华为云计算 云知识 等保评测各级别的要求

等保评测各级别的要求

《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、审计、网络入侵防范、边界完整性检查、审计、主机资源控制、应用资源控制、审计、通信保密性以及数据保密性等。管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、管理、变更管理和应急预案管理等控制点。

三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点。

四级基本要求:在三级基本要求的基础上,技术方面,在系统和应用层面控制点上增加了安全标记、可信路径。

要求项增多,如对“身份鉴别”,一级要求“进行身份标识和鉴别”,二级增加要求“口令复杂度、登录失败保护等”,三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加,要求增强。

范围增大,如对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”,三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。

要求细化:如人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。

粒度细化:如网络安全中的“访问控制”,二级要求“控制粒度为网段级”,三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样增强了要求的强度。


上一篇:协同管理构建新一代企业管理平台 下一篇:A8+协同管理软件产品整体架构

等保合规安全解决方案

等保2.0如期而至,华为云依托自身安全能力与安全合规生态,为客户提供一站式的安全解决方案,帮助客户快速、低成本完成安全整改,轻松满足等保合规要求


https://www.huaweicloud.com/solution/gradedprotection/