等级保护二级系统与三级系统比较分析
上传日期:2023-08-07 14:50
文章来源:
1.二级系统与三级系统的界定
《信息系统安全等级保护定级指南》中规定:
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
2.二级系统与三级系统要求的防护能力差别
第二级系统应达到的安全保护能力:
应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段事件内恢复部分功能。
第三级系统应达到的安全保护能力:
应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
3.二级系统与三级系统的强制测评周期区别
《信息安全等级保护管理办法》中第十四条规定:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。
二级系统不强制要求测评,但是要求定期找测评机构测评或进行系统自测。
4.二级系统与三级系统定级出现偏差的风险分析
正因为以上二级系统和三级系统在定级要素、系统防护能力要求、系统测评的周期及力度、测评指标的诸多不同,导致了系统定级的准确性尤为重要。定级偏高(二级系统误定级为三级),则测评要求的安全防护等级就会提高,测评将按照高级别的要求,导致测评周期缩短,可能引起测评和整改费用增加,但是系统的安全性也得到了很大的提高。定级偏低(三级系统误定级为二级),测评将按照低等级的要求来进行,系统的安全性不能得到充分检测,存在的安全漏洞不能及时的发现,为系统留下重大安全隐患。
免责声明:网站内涉及到图片及相关文字如涉及到侵权,请及时联系我们处理