级别 | 名称 | 测评周期 | 适用系统 |
---|---|---|---|
第一级 | 自主保护级 | 不需要 | 一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。 |
第二级 | 指导保护级 | 建议两年一次 | 一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 |
第三级 | 监督保护级 | 必须每年一次 | 一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。 |
第四级 | 强制保护级 | 必须每年一次 | 一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。 |
第五级 | 专控保护级 | 超出等保范畴 | 一般适用于国家重要领域、重要部门中的极端重要系统。 |
等级保护2.0 信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 |
协助定级、推荐测评机构,协助完成专家评审工作
协助完成备案相关材料,并提供备案指引服务
提供技术方案建议书,辅助部署相关安全产品,协助整改
推荐测评服务/对接客户指定测评机构,协助客户完成测评
客户向当地公安网监提交测评报告完成检查,持续提供服务
项目提交结案后,提供运维安全技术支持与安全问题咨询
项目 | 内容说明 | 安全产品 | 二级套餐 | 三级套餐 |
---|---|---|---|---|
安全通信网络 | 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 | 云防火墙 | √ | √ |
安全区域边界 | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 | DDoS高防 | ※ | √ |
安全区域边界 | 应具有提供访问控制、边界防护、入侵防范等安全机制 | Web应用防火墙 | √ | √ |
安全区域边界 | 应能对各类安全事件和新型攻击进行分析、识别、报警 | 云安全中心 | √ | √ |
安全计算环境 | 应对用户进行身份鉴别、访问控制、运维审计 | 堡垒机 | √ | √ |
安全计算环境 | 应启用安全审计功能,数据进行安全审计 | 数据库审计 | √ | √ |
安全计算环境 | 应满足数据完整性和数据保密性的要求 | SSL证书 | √ | √ |
安全计算环境 | 应能发现已知漏洞,并在经过充分测试评估后,及时修补漏洞 | 渗透测试 | √ | √ |
安全计算环境 | 支持双因子/双向认证,支持国密/国际算法,支持身份/权限认证 | 安全管家 | ※ | √ |
安全管理中心 | 应对系统资源和运行进行配置、控制和管理。包括用户身份、系统资源配置、系统加载和启动、异常处理、数据和设备的备份与恢复等 | PCA服务 | ※ | √ |