返回顶部

等级保护测评

 

 

一、概念

信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法利益的危害程度,由低到高划分为五个等级。分别是:

 

二、政策法规

中华人民共和国计算机信息系统安全保护条例

计算机信息系统保护等级划分准则

国家信息化领导小组关于加强信息安全保障工作的意见

关于加强信息安全等级保护工作的实施意见

信息安全等级保护管理办法

关于开展全国重要信息系统安全等级保护定级工作的通知

关于开展信息安全等级保护安全建设整改工作的指导意见

 

三、标准规范

计算机信息系统安全等级保护划分准则(基础类标准)

信息系统安全等级保护实施指南(基础类标准)

信息系统安全等级保护定级指南(应用类标准)

信息系统安全等级保护基本要求(应用类建设标准)

信息系统通用安全技术要求(应用类建设标准)

信息系统等级保护安全设计技术要求(应用类建设标准)

信息系统安全等级保护测评要求(应用类测评标准)

信息系统安全等级保护测评过程指南(应用类测评标准)

信息系统安全管理要求(应用类管理标准)

信息系统安全工程管理要求(应用类管理标准)

 

四、工作流程

等级保护工作不是一件事,而是由五件事组成的一个完整工作流程。通常所说的等级保护工作指的是等级保护测评这项工作流程。根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:

1、定级

信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

2、备案

第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队,具体根据各地市要求。

3、系统安全建设

信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。

4、等级测评

信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。

5、监督检查

公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

考虑到实际情况,用户单位可以在测评机构的协助下完成这些工作。选择一家有实力的测评机构很重要,测的好坏关系到单位信息系统后期整改内容。可以有效降低被攻击的风险,提高信息安全防护能力。

等级保护工作是的目的是发现问题,更重要的是发现问题之后去持续的解决问题,完善信息安全建设工作,保障应用的正常服务以及数据的安全。

为客户提供安全可靠的等级测评!

不同级别的信息系统应该落实不同强度的安全要求,为了规范安全要求的落实标准,全国信息安全标准化技术委员会制订了《信息系统安全等级保护基本要求》这个标准,该标准对不同级别的信息系统应该落实的安全要求项进行了明确而具体的规定,将其分为管理要求和技术要求总共十个类别,分别是:

 

01

用户自主保护级

 

02

系统审计保护级

 

03

安全标记保护级

 

04

安全标记保护级

 

05

访问验证保护级

 

技术要求

 

物理安全

 

主机安全

 

应用安全

 

网络安全

 

数据安全及备份回复

 

管理要求

 

安全管理制度

 

安全管理机构

 

人员安全管理

 

系统建设管理

 

系统运维管理