最近对安全标准进行了学习，这里梳理下标准之间的关系和层次结构。等保一系列的标准，主要是四个大的方面：安全等级、基本要求、方法指导和状况分析。等保一系列标准制定的思路是这样的：
1、明确安全等级
    明确安全等级就是说要弄清楚某某行业，某某系统属于什么样的安全级别，给系统明确的定格安全级别。张三必须是四级，李四必须是三级，这个先明确。为此定义了一个指南和一个细则。《信息系统安全等级保护定级指南》和《信息系统安全等级保护行业定级细则》，有了这两个就可以明确的定义系统应该满足什么样的安全级别了。
2、定义安全要求
    通过第一步，明确安全等级，定义清楚了系统需要达到的安全等级。第二步就要明确不同安全级别具体的安全要求是什么，这就是基本要求这一系列标准所关注的，这系列标准明确定义了不同安全级别的安全要求。
基本要求系列标准以《计算机信息系统安全保护等级划分准则》作为基础标准，在此基础上制定出技术类、管理类、产品类标准。在这些标准之上有定义了《信息系统安全等级保护基本要求》、《信息系统安全等级保护的行业规范》，有了这一系列的要求和规范，就可以明确某某行业，某某系统具体等级具体的安全要求是什么了。再弄清楚应有的等级，该等级需要满足的安全要求之后，就涉及到具体实施了。进入第三步方法指导。
3、方法指导
    方法指导系列标准定义了等保安全实施相关指南和技术要求，主要包括一个指南《信息系统安全等级保护实施指南》和一个技术要求《信息系统等级保护安全设计技术要求》。
4、现状分析
    现状分析，就是对已实施等保系统进行评测，验证是否达到预定的要求。为此定义了安全等级保护测评相关的要求和过程指南。《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》。
这样从上面一，二、三、四，四个步骤，基本明确了整个等保的实施思路和过程。既有要求又有方法，既有实施准则也有评测标准。一整套齐了，具体参见下图
 
5、应用有关标准中需注意的几个问题：
  1.《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。
  2.《基本要求》中不包含安全设计和工程实施等内容，因此可以参照《信息系统等级保护安全设计技术要求》等标准进行。
  3.在进行安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。
  4.重点行业可以按照《基本要求》等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。
  5.《信息系统等级保护安全设计技术要求》提出“一个中心三维防护”（安全管理中心和计算环境安全、区域边界安全、通信网络安全）的安全保护设计技术要求。本标准应与其他标准配合使用。