《管理办法》第十四条:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检査。对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。
一级:要求指定不同的管理员角色,明确其职责,指定专人员进行账户管理和账户操作。
二级:在一级基础上,要求建立网络和系统安全管理制度应制定重要设备的配置和操作手册,详细记录运维操作日志。
三级:在二级基础上,要求指定专人统计分析日志和监测记录;严格控制变更性运维,保证操作审计日志不可更改,及时更新配置信息库;严格控制运维工具的使用,删除产生的敏感数据;严格控制远程运维的开通,操作结束后立即关闭接口或通道;定期检查违规无线上网等
四级:与三级要求相同。
一级:要求计算机或存储设备接入系统前进行恶意代码检查,制定恶意代码防范规定
二级:在一级要求的基础上,要求定期检查恶意代码库的升级情况,并及时分析处理。
三级:在二级要求的基础上,要求定期验证防范恶意代码攻击的技术措施的有效性。
四级:与三级要求相同。
一级:无要求。
二级:要求遵循相关密码国家标准和行业标准,使用国家密码管理主管部门认证核准的密码技术和产品。
三级:与二级要求相同。(对象范围扩大)
四级:在三级要求的基础上,增加了采用硬件密码模块实现密码运算和密钥管理。
一级:要求及时报告漏洞和可疑事件,明确事件报告、处置和恢复流程与职责。
二级:在一级的基础上,要求制定事件报告和处置管理制度,处过程中要分析原因,收集证据记录过程,总结经验教训。
三级:在二级的基础上,要求不同类重大安全事件采用不同的处理和报告程序。
四级:在三级的基础上,要求建立联合防护和应急机制,处置跨单位的重大安全事件。
二级:要求访谈了解应急预案培训和演练情况核查培训记录是否明确对象、内容和效果,核查演练记录,时间、内容和结果。
三级:在二级的基础上,核查应急预案框架涵盖的内容是否全面,核查应急预案修订记录,查验修订时间和内容等
四级:在三级的基础上, 访谈了解建立了跨单位 的应急预案及演练情况,7核查跨单位的应急预案和演练记录,查验预案内容、演练时间、演练内容结果。
联系客服