当前位置:文档之家 › 等级保护三级相关要求

等级保护三级相关要求

  • 格式:pptx
  • 大小:14.27 MB
  • 文档页数:25

下载文档原格式

  / 25

合集下载

等级保护三级基本要求内容

等级保护三级基本要求内容

等级保护三级基本要求内容等级保护是指对具有重要历史、文化、艺术、古迹价值的文物、建筑、风景名胜等进行保护和管理的一种制度。

等级保护分为一级保护单位、二级保护单位和三级保护单位,其中三级保护单位是指具有一定历史文化价值、需要保护的文物或其他文化遗产。

下面将重点介绍三级保护单位的基本要求内容。

第一,建筑保护要求。

三级保护单位的建筑物本身具有极高的历史和文化价值,因此,对建筑的保护是非常重要的。

保护建筑必须保持其原有的结构、形态、风貌,不得做出任何改变或破坏。

同时,建筑要保持良好的修复状态,不得有严重的破损或损毁。

对于建筑外部的装饰和细部,也要进行恢复和保护,保持原有风格和特色。

第二,环境保护要求。

三级保护单位的环境保护也是非常重要的一部分。

环境保护包括对周围的自然环境、生态环境和人文环境的保护。

对于周围的自然景观和植被,要进行恢复和保护,确保其与保护单位相协调;对于周围的人文环境,也要进行保护和整治,改善周围的城市环境和居民的居住环境。

第三,文物保护要求。

三级保护单位本身就是文物,因此对文物的保护要做到最好。

文物保护包括对文物的修复、保养、保存和展示等方面的工作。

修复文物要注意保持其原有的特色和风格,不得进行盲目的修复或改变。

保养文物要注意定期进行检查和维护,确保其安全和完好。

保存文物要注意环境和温湿度的控制,防止文物受潮、腐朽和损坏。

展示文物要注意方式和方法,使其能够向公众展示其历史和文化价值。

第四,管理保护要求。

三级保护单位的管理保护也是非常重要的,只有进行科学的管理,才能保证其长期的保护和利用。

管理保护包括对建筑、环境和文物的日常管理,对游客和公众的管理,对管理机构和人员的管理等方面的工作。

建立健全的管理制度和管理体系,明确职责和权限,加强管理和监督,保证保护单位的正常运转和管理。

综上所述,三级保护单位的基本要求包括建筑保护要求、环境保护要求、文物保护要求和管理保护要求。

只有按照这些要求进行科学的保护和管理,才能够保证三级保护单位的长期保护和利用,使其能够为后代留下宝贵的历史和文化遗产。

等级保护三级(等保三级)基本要求

等级保护三级(等保三级)基本要求

等级保护三级(等保三级)基本要求
等级保护三级(等保三级)是指我国网络安全等级保护的一种安全等级,适用于重要网络系统,具有较高的安全等级要求。

其基本要求包括以下几个方面:
1. 安全策略与管理:制定和实施网络安全策略与管理制度,包括安全管理组织、安全运维管理、安全教育培训等。

2. 访问控制:建立完善的安全边界与访问控制措施,包括网络边界安全防护、口令策略、身份认证与访问控制、权限分级管理等。

3. 主机安全与数据保护:确保网络主机的安全,包括安装和管理安全的操作系统、应用软件补丁管理、强化主机的安全配置、数据备份与恢复等。

4. 通信保密与数据传输:采取加密技术保护网络通信的机密性与完整性,包括建立合适的加密通信机制、安全传输措施、防止数据泄露与篡改等。

5. 应用系统安全:确保应用系统的安全,包括安全设计与开发、安全测试与验证、应用系统权限与审计控制、安全运维等。

6. 安全事件监测与应急响应:建立安全监测与响应机制,包括安全事件的实时监测、异常行为分析、风险评估与应急响应等。

7. 安全审计与评估:定期进行安全审计和安全评估,发现并修
复潜在的安全漏洞和风险。

8. 安全保密管理:建立安全保密管理制度,包括建立安全保密责任制、保密设施与设备管理、保密培训与安全宣传等。

以上是等级保护三级基本要求的一些主要内容,不同的具体情况和需要可能还会涉及其他细节和要求。

三级等保认证条件

三级等保认证条件

三级等保认证条件什么是三级等保认证?三级等保认证是指中国国家信息安全等级保护制度中的一种认证制度,旨在评估和认证企业或组织的信息系统安全水平。

三级等保认证体系分为三个等级,分别是一级、二级和三级,三级等保认证是最高级别的认证。

