第二级,会对公民、法人和其他组织的合法权益产生严重损害,或者对秩序和公共利益造成损害。但不损害安全,信息安全部门对该级信息系统安全等级保护工作进行指导。第,会对秩序和公共利益造成严重损害,或者对安全造成损害,信息安全部门对该级信息系统安全等级保护工作进行、检查,第四级。会对秩序和公共利益造成特别严重损害。或者对安全造成严重损害,信息安全部门对该级信息系统安全等级保护工作进行强制、检查,第五级。会对安全造成特别严重损害,信息安全部门对该级信息系统安全等级保护工作进行专门、检查。
3、测评标准依据
《管理办法》第十四条规定信息系统建设完成后,运营、使用单位或者其应当选择符合本办法规定条件的测评机构,依据《测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评;第信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
测评机构应当依据《管理办法》、《测评机构管理办法》、《测评要求》、《测评指南》等标准进行等级测评,按照制订的《测评报告模版》格式出具测评报告。按照行业标准规范开展安全建设整改的信息系统,可以标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评。
等级测评依据的两个主要标准分别是《GB/T28448—测评要求》和《GB/T28449—测评指南》。其中,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评指南》规定了开展等级测评工作的基本、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评中何时如何使用《测评要求》提出了指导建议。二者共同指导等级测评工作。等级测评的测评对象是已经确定等级的信息系统。特定等级测评项目面对的被测评系统是由一个或多个不同安全保护等级的定级对象构成的信息系统。等级测评实施通常采用的测评方法是访谈、文档、配置检查、工具测试、实地查看。
4、测评工作规范
等级测评工作中,应遵循以下规范和原则。
① 标准性原则测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。
② 规范性原则为用户提供规范的服务,工作中的和文档需具有良好的规范性,可以便于项目的和控制。
③ 可控性原则测评和所使用的工具具备可控性,测评项目采用的工具都经过多次测评项目考验,或者是根据具体要求和组织的具体网络特点定制的,具有良好的可控性。
④ 整体性原则测评服务从组织的实际需求出发,从业务角度进行测评,而不是局限于网络、主机等单个的安全层面,涉及安全管理和业务运营,保障整体性和性。
⑤ 小影响原则测评工作具备充分的计划性,不对现有的运行和业务的正常提生显著影响,尽可能小地影响系统和网络的正常运行。
⑥ 保密性原则从公司、人员、三方面进行保密控制——测评公司与甲方双方签署保密协议,不得利用测评中的任何数据进行其他有损甲方利益的活动;人员保密,公司内部签订保密协议;在测评中对测评数据严格保密。
⑦ 个性化原则根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况,开展针对性较强的测评工作。
配置检查是指利用上机验证的方式检查、、、的配置是否正确。是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),并记录测评结果,配置检查是衡量一家测评机构实力的重要体现。检查对象包括系统、、中间件、网络设备、设备,工具测试是利用各种测试工具。通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法,实地查看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。
【五级标准】,(1)级安全等级,只影响个人和组织内部,具体来说,级是指信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害安全、秩序和公共利益,这一等级由信息系统运营、使用单位依据有关管理规范和技术标准进行保护,(2)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对秩序和公共利益造成损害,但不损害安全,这一等级除了需要信息系统运营、使用单位依据有关管理规范和技术标准进行保护外,还需要信息安全部门对该级信息系统信息安全等级保护工作进行指导。
湖南阳光空调维修培训学校,常年面向武功地区招生,零基础实战教学,小班授课,教学质量更有保证,全程创业指导。25年空调维修技术沉淀,80%实操+20%理论,实战+实例+实践的教学方法授课.为武功地区的空调维修学员提供广阔的就业机会。-武功空调维修培训学校