.jpg)
.jpg)
.jpg)
.jpg)
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
二级基本要求:在一级基本要求的基础上,技术方面,二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、审计、网络入侵防范、边界完整性检查、审计、主机资源控制、应用资源控制、审计、通信保密性以及数据保密性等。管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、管理、变更管理和应急预案管理等控制点。
三级基本要求:在二级基本要求的基础上,技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面,增加了系统备案、安全测评、监控管理和安全管理中心等控制点。
四级基本要求:在三级基本要求的基础上,技术方面,在系统和应用层面控制点上增加了安全标记、可信路径。
要求项增多,如对“身份鉴别”,一级要求“进行身份标识和鉴别”,二级增加要求“口令复杂度、登录失败保护等”,三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加,要求增强。
范围增大,如对物理安全的“防静电”,二级只要求“关键设备应采用必要的接地防静电措施”,三级则在对象的范围上发生了变化,为“主要设备应采用必要的接地防静电措施”。范围的扩大,表明了该要求项强度的增强。
要求细化:如人员安全管理中的“安全意识教育和培训”,二级要求“应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训”,三级在对培训计划进行了进一步的细化,为“应针对不同岗位制定不同培训计划”,培训计划有了针对性,更符合各个岗位人员的实际需要。
粒度细化:如网络安全中的“访问控制”,二级要求“控制粒度为网段级”,三级要求则将控制粒度细化,为“控制粒度为端口级”。由“网段级”到“端口级”,粒度上的细化,同样增强了要求的强度。
