4)基线要求类标准
主要包括GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/ T20271-2006《信息系统通用安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》、GB/T20269-2006《信息系统安全管理要求》、GB/T 20272-2006《操作系统安全技术要求》等数十份。其中,以《等级保护基本要求》为核心,在其下可以细分为技术类、管理类和产品类等标准,分别对某些专门技术、管理和产品的进行要求。
这些标准主要对开展等级保护工作中涉及到具体技术、管理进行要求,并根据等级保护每个等级的要求,进行细化。
产品类标准参照《等级保护基本要求》和《等级保护测评要求》的模式,一般形成两份标准(一份要求、一份评估准则),例如:
《操作系统安全技术要求》( GB/T20272-2006) 《操作系统安全评估准则》( GB/T20008-2005)
《数据库管理系统安全技术要求》( GB/T20273-2006) 《数据库管理系统安全评估准则》( GB/T20009-2005) 《网络端设备隔离部件技术要求》( GB/T20279-2006)
《网络端设备隔离部件测试评价方法》( GB/T20277-2006) 《网络脆弱性扫描产品技术要求》( GB/T20278-2006)
《网络脆弱性扫描产品测试评价方法》( GB/T20280-2006) 《终端计算机系统安全等级技术要求》( GA/T671-2006)
《终端计算机系统测评方法》(GA/T671-2006)
《应用软件系统安全等级保护通用技术指南》(GA/T711-2007) 《应用软件系统安全等级保护通用测试指南》( GA/T712-2007)部分标准还是公安行业标准。