三级等保认证的目的是确保企业或组织的信息系统安全可靠,能够有效地防护和应对各种信息安全威胁和风险。

通过认证,企业或组织可以获得政府、客户和供应商的信任,提升竞争力和可信度。

三级等保认证条件要获得三级等保认证,企业或组织需要满足一系列的条件和要求。

以下是三级等保认证的主要条件:1. 安全管理制度企业或组织需要建立完善的信息安全管理制度,包括信息安全策略、组织架构、责任制和管理流程等。

安全管理制度应能够确保信息系统的安全运行,并能够及时发现和应对安全事件。

2. 安全保护措施企业或组织需要采取一系列的安全保护措施,包括物理安全、网络安全、系统安全和数据安全等方面。

物理安全措施可以包括门禁、监控和安全区域等;网络安全措施可以包括防火墙、入侵检测系统和安全域等;系统安全措施可以包括访问控制、安全配置和漏洞管理等;数据安全措施可以包括加密、备份和灾备等。

3. 安全运维能力企业或组织需要具备一定的安全运维能力,包括安全设备的运维管理、安全事件的处理和安全漏洞的修复等。

安全运维能力可以通过培训和认证等方式提升,同时还需要建立相应的运维流程和管理机制。

4. 安全事件响应能力企业或组织需要具备一定的安全事件响应能力,能够及时响应和处置安全事件。

安全事件响应能力可以包括安全事件的监测和分析、应急响应的组织和协调以及安全事件的后续处理等。

5. 安全审计能力企业或组织需要具备一定的安全审计能力,能够对信息系统进行定期的安全审计和评估。

安全审计能力可以包括日志管理、行为审计和合规性审计等。

6. 安全培训和教育企业或组织需要对员工进行安全培训和教育,提高员工的信息安全意识和技能。

安全培训和教育可以包括信息安全政策的宣传、安全操作规范的培训和安全意识的培养等。

安全等保第三级基本要求

安全等保第三级基本要求

安全等保第三级基本要求安全等级保护是指根据国家有关法律、法规和标准,将信息系统按照其重要程度和安全需求划分为不同的安全等级,并采取相应的安全措施进行保护。

安全等级保护的目的是为了确保信息系统的安全性和可靠性,防范各种安全威胁和风险,维护国家和社会稳定。

安全等级保护第三级是指对涉密信息系统进行安全保护的最基本要求。

涉密信息系统是指经国家有关部门批准的,属于国家秘密的信息系统。

安全等级保护第三级要求涉密信息系统的保护达到相对高的水平,能够抵御一定的安全威胁和攻击。

安全等级保护第三级的基本要求如下:1.信息系统的管理要求(1)制定并实施信息系统安全管理制度,明确责任和权限;(2)建立信息系统安全责任制,明确相关人员的安全职责与义务;(3)建立健全安全保密工作机构,确保信息系统安全工作的专业化、规范化和持续性;(4)建立信息系统安全风险评估制度,定期评估系统的安全风险程度,并采取相应的风险控制措施;(5)对信息系统的维护与运行管理进行监督,确保系统的正常运行和安全可靠。

2.信息系统的物理安全要求(1)建立完善的物理安全保护设施,包括门禁系统、监控摄像设备等;(2)对涉密信息系统所在的机房、机柜等场所进行严格的控制和管理;(3)对进入物理安全控制区域的人员进行身份鉴别和审查,并记录相关信息;(4)严格控制物理接口和通信线路的接入,防止非授权的数据传输和泄露。

3.信息系统的网络安全要求(1)建立防火墙、入侵检测系统等网络安全设备,保护信息系统不受网络攻击;(2)对网络设备进行安全配置和管理,限制非授权访问和操作;(3)建立网络安全事件响应机制,及时发现和应对安全事件;(4)对涉密信息系统进行网络监测和审计,检测是否存在异常行为和攻击行为。

4.信息系统的安全防护要求(1)建立完善的身份认证和访问控制机制,确保只有授权用户才能访问系统;(2)对涉密信息进行数据加密,保护数据的机密性和完整性;(3)建立信息系统的备份和恢复机制,确保数据的可用性和可恢复性;(4)对信息系统进行病毒和恶意代码的防护,确保系统不受恶意软件的侵害。

等级保护三级测评要求

等级保护三级测评要求

等级保护三级测评要求等级保护三级测评要求主要包括以下几个方面:1. 物理安全:机房应区域划分至少分为主机房和监控区两个部分;机房应配备电子门禁系统、防盗报警系统、监控系统;机房不应该有窗户,应配备专用的气体灭火、ups供电系统。

