有关等保测评的一些常识整理v1
A,S,G?
A:业务信息安全
S:系统服务安全
G:通用指标安全
等保的5个步骤
定级,备案,安全建设整改,等级测评,监督检查
(注意,这里整改和测评的顺序可以灵活调整顺序,无固定要求)
通用安全要求——10个,物理环境检测——知道有几个测评项,每个测评项有几个要点,分别是什么????
技术层面:安全物理环境(10),安全通信网络(3),安全区域边界(6),安全计算环境(11),安全管理中心(4)
管理层面:安全管理制度(4),安全管理机构(5),安全管理人员(4),安全建设管理(10),安全运维管理(14)
不同信息安全保护等级,测试频率是什么样的?
二级,几年几测 建议两年一测
三级,几年几测 要求每年一测
怎么定级的——定级有哪几级?
==5级==
第一级(自主保护级) 第二级(指导保护级) 第三级(监督保护级)
第四级(强制保护级) 第五级(专控保护级)
信息安全保护等级>>>>二级: 建议两年测评一次
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,
或者对社会秩序和公共利益造成损害,但不损害国家安全。
信息安全保护等级>>>>三级: 要求每年测评一次
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全
造成损害。
优良中差是什么的?
优良中差是测评结论里面的。(在报告编制环节里面的形成测评结论,测评结论分为四个等级)
0-70(不包含70):差 存在高危风险或者综合评分70以下
70-80(包含70):中 无高危风险
80-90(包含80):良 无高危风险
90-100(包含90):优 无高危风险
高、中、低是什么环节里面的?
在报告编制环节里的整体测评里面,安全风险等级分为三个,分别是:高危,中危,低危。
怎么定义高危,中危,低危的
详情参考《网络安全等级保护测评高风险判定指引》
备案的流程
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定
注释:素材内容来源于网络,若有侵权,请联系删除。