根据《GB17859—1999计算机信息系统安全保护等级划分准则》颁布的定级要素,等级保护划分五个等级,分别是用户自主保护级(第一级)、系统审计保护级(第二级)、安全标记保护级(第三级)、结构化保护级(第四级)、访问验证保护级(第五级)
定级级别
等保二级,是指等级保护对象受到破坏,对公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或对社会秩序、公共利益造成一般损害的情况下做出的响应和处置。
在安全保护能力上,等保二级应达到“能够防护系统免受外部小型组织的、拥有少量资源的威胁源发起恶意攻击,一般自然灾害、以及其他相当危害程度威胁所造成的重要资源损害,在系统遭受损害后,能在一段时间内恢复部分功能”的要求。
在《信息安全等级保护管理办法》公通字[2007]43号中,对于系统测评时间有明确规定,二级信息系统未明确测评时间,三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次,五级信息系统虽有要求但在实际工作中几乎很难遇到。
一起学习一下五级信息系统具体的要求:
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
解读:信息系统建设完后,信息系统所在单位的主管部门或者公安部指定的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展测评。三级信息系统每年测评一次,四级信息系统每半年测评一次,五级虽有要求但是日常工作中几乎是没有。
可以看到,《信息安全等级保护管理办法》中对三级系统的要求是非常明确的,即:每年至少完成一次测评(Zui低要求);二级系统没有强制要求测评次数,但是给出的是:建议每年做一次测评。(一般是两年一次)