2. 网络安全:应绘制与当前运行情况相符合的拓扑图;交换机、防火墙等设备配置应符合要求,例如应进行Vlan划分并各Vlan逻辑隔离,应配置Qos流量控制策略,应配备访问控制策略,重要网络设备和服务器应进行IP/MAC绑定等;应配备网络审计设备、入侵检测或防御设备。

交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略,登录访问失败处理机制、用户角色和权限控制等;网络链路、核心网络设备和安全设备,需要提供冗余性设计。

3. 主机安全:服务器的自身配置应符合要求,例如身份鉴别机制、访问控制机制、安全审计机制、防病毒等,必要时可购买第三方的主机和数据库审计设备;服务器应具有冗余性,例如需要双机热备或集群部署等;服务器和重要网络设备需要在上线前进行漏洞扫描评估,不应有中高级别以上的漏洞;应配备专用的日志服务器保存主机、数据库的审计日志。

4. 应用安全:应用自身的功能应符合等保要求,例如身份鉴别机制、审计日志、通信和存储加密等;应用处应考虑部署网页防篡改设备;应用的安全评估,应不存在中高级风险以上的漏洞;应用系统产生的日志应保存至专用的日志服务器。

5. 数据安全备份:应提供数据的本地备份机制,每天备份至本地,且场外存放;如系统中存在核心关键数据,应提供异地数据备份功能,通过网络等将数据传输至异地进行备份。

请注意,等级保护三级的要求可能会根据具体政策和标准有所调整。

在实际操作中,建议您参照国家政策和标准文件,并与专业的网络安全团队进行合作,以确保满足等级保护三级的要求。

国家信息安全等级保护第三级系统要求

国家信息安全等级保护第三级系统要求

国家信息安全等级保护第三级系统要求
国家信息安全等级保护第三级系统是指重要或较重要的、对国家利益具有直接影响的信息系统。

相应的系统要求如下:
1. 系统安全性要求:确保系统运行时的安全性,包括系统隔离、数据防泄密、系统及网络拒绝服务攻击防护等。

2. 安全管理要求:确保系统的安全管理能力,包括安全策略制定、安全意识培训、安全事件管理等。

3. 访问控制要求:实施严格的访问控制措施,包括用户身份验证、用户权限管理、终端设备管理等。

4. 数据保密性要求:保护系统中的敏感信息,确保数据的保密性,包括数据加密、访问控制、备份与恢复等。

5. 流程审批要求:建立完整的流程审批机制,确保系统操作与管理的合规性与规范性。

6. 系统运维要求:确保系统的正常运行和维护,包括系统漏洞及时修复、安全补丁更新、监控与审计等。

7. 系统监测要求:建立有效的系统监测与预警机制,及时发现并应对潜在的安全威胁。

8. 应急响应要求:建立应急响应机制,对安全事件做出及时响应,包括安全事件处置、调查与追溯等。

9. 安全审计要求:进行定期的安全审计,确保系统的合规性与安全性。

10. 系统备份与恢复要求:建立完善的系统备份与恢复机制,确保系统数据的安全性与可恢复性。

11. 系统通信安全要求:对系统的通信过程进行加密与防护,确保数据在传输过程中的安全性。

12. 隐私保护要求:保护用户、个人等相关主体的隐私信息,确保相关信息的保密性与安全性。

以上是国家信息安全等级保护第三级系统的一些基本要求,具体的要求可能会根据不同国家的政策和法规而有所差异。

等保三级认证要求

