信息安全技术信息系统安全等级保护基本要求
引言
依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发200327号）、《关于信息系统安全等级保护工作的实施
意见》（公通字200466号）和《信息安全等级保护管理办法》（公通字200743号）等有关文件要求，制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括：GBT222402008信息安全技术信息系统安全等级保护定级指南；GBT222392008信息安全技术信息系统安全等级保护基本要求；GBTAAAAAAAA信息安全技术信息系统安全等级保护实施指南。一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指
导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。
信息系统安全等级保护测评要求
1范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二
级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。GBT52718信息技术词汇r