哪些信息系统需要做等级保护,信息系统等级保护流程及基本要求说明
学过高项,即高级信息系统项目管理师的同学,应该知道书里有个信息系统安全等级保护。
这个东西有什么作用呢?在政府项目招标时,里面都会说明将要建设的系统的安全保护等级是几级。投保人需要按照等级要求来进行建设。
如,招标文件中一般会有这么一段话:
“本信息系统的安全保护等级为第二级,中标人需按照二级等级保护的标准和规范进行系统的规划、设计和开发,并在系统终验前完成等级保护测评工作,取得《信息系统安全等级测评报告》,通过等级测评。”
那么,让我们来学习一下,信息系统的安全保护等级怎么划分:
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
一般政府项目的定级都定在二级和三级的样子。所以建设项目,需要按照二级、三级等级保护的标准和规范来进行规划和设计。并在系统最终验收前完成等级保护测评工作,取得《信息系统安全等级测评报告》,俗称等保测评,由第三方机构进行测评,并出报告。在公安机关进行等保系统备案,备案通过,会发一个备案证明。
