「等保测评」三级信息安全等级保护备案怎么办理?周期多久?
三级信息安全等级保护备案测评:
三级信息安全等级保护,信息安全等级保护,是对信息和信息载体按照重要性等级分级进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为设计到该工作的标准、产品、系统、信息等均依据等保测评思想的安全工作;
信息安全等级保护分类:
信息安全等级保护备案定级标准 | |||
等级 | 名称 | 定义 | 监管方式 |
第一级 | 自主保护级 | 信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公众利益 | 自主保护 |
第二级 | 指导保护级 | 信息系统受到破坏后,会对公民,法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 | 政府职能部门指导下的自主保护 |
第三级 | 监督保护级 | 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成危害 | 政府职能部门下的严格保护 |
第四级 | 强制保护级 | 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害 | 政府职能部门的强制监督和检查下的严格保护 |
第五级 | 专控保护级 | 信息系统受到破坏后,会对国家安全造成特别严重损害 | 政府协助下,由主管部门和使用单位实施专门控制和保护 |
三级信息安全等级保护对物理机房的要求:
物理位置的选择
本项要求包括:
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地硬避免设在建筑物的高层或者地下室,以及用水设备的下层或隔壁;
物理访问控制
本项要求包括:
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和控制其活动范围;
c)应对机房划分区域进行管理,区域和区域之之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
d)重要区域应配置电子门禁系统控制,鉴别和记录进入的人员;
防盗和防破坏
本项目要求:
a)应将主要设备放置在机房内;
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
c)应将通信线缆铺设在隐藏处、可铺设在底下或者管道中;
d)应对介质分类标识、存储在介质库或档案室中;
f)应对机房设置监控报警系统;
防雷击
本项目要求:
a)机房建筑应设置避雷装置;
b)应设置防雷保安器,防雷感应器;
c)机房应设置交流电源地线;
防火
本项目要求:
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警、并自动灭火;
b)机房及其相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开;
防水和防潮
本项目要求:
a)水管安装,不得穿过机房屋顶和活动地板下;
b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
c)应采取措施防止机房内水蒸气结露和底下积水的转移与渗透;
d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
防静电
本项目要求:
a)主要设备应采用必要的接地防静电措施;
b)机房应采用防静电地板;
温湿度控制
本项目要求:
机房应设置温度、湿度自动调节设备,使机房温度、湿度的变化在设备运行所允许的范围内,
电力供应
本项目要求:
a)应在机房供电线路上配置稳压器和过电压防护设备;
b)应提供短期的备用电力供应、至少满足主要设备在断电情况下的正常运行要求;
c)应设置冗余或并行的电力电缆线路为计算机系统供电;
d)应建立备用供电系统;
电磁防护
本项目要求:
a)应采用接地方式防止外界电磁干扰和设备计生耦合干扰;
b)电源线和通信线缆应隔离铺设,避免相互干扰;
c)应对关键设备和磁介质试试电磁屏蔽;
网络安全
结构安全
本项目要求:
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰需要;
b)应保证网络各个部分的带宽满足业务高峰期需要;
c)应在业务终端与业务服务器之间进行路由控制简历安全的访问路径;
d)应绘制与当前运行情况相符的网路拓扑机构图;
e)应根据各部门的工作职能,重要性和所设计信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
f)应避免将重要网段部署在网络边界处且直接链接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
g)应按照对业务服务的重要次序来指定带宽分配有限级别,保证网络在发生拥堵的时候有限照顾重要主机;
访问控制
本项目要求:
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据回话状态信息为数据流提供明确的允许/拒绝访问的能力,控制力度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP, FTP, Telnet, SMTP,POP3等协议命令级的控制
三级信息安全等级保护实施原则
根据《信息系统安全等级保护实施指南》精神,明确了一下基本原则:
三级系统需要进行重点保护原则:根据信息系统的重要程度、业务特点、实现不同强度的安全保护,集中资源有限保护涉及核心业务或关键信息资产的信息系统;
三级信息安全等级保护政策法规
《中华人民共和国计算机信息系统安全保护条例》(19944年国务院147号令)
(第九条:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部门制定)
《计算机信息系统安全保护等级划分制度》(GB 17859-1999)
(第一级:用户自主保护级;第二级:系统审计保护级:第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)
《信息安全等级保护管理办法》(公通字【2004】66号)
中华人民共和国网络安全法(2017年6月1号发布)
十三大重要标准
计算机信息系统安全等级保护划分准则(GB 17859-1999)
信息系统安全等级保护实施指南(GB/T 25058-2010)
信息系统安全等级保护实施指南(GB/T 22240-2008)
信息系统通用安全技术要求(GB/T 20270-2006)
信息系统安全等级保护基本要求(GB/T 22239-2008)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)
信息系统安全等级保护测评要求(GB/T 28448-2012)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)
信息系统安全管理要求(GB/T 20269-2006)
信息系统安全工程管理要求(GB/T 20282-2006)
信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)
信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070-2019)
信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)
三级信息安全等级保护常见问题
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人、和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统划分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处理;
等级保护工作具体步骤是怎样的?
根据信息系统等级保护相关标准,等级保护工作总共分为五个阶段,分别为:
信息系统定级、信息系统备案、信息系统安全建设、信息系统开始等级测评、主管部门定期开展监督检查;
去哪里进行信息系统的定级备案工作?
全国大部分地区规定:
各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
等级保护测评一般多长时间能测完?
一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。
等级保护测评多久需要测一次?
答:三级信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
等级保护测评的费用是多少?
答:测评的费用首先是按照信息系统来算,不是按照一个单位,第二不同等级的测评费用不一样,最后测评的费用也和信息系统的资产规模相关,规模越大相应的测评费用会高些。费用每个省市具体情况不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,具体可以咨询资质申请专员!