Email: 1092618259@qq.com TEL: 159-1032-5205
「等保测评」三级信息安全等级保护备案怎么办理?周期多久?

「等保测评」三级信息安全等级保护备案怎么办理?周期多久?

分类:三级等保测评 二级等保测评 749

「等保测评」三级信息安全等级保护备案怎么办理?周期多久?

 

三级信息安全等级保护备案测评:

三级信息安全等级保护,信息安全等级保护,是对信息和信息载体按照重要性等级分级进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为设计到该工作的标准、产品、系统、信息等均依据等保测评思想的安全工作;

信息安全等级保护分类:

信息安全等级保护备案定级标准
等级
名称
定义
监管方式
第一级
自主保护级
信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公众利益
自主保护
第二级
指导保护级
信息系统受到破坏后,会对公民,法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
政府职能部门指导下的自主保护
第三级
监督保护级
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成危害
政府职能部门下的严格保护
第四级
强制保护级
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
政府职能部门的强制监督和检查下的严格保护
第五级
专控保护级
信息系统受到破坏后,会对国家安全造成特别严重损害
政府协助下,由主管部门和使用单位实施专门控制和保护

三级信息安全等级保护对物理机房的要求:

物理位置的选择

本项要求包括:

a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

b)机房场地硬避免设在建筑物的高层或者地下室,以及用水设备的下层或隔壁;

物理访问控制

本项要求包括:

a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;

b)需进入机房的来访人员应经过申请和审批流程,并限制和控制其活动范围;

c)应对机房划分区域进行管理,区域和区域之之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;

d)重要区域应配置电子门禁系统控制,鉴别和记录进入的人员;

防盗和防破坏

本项目要求:

a)应将主要设备放置在机房内;

b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;

c)应将通信线缆铺设在隐藏处、可铺设在底下或者管道中;

d)应对介质分类标识、存储在介质库或档案室中;

f)应对机房设置监控报警系统;

防雷击

本项目要求:

a)机房建筑应设置避雷装置;

b)应设置防雷保安器,防雷感应器;

c)机房应设置交流电源地线;

防火

本项目要求:

a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警、并自动灭火;

b)机房及其相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开;

防水和防潮

本项目要求:

a)水管安装,不得穿过机房屋顶和活动地板下;

b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;

c)应采取措施防止机房内水蒸气结露和底下积水的转移与渗透;

d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警

防静电

本项目要求:

a)主要设备应采用必要的接地防静电措施;

b)机房应采用防静电地板;

温湿度控制

本项目要求:

机房应设置温度、湿度自动调节设备,使机房温度、湿度的变化在设备运行所允许的范围内,

电力供应

本项目要求:

a)应在机房供电线路上配置稳压器和过电压防护设备;

b)应提供短期的备用电力供应、至少满足主要设备在断电情况下的正常运行要求;

c)应设置冗余或并行的电力电缆线路为计算机系统供电;

d)应建立备用供电系统;

电磁防护

本项目要求:

a)应采用接地方式防止外界电磁干扰和设备计生耦合干扰;

b)电源线和通信线缆应隔离铺设,避免相互干扰;

c)应对关键设备和磁介质试试电磁屏蔽;

 

网络安全

结构安全

本项目要求:

a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰需要;

b)应保证网络各个部分的带宽满足业务高峰期需要;

c)应在业务终端与业务服务器之间进行路由控制简历安全的访问路径;

d)应绘制与当前运行情况相符的网路拓扑机构图;

e)应根据各部门的工作职能,重要性和所设计信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;

f)应避免将重要网段部署在网络边界处且直接链接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;

g)应按照对业务服务的重要次序来指定带宽分配有限级别,保证网络在发生拥堵的时候有限照顾重要主机;

访问控制

本项目要求:

a)应在网络边界部署访问控制设备,启用访问控制功能;

b)应能根据回话状态信息为数据流提供明确的允许/拒绝访问的能力,控制力度为端口级;

c)应对进出网络的信息内容进行过滤,实现对应用层HTTP, FTP, Telnet, SMTP,POP3等协议命令级的控制

三级信息安全等级保护实施原则

根据《信息系统安全等级保护实施指南》精神,明确了一下基本原则:

三级系统需要进行重点保护原则:根据信息系统的重要程度、业务特点、实现不同强度的安全保护,集中资源有限保护涉及核心业务或关键信息资产的信息系统;

三级信息安全等级保护政策法规

《中华人民共和国计算机信息系统安全保护条例》(19944年国务院147号令)

(第九条:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部门制定)

《计算机信息系统安全保护等级划分制度》(GB 17859-1999)

(第一级:用户自主保护级;第二级:系统审计保护级:第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级)

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)

《信息安全等级保护管理办法》(公通字【2004】66号)

中华人民共和国网络安全法(2017年6月1号发布)

十三大重要标准

计算机信息系统安全等级保护划分准则(GB 17859-1999)

信息系统安全等级保护实施指南(GB/T 25058-2010)

信息系统安全等级保护实施指南(GB/T 22240-2008)

信息系统通用安全技术要求(GB/T 20270-2006)

信息系统安全等级保护基本要求(GB/T 22239-2008)

信息系统等级保护安全设计技术要求(GB/T 25070-2010)

信息系统安全等级保护测评要求(GB/T 28448-2012)

信息系统安全等级保护测评过程指南(GB/T 28449-2012)

信息系统安全管理要求(GB/T 20269-2006)

信息系统安全工程管理要求(GB/T 20282-2006)

信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)

信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070-2019)

信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)

三级信息安全等级保护常见问题

什么是等级保护?

网络安全等级保护是指对国家重要信息、法人、和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统划分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处理;

等级保护工作具体步骤是怎样的?

根据信息系统等级保护相关标准,等级保护工作总共分为五个阶段,分别为:

信息系统定级、信息系统备案、信息系统安全建设、信息系统开始等级测评、主管部门定期开展监督检查;

去哪里进行信息系统的定级备案工作?

全国大部分地区规定:

各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。

等级保护测评一般多长时间能测完?

一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。

等级保护测评多久需要测一次?

答:三级信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。

等级保护测评的费用是多少?

答:测评的费用首先是按照信息系统来算,不是按照一个单位,第二不同等级的测评费用不一样,最后测评的费用也和信息系统的资产规模相关,规模越大相应的测评费用会高些。费用每个省市具体情况不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,具体可以咨询资质申请专员!

 

欢迎您访问资质申请专员网站(https://www.chenyunpeng.com),如需了解相关许可证办理,您可在网站搜索框直接搜索想要的信息,或者可直接联系资质申请专员:15910325205

上一篇: 下一篇:
展开更多
免费获取资质报价、材料

loading...