网络信息安全等级保护一站式服务网,助力企业快速通过等保备案!

您当前的位置:主页 > 资讯中心 > 安全知识 >

【信息安全等级保护基本要求】

2019-05-16 15:57 等级保护一站通

  信息安全等级保护基本要求是系统安全保护、等级测评的一个基本“标尺”,同样级别的系统使用统一的“标尺”来衡量,确保权威性,是一个达标线。每个级别的信息系统按照基本规定进行保护后,信息系统具有相应等级的基本安全保护能力,达到一种基本的安全状态。等级保护基本要求是每个级别信息系统进行安全保护工作的一个主要立足点,愈加切合的保护可以通过需求分析对基本规定进行增补,依据《信息系统安全等级保护测评要求》等标准规范,参考其他有关等级保护或安全方面的标准来构建。

  各级管理制度要求:

  一级安全管理制度要求:主要明确了制定常规适用的管理制度,并对管理制度的制定和发布提出基本要求。

  二级安全管理制度要求:在控制点上增加了评审和修订,管理制度增加了总体方针和安全策略,和对各类重要操作建立规程的要求,并且管理制度的制定和发布要求组织论证。

  三级安全管理制度要求:在二级要求的基础上,要求机构形成信息安全管理制度体系,对管理制度的制定要求和发布过程进一步严格和规范。对安全制度的评审和修订要求领导小组的负责。

  四级安全管理制度要求:在三级要求的基础上,首要考虑了对带有密级的管理制度的管理和管理制度的日常维护等。

  五级安全管理制度要求:略……

  人是信息网络安全中最重要的要素,同时也是信息安全中最薄弱的环节。很多关键的信息系统安全问题都涉及到用户、设计人员、实施人员以及管理人员。假如这些与人员有关的安全问题没有得到很好的解决,任何一个信息系统都不可能达到真正的安全。只有对人员进行了正确完善的管理。如下是不同级别的信息系统对应的基本安全保护能力:

  一级人员安全管理要求:对人员在机构的工作周期(即,录用、日常培训、离岗)的活动提出基本的管理要求。同时,对外部人员访问要求得到授权和审批。

  二级人员安全管理要求:在控制点上增加了人员考核,对人员的录用和离岗要求进一步增强,过程性要求增加,安全教育培训更正规化,对外部人员的访问活动约束其访问行为。

  三级人员安全管理要求:在二级要求的基础上,增强了对关键岗位人员的录用、离岗和考核要求,对人员的培训教育更具有针对性,外部人员访问要求更具体。

  四级人员安全管理要求:在三级要求的基础上,提出了保密要求和关键区域禁止外部人员访问的要求。

  三级人员安全管理要求:略……

  信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。
互联网信息

  基本安全要求:针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现,管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策制度规范、流程以及记录等方面做出规定来实现。

  基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个方面提出基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个层面指出,基本技术要求和基本管理要求是确保信息系统安全不可缺少的两个部份。以基本安全要求从每个方面或领域提出了系统的每个模块应该做到的安全要求,信息系统具备的整体安全保护能力通过不一样模块实现基本安全要求来保证。除此之外保证系统的每个部件满足基本安全要求外,还要考虑部件之间的相互关系,来保证信息系统的整体安全保护能力。

  在信息安全中,管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提升、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。

  以上是信息安全等级保护的基本要求,履行以上安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。欢迎来到等保通官网,跟随着等保通技术专家一起来探讨信息安全等级保护之道吧。

如有疑问,无须注册马上在线咨询 点击在线咨询

相关阅读

  • 免费服务热线:

    周一至周日 8:00-22:00

    400-133-0633

  • 微信扫描

    即可开始对话

    等保通客服二维码
等保通让企业一次性低费用快速通过等级保护备案!
咨询热线:400-133-0633