等保三级认证要求
等保三级认证是指中国国家级网络安全保障等级保护三级认证,主要针对涉密信息系统和重要信息基础设施。

以下是等保三级认证要求:
1. 安全管理要求:建立完善的安全管理体系,包括安全规划、组织架构、岗位职责、安全宣传、安全考核、安全应急等方面。

2. 认证审计要求:完成规范的安全产品审计和系统评估。

3. 安全技术要求:包括对系统的安全监控和审计、口令安全、网络接口保护、备份和恢复、加密传输等方面。

4. 安全事件应急要求:建立安全事件应急预案,制定事件应急处理流程和应急手段。

5. 安全保密要求:确保物理安全、数据安全、用户身份验证、安全审计等安全保密要求的实现。

6. 保障措施要求:通过安全设备、加密通讯、安全传输等手段,加强对涉密信息的保护。

7. 采用安全产品要求:选择具有国家安全认证的安全产品,如密码设备、防火
墙等,并建立完善的安全管理机制。

需要注意的是,等保三级认证的具体要求可能会根据不同的应用场景和安全性质而略有不同。

等保三级技术要求

等保三级技术要求等保三级是指国家相关部门对信息系统安全等级保护的要求,是我国信息系统安全保护体系的最高等级。

按照等保三级的技术要求,需要从以下几个方面进行保护。

1.网络安全网络安全是等保三级中最关键的要求之一、主要包括构建安全稳定的网络架构、加强网络边界防护、实现入侵检测和防御、加强对敏感数据的加密传输等措施。

同时,需要定期进行安全评估、漏洞扫描和安全事件响应等工作。

2.主机安全主机是信息系统的核心组成部分,主机安全是很重要的一个环节。

需要进行系统安全加固,包括对操作系统进行合理配置、安装防病毒软件、做好基线配置、禁止不必要的系统服务等。

同时,还要加强对系统日志的监控和审计。

3.应用安全应用安全是保护信息系统的另一个关键方面。

需要加强对应用软件的开发过程中的安全性要求,对开发的应用软件进行静态和动态的安全测试,确保应用没有安全漏洞。

同时,对应用软件进行合理的权限控制,防止恶意用户进行非法操作。

4.数据库安全数据库是存储和管理信息系统中大量重要数据的核心组件。

数据库安全主要包括对数据库的访问控制、加密存储、备份和恢复、监控和审计等方面的要求。

需要加强对数据库的访问权限管理,确保只有合法用户可以访问数据库。

5.物理安全物理安全是信息系统安全中容易被忽视的一个方面。

需要保护信息系统所在的机房或服务器房的物理安全,避免未经授权的人员进入。

此外,还需要有合理的灾备措施,确保在灾害事件发生时能够及时恢复信息系统的正常运行。

6.安全管理安全管理是等保三级中的一个重要要求,需要建立完善的安全管理制度,包括信息安全政策、安全组织体系、安全培训和安全审计等。

同时,还需要建立健全的安全应急响应机制,能够及时处置安全事件,减少损失。

7.安全监测与响应等保三级还要求建立一套有效的安全监测和响应机制。

这包括加强对网络和主机的实时监测,及时发现和处置潜在的安全威胁。

同时,还需要建立应急响应组织,能够快速、有效地对安全事件进行响应和处置。

等保三级技术服务质量要求

等保三级技术服务质量要求全文共四篇示例,供读者参考第一篇示例:等保三级技术服务质量要求随着网络安全的重要性日益凸显,我国国家级信息安全等级保护制度也随之不断完善。

