等級保護的主要依據是什么意思

等級測評主要依據《信息系統安全等級保護基本要求》GB/T22239和《信息系統安全等級保護測評要求》GB/T28448，兩個標準是配套使用的，基本要求是寫的各級別測評的具體要求有哪些，測評要求主要寫的是這個要求具體要怎么去測。但一些特定行業出了等保的行業標準，需要依據行業標準進行測評，如金融、證券、廣電、電力、醫院、電子政務外網、稅務等。

###《信息系統安全等級保護基本要求》GB/T22239

本標準規定了不同安全保護等級信息系統的基本保護要求，包括基本技術要求和基本管理要求，適用于指導分等級的信息系統的安全建設和監督管理。

信息系統安全等級保護應依據信息系統的安全保護等級情況保證它們具有相應等級的基本安全保護能力，不同安全保護等級的信息系統要求具有不同的安全保護能力。

基本安全要求是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求，根據實現方式的不同，基本安全要求分為基本技術要求和基本管理要求 兩大類。技術類安全要求與信息系統提供的技術安全機制有關，主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現；管理類安全要求與信息系統中各 種角色參與的活動有關，主要通過控制各種角色的活動，從政策、制度、規范、流程以及記錄等方面做出規定來實現。

基本技術要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出；基本管理要求從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出，基本技術要求和基本管理要求是確保信息系統安全不可分割的兩個部分。

基 本安全要求從各個層面或方面提出了系統的每個組件應該滿足的安全要求，信息系統具有的整體安全保護能力通過不同組件實現基本安全要求來保證。除了保證系統 的每個組件滿足基本安全要求外，還要考慮組件之間的相互關系，來保證信息系統的整體安全保護能力。關于信息系統整體安全保護能力的說明見附錄A。

對于涉及國家秘密的信息系統，應按照國家保密工作部門的相關規定和標準進行保護。對于涉及密碼的使用和管理，應按照國家密碼管理的相關規定和標準實施。

###《信息系統安全等級保護測評要求》GB/T28448

本標準規定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求。對第五級等級保護對象的安全測評要求不在本標準中描述。

本標準為安全測評服務機構、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評提供指南，也可供網絡安全職能部門依法進行的網絡安全等級保護監督檢查參考使用。

等級測評實施的基本方法是針對特定的測評對象，采用相關的測評手段，遵從一定的測評規程，獲取需要的證據數據，給出是否達到特定級別安全保護能力的評判。等級測評實施的詳細流程和方法參見GB/T 28449—2018。

本標準中針對每一個要求項的測評就構成一個單項測評，針對某個要求項的所有具體測評內容構成測評實施。單項測評中的每一個具體測評實施要求項（以下簡稱“測評要求項”）是與安全控制點下面所包括的要求項（測評指標）相對應的。在對每一要求項進行測評時，可能用到訪談、核查和測試三種測評方法，也可能用到其中一種或兩種。測評實施的內容完全覆蓋了GB/T 22239—2018及GB/T 25070—2018中所有要求項的測評要求，使用時應當從單項測評的測評實施中抽取出對于GB/T 22239—2018中每一個要求項的測評要求，并按照這些測評要求開發測評指導書，以規范和指導等級測評活動。

根據調研結果，分析等級保護對象的業務流程和數據流，確定測評工作的范圍。結合等級保護對象的安全級別，綜合分析系統中各個設備和組件的功能和特性，從等級保護對象構成組件的重要性、安全性、共享性、全面性和恰當性等幾方面屬性確定技術層面的測評對象，并將與其相關的人員及管理文檔確定為管理層面的測評對象。測評對象可以根據類別加以描述，包括機房、業務應用軟件、主機操作系統、數據庫管理系統、網絡互聯設備、安全設備、訪談人員及安全管理文檔等。

回答所涉及的環境：聯想天逸510S、Windows 10。