互联网企业,应该知道的《信息系统安全等级保护管理办法》
导读:本文共2414.5字符,通常情况下阅读需要8分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要:互联网+的时代,网络信息安全及隐私保护已经上升为国家信息安全战略,更是互联网企业的安身立命之本。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。信息系统的安全保... ...
目录
(为您整理了一些要点),点击可以直达。互联网+的时代,网络信息安全及隐私保护已经上升为国家信息安全战略,更是互联网企业的安身立命之本。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。
信息系统的安全保护等级分为以下五级:
第一级:用户自主保护级;适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
第二级:系统审计保护级;适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
第三级:安全标记保护级;适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
第四级:机构化保护级;适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
第五级:访问验证保护级;适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
【信息系统安全等级划分;第四级、第五级略】
【不同安全等级的信息系统应具备的基本安全保护能力;第四级、第五级略】
等级保护基本要求
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
等级保护实施过程
整个等级保护实施过程包括:系统定级、安全规划设计、安全实施/实现、安全运行管理与系统终止。
系统定级:信息系统运营使用单位按照《信息系统信息安全等级保护定级指南》,确定信息系统安全等级。
安全规划设计:根据信息系统的定级情况和安全需求等,设计合理的、满足等级保护要求的总体设计方案。
安全实施/实现:按照信息系统总体方案书的总体要求,结合信息系统安全建设方案,分期分步落实安全措施。
安全运行:在安全运行阶段主要是实施操作管理、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进以及监督检查等活动。
系统终止:确保信息系统被转移、终止或废弃时,正确处理系统内的敏感信息。
中交出行深谙信息安全及隐私保护的重要性,因此在“中交出行协同云平台”研发初期便参照国家《信息系统安全等级保护管理办法》的标准,进行相关信息技术的软硬件建设并提出了申请,并与2016年12月5日通过了深圳市信息安全等级保护工作协调领导小组办公室组织的信息系统安全等级保护三级测评。
中交出行所通过的三级测评,在技术上包括5个硬性指标:物理安全、主机安全、网络安全、应用安全和数据安全;申请条件极为苛刻,是此等级的企业每年都需要进行一次的信息安全测评。
从2016.10.28——2016.11.28,中交出行协同云平台顺利通过了静态评估、现场测试、物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等十余个方面的全方位综合测评。
信息安全警钟长鸣,中交出行将积极响应国家信息安全战略,为合作企业的信息安全建设负责,会一直把信息安全及隐私保护作为企业的首要风险予以应对和管理,力争以更高的标准匹配今后每年一次的信息安全测评。
互联网企业,应该知道的《信息系统安全等级保护管理办法》的详细内容,希望对您有所帮助,信息来源于网络。