服务介绍

信息安全等级保护的定义

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息系统定义

信息系统( INFORMATION SYSTEM )是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。例如:门户网站、OA系统、短信平台、教务管理系统等等。

为什么要做信息安全等级保护资质

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象；

2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作；

3、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做；

4、落实个人及单位的网络安全保护义务,合理规避风险；

5、投标的要求。

信息安全等级保护建设要求

数据安全

1.数据机密性保护　2.数据完整性保护

应用安全

1.身份认证　2.安全审计　3.剩余信息保护　4.通信完整性和机密性保护　5.控制软件容错　6.严格的访问　7.自动保护功能　8.资源控制

网络安全

1.网络结构安全　2.网络访问控制　3.网络安全审计　4.边界完整性检查　5.网络入侵防范　6.恶意代码防护　7.网络防护设备

主机安全

身份鉴别　2.强制访问控制　3.系统安全审计　4.剩余信息保护　5.入侵防范　6.恶意代码防范　7.资源控制

信息安全等级保护级别划分

信息安全等级保护申请条件

信息安全等级保护申请条件，其中包括:

1、企业成立满足1年；

2、有自己开发或购买的信息系统；

3、外购系统要有使用证明(合同，受权书)；

4、有信息系统运行的环境与条件；

5、有专门的项目经理，技术工程师，运维工程师；

6、有独立的安全职能部门，配备了安全管理人员。

信息安全等级保护适用范围

软件开发、门户网站、电站商平台、银行业、通讯业等提供或应用信息系统的企业都适用。

信息安全等级保护项目周期及有效期

信息安全等级保护项目周期：4-5月

备注

· 每年均需要测评每年年底公安抽查，所以市场一般第一、二季度为接单较多，第三季度测评的较多周期会拉长。证书及测评通知有效期:备案证书长期有效，测评结果通知书为一年有效。

· 证书的有效性在企业或机构所在市等级保护网可查。