◇规定了基本技术要求的三种技术类型(S、A、G)

◇正在修订中

GB 50174-2008《电子信息系统机房设计规范》

◇物理安全标准

◇部分条款为强制性标准（防火、疏散、静电防护、消防设施、安全措施） ◇将电子信息系统机房分为A、B、C三级

GB/T 28455-2012《引入可信第三方的实体鉴别及接人架构规范》

◇标识与鉴别标准

◇提出一套适用于网络访问控制和身份管理，并具有普遍适用性的实体鉴别与安全接人的协议和结构

GB/T 28447-2012《电子认证服务机构运营管理规范》

◇授权与访问控制标准

◇规定了电子认证服务机构在业务运营、认证系统运行、物理环境与设施安全、业务连续性、审计与改进等方面应遵循的要求

GB/T25070-2010《信息系统等级保护安全设计技术要求》

规定了信息系统等级保护安全技术设计框架及各个级别（五级未公开）设计目标、设计策略和设计要求

规定了各级系统间互联设计的目标、策略和设计要求

GB/228828-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》 个人信息保护安全标准

规定了个人信息的分类、责任主体、处理原则

规定了个人信息处理的四个阶段（收集、加工、转移、删除）主要的保护措施