信息系统安全等级保护测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。
等级保护基本要求
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
等级保护实施过程
整个等级保护实施过程包括:系统定级、安全规划设计、安全实施/实现、安全运行管理与系统终止。
系统定级:信息系统运营使用单位按照《信息系统信息安全等级保护定级指南》,确定信息系统安全等级。
安全规划设计:根据信息系统的定级情况和安全需求等,设计合理的、满足等级保护要求的总体设计方案。
安全实施/实现:按照信息系统总体方案书的总体要求,结合信息系统安全建设方案,分期分步落实安全措施。
安全运行:在安全运行阶段主要是实施操作管理、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进以及监督检查等活动。
系统终止:确保信息系统被转移、终止或废弃时,正确处理系统内的敏感信息。