2.技术与机制标准
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
◇规定了对等级保护的五个级别的保护能力(五级能力未公开)
◇规定了等级保护五个级别(五级保护标准未公开)五大层面基本技术要求(物理、 网络、主机、应用、数据)和五大层面基本管理要求(制度、机构、人员、系统建设、系统运维)的控制项
◇规定了基本技术要求的三种技术类型(S、A、G)
◇正在修订中
GB 50174-2008《电子信息系统机房设计规范》
◇物理安全标准
◇部分条款为强制性标准(防火、疏散、静电防护、消防设施、安全措施) ◇将电子信息系统机房分为A、B、C三级
GB/T 28455-2012《引入可信第三方的实体鉴别及接人架构规范》
◇标识与鉴别标准
◇提出一套适用于网络访问控制和身份管理,并具有普遍适用性的实体鉴别与安全接人的协议和结构
GB/T 28447-2012《电子认证服务机构运营管理规范》
◇授权与访问控制标准
◇规定了电子认证服务机构在业务运营、认证系统运行、物理环境与设施安全、业务连续性、审计与改进等方面应遵循的要求
GB/T25070-2010《信息系统等级保护安全设计技术要求》
规定了信息系统等级保护安全技术设计框架及各个级别(五级未公开)设计目标、设计策略和设计要求
规定了各级系统间互联设计的目标、策略和设计要求
GB/228828-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》 个人信息保护安全标准
规定了个人信息的分类、责任主体、处理原则
规定了个人信息处理的四个阶段(收集、加工、转移、删除)主要的保护措施