等保三级作为最高级别的信息安全等级评定标准,对技术服务提供方提出了更高的要求,不仅要求技术服务的安全性更高,同时也要求其服务质量更加稳定可靠。

下面我们将就等保三级技术服务质量要求进行详细探讨。

一、强制性措施1.数据加密:技术服务提供方在提供服务时必须对所有传输的数据进行加密处理,确保数据在传输过程中不被篡改和泄露。

2.身份认证:所有用户在使用技术服务时,必须通过严格的身份认证流程进行身份验证,以确保数据的安全性。

3.日志记录:技术服务提供方必须对所有操作进行日志记录,以便在出现问题时能够追踪问题原因并进行处理。

4.访问控制:对于敏感数据和关键系统,技术服务提供方必须实施严格的访问控制措施,确保只有授权人员才能访问相关数据和系统。

5.应急响应:技术服务提供方必须建立健全的应急响应机制,及时响应安全事件,并对事件原因进行调查和处理,防止事件扩大。

6.服务可用性:技术服务提供方必须保证服务的高可用性,确保服务在任何时间都能够正常提供,并能够及时恢复服务。

二、服务质量要求1.性能优化:技术服务提供方必须对系统进行性能优化,保证系统运行稳定,并能够满足用户的需求。

2.故障排除:技术服务提供方必须建立健全的故障排除机制,及时发现并解决系统问题,确保服务的连续性。

3.备份恢复:技术服务提供方必须建立健全的备份和恢复机制,确保在发生数据丢失或系统故障时能够快速恢复服务。

5.服务监控:技术服务提供方必须对服务进行全天候监控,及时发现问题并进行处理,防止问题扩大影响用户。

6.用户培训:技术服务提供方必须对用户进行培训,提高用户对服务的使用熟练度,减少用户误操作导致的安全问题。

等保三级技术服务质量要求不仅要求技术服务提供方在安全性方面有更高的保障,同时也要求其服务质量更加可靠稳定。

网络安全等级保护第三级基本要求

网络安全等级保护第三级基本要求网络安全等级保护是国家对各类网络信息系统的保护分级管理制度,根据不同的信息系统重要性和风险级别,将各类信息系统列入不同的保护等级。

其中,网络安全等级保护第三级是相对高等级的保护要求,要求较为严格。

下面将详细介绍网络安全等级保护第三级的基本要求。

1.安全保密责任制度:组织应建立健全网络安全组织和管理规范,明确网络安全责任和权限,为保证信息系统的可控和安全运行提供保证。

2.信息系统运行监测:建立网络安全事件监测和响应机制,及时取得、收集和监测信息系统的运行状态和异常情况,制定应急预案,做到及时发现、处理和消除网络安全事件。

3.数据备份与恢复:制定符合数据安全要求的备份和恢复策略,建立备份体系,确保关键数据和业务系统的持续可用性。

4.访问控制管理:建立合理的用户管理制度,设置用户权限,对用户进行认证和授权管理,防止非法访问和恶意操作。

5.信息传输和存储保护:加密网络通信、存储数据和文件,禁止未经授权的传输和存储行为,确保数据的机密性和完整性。

6.软硬件安全保护:对网络设备和系统软件进行规范的安全配置,及时安装安全补丁和更新,禁用不必要的服务和端口,防止未授权的系统访问和攻击。

7.安全审计与评估:对信息系统进行定期的安全审计和评估,及时发现和解决系统中的安全漏洞和风险。

8.恶意代码防范与防护:建立有效的恶意代码防范与防护机制,包括实时监测和拦截病毒、木马、僵尸网络等恶意代码的传播和使用。

9.网络安全教育与培训:加强员工的网络安全教育和培训,提高员工的网络安全意识和技能,做到网络安全问题的早发现、早解决。

10.安全事件处置与管理:建立网络安全事件处置和管理机制,包括安全事件的分类、报告和处理流程,确保安全事件的快速处置和不断改进。

总之,网络安全等级保护第三级基本要求是确保信息系统的可控和安全运行。

在实施过程中,需要建立相应的组织和管理规范,并配备专业的技术人员,采取必要的技术手段和安全措施,进行信息系统的运行监测和安全防护,防止非法访问和攻击,确保数据的机密性和完整性,及时发现和处理安全事件,提高员工的网络安全意识和技能。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《网络安全法》
《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履 行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、 篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少 于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
在北京做等保,个人还是比较推荐时 代新威,他们是等级保护测评测评机 构推荐的,而且资质也还不错,喜欢 的小伙伴可以去了解一下。
信息系统备案
1、线上资料审核通过后,备案单位准备好所有公安要求的纸质材料,待公安通知日期携带纸质资料去相关区公 安分局网安大队进行递交材料。
2、 公安机关现场对备案材料进行审核,材料符合要求的当日颁发由公安部统一监制的备案证明。
《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》
二、相关要求
(一)卫生行业各单位要按照“遵循标准、重点保护,行业指导、属地管理,同步 建设、动态完善”的原则,建立信息安全等级保护工作长效机制。
(二)各省级卫生行政部门要督促本地区卫生行业各单位按照《指导意见》要求, 开展信息安全等级保护工作。
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心; (3)三级甲等医院的核心业务信息系统; (4)卫生部网站系统; (5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息 安全等级保护工作》的通知
