推荐性标准

推荐性标准概述

推荐性国家标准是国家鼓励自愿采用的标准，不具有强制性，但在合同约定、认证认可等场景可能成为必须满足的要求。

核心推荐性标准

GB/T 22239-2019

《信息安全技术 网络安全等级保护基本要求》

等级划分:

• 第一级：自主保护级
• 第二级：指导保护级
• 第三级：监督保护级
• 第四级：强制保护级
• 第五级：专控保护级

GB/T 25000 系列

《系统与软件工程 系统与软件质量要求和评价》

GB/T 28448-2019

《信息安全技术 网络安全等级保护测评要求》

GB/T 35273-2020

《信息安全技术 个人信息安全规范》

GB/T 37988-2020

《信息安全技术 数据安全能力成熟度模型》(DSMM)

能力等级:

• 1 级：非正式执行
• 2 级：计划跟踪
• 3 级：充分定义
• 4 级：量化控制
• 5 级：持续优化

文章列表

标准编号规则

GB/T XXXXX-YYYY
│  │   │     │
│  │   │     └── 发布年份
│  │   └──────── 标准序号
│  └──────────── 推荐性代号 (T=推荐)
└─────────────── 国家标准代号

采用建议

虽然推荐性标准不强制，但建议：

1. 行业监管要求采用的，应当采用
2. 认证认可需要满足的，应当采用
3. 合同约定需要符合的，应当采用
4. 最佳实践参考，鼓励采用