《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 规定了第一级到第四级等级保护对象的安全保护的基本要求,每个级别的基本要求均由安全通用要求和安全扩展要求构成。

  安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”;管理要求部分为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”,两者合计共分为10大类。

  安全技术要求的分类体现了“从外部到内部”的纵深防御思想,对等级保护对象的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。

  安全管理要求的分类体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”、“制度”和“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。

  《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)适用于指导分等级的非涉密对象的安全建设和监督管理。
《信息安全技术 网络安全等级保护基本要求》.pdf