信息系统安全等级保护实施指南

《信息安全等级保护管理办法》根据信息系统受到破坏后，按对公民、法人和其他组织的合法权益、国家安全、社会秩序和公共利益的损害程度，将信息系统分为五级，并对不同级别信息系统在建设、运营、使用、管理过程中应遵守的信息安全管理规范、技术标准和业务需求、检查监督职责等进行了明确规定。信息安全等级保护实施主要步骤包括：定级（包括评审与审批）、备案（二级以上信息系统）、系统建设和整改（按条件选择产品）、等级测评（按条件选择测评机构）、信息安全监管部门定期开展监督检查等。其相关标准如下：

一《信息系统安全等级保护实施指南》

一《计算机信息系统安全保护等级划分准则》( GB 17859-1999)一《信息系统安全等级保护基本要求》( GB/T 22239-2008)一《信息安全技术信息系统通用安全技术要求》( GB/T 20271-2006)一《信息安全技术网络基础安全技术要求》( GB/T 20270-2006)一《信息安全技术操作系统安全技术要求》( GB/T 20272-2006)一《信息安全技术数据库管理系统安全技术要求》( GB/T 20273-2006)一《信息安全技术服务器安全技术要求》( GB/T 21028-2007)一《信息安全技术终端计算机系统安全等级技术要求》( GA/T 671-2006)一《信息安全技术信息系统安全管理要求》( GB/T 20269-2006)一《信息安全技术信息系统安全工程管理要求》( GB/T 20282-2006)一《信息安全技术信息系统安全等级保护测评要求》

——《涉及国家秘密的计算机信息系统分级保护技术要求》( BMB17-2006)——《涉及国家秘密的计算机信息系统分级保护测评指南》( BMB22-2007)——《涉及国家秘密的信息系统审批管理规定》

——《涉及国家秘密的信息系统分级保护管理规范》( BMB20-2007)——《信息安全等级保护商用密码管理办法》

——《信息安全等级保护商用密码技术要求》

——《商用密码管理条例》