《公安机关互联网安全监督检查规定》(公安部第151号令)
第八条 互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所 在地公安机关实施。互联网服务提供者为个人的,可以由其经常居住地公安机关实施。
第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国 家有关规定和标准,对下列内容进行监督检查: (七)是否履行法律、行政法规规定的网络安全等级保护义务。
(三)各省级卫生行政部门等级保护工作联络员发生变化时,应当及时向我部报告。 (四)各省级卫生行政部门要及时向我部报告工作进展情况,并于每年第四季度报 送本地区信息安全等级保护工作总结。
等保工作实施流程及内容(以下朝阳区为例,总体时间2-3个月)
信息系统定级、备案材料
● 1.备案表 ● 2.定级报告 ● 3.专家汇报PPT ● 4.专家评审意见(签字版本和专家资质) ● 5.《网络与信息安全承诺书》 ● 6.《网络安全等级保护应急联系登记表》 ● 7.工商营业执照 ● 8.法人代表身份证 ● 9.前来交表同志身份证复印件、身份证原件 ● 10.法人授权委托书 ● 11.公司、个人房产证、租房合同复印件并加盖公章或由物业部门开具的房屋租赁或入驻证明原件 ● 12.系统拓扑图,系统使用网络IP地址 ● 13.系统服务器所在地说明,如租赁云端服务器需提供托管协议,及提供商等级保护备案证明复印件
第二部分
5 《卫生行业信息 安全等级保护工 作的指导意见》
6 卫办综函〔2011〕1126号 《卫生部办公厅关于全面开展 卫生行业信息安全等级保护工 作》的通知
7 8 等保工作实施流程
信息系统定级、备案材料
及内容
《卫生行业信息安全等级保护工作的指导意见》
《卫生行业信息安全等级保护工作的指导意见》
2020
等级保护三级相关要求
汇报人:时代新威等级保护组
第一部分
1 网络安全相关监管要求 文件
2 《网络安全法》
3 《公安机关互联网安全 监督检查规定》(公安 部第151号令)
4 医疗行业网络安全 相关监管要求文件
网络安全相关监管要求文件
1.《中华人民共和国网络安全法》2017年6月 2.《公安机关互联网安全监督检查规定》(公安部第151号令【2018】) 3.《网络安全等级保护条例》(征求意见)公安部 2018年6月 4.《信息安全等级保护管理办法》(公通字【2007】43号) 5.《个人信息和重要数据出境安全评估办法(征求意见稿)》 2017年4月,国家互联网信息办公室 6.《数据安全管理办法(征求意见稿)》2019年5月 国家互联网信息办公室 7.《关键信息基础设施安全保护条例(征求意见稿)》 2017年7月 国家互联网信息办公室 8.《计算机信息系统安全保护条例》(国务院令第147号) 9.《计算机软件保护条例》(国务院令【2013】第632号)
等级保护测评整改建议(预测差距分析)
差距分析
整改建议
等级保护测评报告
等保工作对接方式
感谢聆听!
汇报人:时代新威等级护组
3、备案单位领取到备案后电子版图片发给测评机构,测评机构在公安系统办理入场测评登记。
通用要求分为管理和技术
通用要求-管理部分
等级保护测评依据:测评过程中涉及等级保护相关标准
1. 《信息安全技术 网络安全等级保护基本要求 GBT22239-2019》 2. 《信息安全技术 网络安全等级保护测评要求 GBT28448-2019》 3. 《信息安全技术 网络安全等级保护测评过程指南 GB∕T 28449-2018》 4. 《信息安全技术 网络安全等级保护测试评估技术指南 GB/T 36627-2018》 5. 《信息技术 信息安全技术 信息安全管理体系要求ISO27001-2013》 6. 《计算机信息系统安全等级划分准则GB17859-1999》 7. 《信息安全技术 信息系统安全管理要求 GB/T 20269-2006》 8. 《信息安全技术 网络基础安全技术要求 GB/T 20270-2006》 9. 《信息安全技术 信息系统通用安全技术要求 GB/T 20271-2006》 10.《信息安全技术 操作系统安全技术要求 GB/T 20272-2006》 11.《信息安全技术 数据库管理系统安全技术要求 GB/T 20273-2006》
第三部分
9 定级材料
10 信息系统备案
11 信息系统备案
12 信息系统备案
定级材料
信息系统备案
信息系统备案
信息系统备案
北京地区做等级保护 有推荐的机构吗?
北京大概有一百多家机构,其中大部 分都是代理商,只有37家是网络安全 等级保护测评机构推荐的,找测评机 构的时候一定要檫亮眼睛了,第三方 都是代理公司,外包的。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为 指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生 信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生 事件应急指挥信息系统等跨省全国联网运行的信息系统;
第十三条 公安机关开展互联网安全监督检查,可以采取现场监督检查或者远程检测的方式进行。
医疗行业网络安全相关监管要求文件
1. 卫办发〔2011〕85号《卫生行业信息安全等级保护工作的指导意见》的通知 2. 卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》 的通知 3. 由国家卫生健康委员会、国家中医药管理局于2018年7月17日印发《互联网医院管理办法 (试行)》 4. 国卫规划发〔2014〕24号《人口健康信息管理办法(试行)》的通知 5. 2016年卫健委发《2016三级综合医院评审标准考评办法(完整版)》 6. 国卫规划发〔2018〕23号《国家健康医疗大数据标准、安全和服务管理办法(试行)》的通 知