信息安全等级保护测评中应关注的几项问题.doc

《信息安全等级保护测评中应关注的几项问题.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、信息安全等级保护测评中应关注的几项问题保障信息安全已成为当前信息化发展中迫切需要解决的重大问题，信息系统安全等级保护的落实和实施势在必行。山东省软件评测中心依据信息安全等级保护制度的相关要求，列举一下等级保护测评中应注意的问题，以供参考。信息系统安全等级保护的核心是对信息系统分等级和按标准进行建设、管理和监督。要突出重点、分级负责、分类指导、分步实施，按照谁主管谁负责、谁运营谁负责、谁使用谁负责的要求，有效落实等级保护责任和措施。1.科学定级，严格备案。信息系统的运营、使用单位必须按照等级保护的管理规范和技术

2、标准，确定其信息系统的安全保护等级。对重要信息系统，其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统，以及跨地域的信息系统应按要求向管辖公安机关备案。2.建设整改，落实措施。对已有的信息系统，其运营、使用单位要根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统，应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。3.自查自纠，落实要求。信息系统

3、的运营、使用单位及其主管部门要按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统，定期进行安全状况检测评估，及时消除安全隐患和漏洞，发现问题及时整改，不断加强信息安全等级保护能力。4.监督检查，完善保护。公安机关要按照等级保护的管理规范和技术标准的要求，重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的，要通知相关部门限期整改，确保信息安全等级保护的完善实施。在实施过程中，信息系统的运营、使用单位要谨防测评风险。尤其是金融系统要加强风险管控，严防测评过程

4、中突发事故和泄密事件的发生。各级金融企业、单位要按照中国人民银行发布的有关标准要求，严格选择符合资质的测评机构和测评人员，同时要加强等级测评的资源管理和过程管理，做好测评设备和过程的隔离和封闭，确保测评过程在安全可控的前提下规范化实施。对等级测评中发现的问题，要及时采取防范措施加以防控或缓释，并进一步制定和落实相应的整改方案，使信息系统的安全等级保护得以有效落实。