2.技術與機制標準

GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》

◇規定了對等級保護的五個級別的保護能力（五級能力未公開）

◇規定了等級保護五個級別（五級保護標準未公開）五大層面基本技術要求（物理、 網絡、主機、應用、數據）和五大層面基本管理要求（制度、機構、人員、系統建設、系統運維）的控制項

◇規定了基本技術要求的三種技術類型(S、A、G)

◇正在修訂中

GB 50174-2008《電子信息系統機房設計規范》

◇物理安全標準

◇部分條款為強制性標準（防火、疏散、靜電防護、消防設施、安全措施） ◇將電子信息系統機房分為A、B、C三級

GB/T 28455-2012《引入可信第三方的實體鑒別及接人架構規范》

◇標識與鑒別標準

◇提出一套適用于網絡訪問控制和身份管理，并具有普遍適用性的實體鑒別與安全接人的協議和結構

GB/T 28447-2012《電子認證服務機構運營管理規范》

◇授權與訪問控制標準

◇規定了電子認證服務機構在業務運營、認證系統運行、物理環境與設施安全、業務連續性、審計與改進等方面應遵循的要求

GB/T25070-2010《信息系統等級保護安全設計技術要求》

規定了信息系統等級保護安全技術設計框架及各個級別（五級未公開）設計目標、設計策略和設計要求

規定了各級系統間互聯設計的目標、策略和設計要求

GB/228828-2012《信息安全技術公共及商用服務信息系統個人信息保護指南》 個人信息保護安全標準

規定了個人信息的分類、責任主體、處理原則

規定了個人信息處理的四個階段（收集、加工、轉移、刪除）主要的保護措施