您好,欢迎来到星星旅游。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页等级保护二级与三级差别

等级保护二级与三级差别

来源:星星旅游


等级保护二级系统与三级系统比较分析报告

2012年4月24号

1

目录

1. 2. 3. 4. 5. 6. 7.

二级系统与三级系统的界定 ............................................................................. 3 二级系统与三级系统要求的防护能力差别 ..................................................... 3 二级系统与三级系统的测评力度差别 ............................................................. 4 二级系统与三级系统的强制测评周期区别 ..................................................... 4 二级系统与三级系统的测评模型差别 ............................................................. 5 二级系统与三级系统的测评指标的差别及问题解决方案(技术为例) ..... 7 二级系统与三级系统定级出现偏差的风险分析 ........................................... 11

2

1. 二级系统与三级系统的界定

《信息系统安全等级保护定级指南》中规定:

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对造成损害。

业务信息安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 对相应客体的侵害程度 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级 2. 二级系统与三级系统要求的防护能力差别

第二级系统应达到的安全保护能力:

应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能。

第三级系统应达到的安全保护能力:

应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

3

3. 二级系统与三级系统的测评力度差别

测评力度 信息系统安全等级 第一级 测评对象在种类和数量上抽样,种类和数量较少 简要 测评对象在种类和数量上抽样,种类和数量较少 简要 测评对象在种类和数量、范围上抽样,种类和数量都较少,范围小 功能测试/性能测试 第二级 测评对象在种类和数量上抽样,种类和数量较多 充分 测评对象在种类和数量上抽样,种类和数量较多 充分 测评对象在种类和数量、范围上抽样,种类和数量都较多,范围大 功能测试/性能测试 第三级 测评对象在数量上抽样,在种类上基本覆盖 较全面 测评对象在数量上抽样,在种类上基本覆盖 较全面 测评对象在数量和范围上抽样,在种类上基本覆盖 功能测试/性能测试,渗透测试 第四级 测评对象在数量上抽样,在种类上全部覆盖 全面 测评对象在数量上抽样,在种类上全部覆盖 全面 测评对象在数量和范围上抽样,在种类上基本覆盖 功能测试/性能测试,渗透测试 访谈 广度 深度 检测 广度 深度 广度 测试 深度 4. 二级系统与三级系统的强制测评周期区别

《信息安全等级保护管理办法》中第十四条规定:

信息系统建设完成后,运营、使用单位或者其主 管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。 第三级信息系统应当每年至少进行一次等级测评。

二级系统不强制要求测评,但是要求定期找测评机构测评或进行系统自测。

4

5. 二级系统与三级系统的测评模型差别

以医疗机构信息系统为例:

二级的信息系统会采用如下的模型进行测评:

5

三级的信息系统会采用如下的模型进行测评:(其中灰色背景的为三级比二级增加的项目)

6

6. 二级系统与三级系统的测评指标的差别及问题解决方案(技术为例)

7

8

9

10

7. 二级系统与三级系统定级出现偏差的风险分析

正因为以上二级系统和三级系统在定级要素、系统防护能力要求、系统测评的周期及力度、测评指标的诸多不同,导致了系统定级的准确性尤为重要。 定级偏高(二级系统误定级为三级),则测评要求的安全防护等级就会提高,测评将按照高级别的要求,导致测评周期缩短,可能引起测评和整改费用增加,但是系统的安全性也得到了很大的提高。

定级偏低(三级系统误定级为二级),测评将按照低等级的要求来进行,系统的安全性不能得到充分检测,存在的安全漏洞不能及时的发现,为系统留下重大安全隐患。

11

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- stra.cn 版权所有 赣ICP备2024042791号-4

违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务