信息系统等级保护测评指标(二级与三级)

等级保护二级系统与三级系统比较分析报告2012年4月24号目录1.二级系统与三级系统的界定 (3)2.二级系统与三级系统要求的防护能力差别 (3)3.二级系统与三级系统的测评力度差别 (4)4.二级系统与三级系统的强制测评周期区别 (4)5.二级系统与三级系统的测评模型差别 (5)6.二级系统与三级系统的测评指标的差别及问题解决方案（技术为例） (7)7.二级系统与三级系统定级出现偏差的风险分析 (11)1.二级系统与三级系统的界定《信息系统安全等级保护定级指南》中规定：第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

2.二级系统与三级系统要求的防护能力差别第二级系统应达到的安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段事件内恢复部分功能。

第三级系统应达到的安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

4.二级系统与三级系统的强制测评周期区别《信息安全等级保护管理办法》中第十四条规定：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。

第三级信息系统应当每年至少进行一次等级测评。

二级系统不强制要求测评，但是要求定期找测评机构测评或进行系统自测。

信息安全等级保护二级与三级的区别
信息安全等级保护二级与三级的区别
1、定级规定不同
便是测评定级规定不同，二级对行为主体对象的干扰和危害小于三级。

此外，二级保护测评当定级对象受损时，不会对国防安全造成危害。

而等保三级定级对象的破坏可能会对国防安全造成危害。

2.可用场景不同
三级信息和数据信息覆盖范围更广，跨度也更高：
二级信息系统适用于市级以上公司、事业单位的一般信息系统、小型局域网、不涉及秘密和敏感信息的协作办公系统。

就公司而言，一般网站评审填写公安局备案信息时，可参照社区论坛、新浪微博、博客填写二级；所有其他类型的网站都可以填写三级。

三级信息系统适用于地市以上公司、机关、事业单位的内部关键信息系统、跨地区或者全国各地连接的网络经营性的系统等。

3、级别测评抗压强度不同
级别测评抗压强度测评深度和深度的叙述：测评深度越大，类别越大，包括测评对象越大，测评具体资本投入水平越高。

测评越深越重，越必须在关键点上进行，测评具体资本投入水平也越高。

4、级别测评抗压强度
就高度而言，二级测评不需要进行实验认证，而三级是进行实验认证，而就检测类别而言，三级测评对象越来越多，越来越全面，而二级只进行多类型取样测评。

等保二级测评每2年进行一次，等保三级测评，是每年进行一次。

管理大概80，外网大概40，服务器数外网网络边界进行访问控制，基本的终端数量：内网大概80，外网大概40，服务器数量：11网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS 、EMR、物资资产财务、CA认证、医保数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件终端安全管理产品：没有分支机构远程连接：有2个分门诊，使用Radmin 、飞秋、远程桌面等局域网内部远程工具终端使用操作系统：WinXP、win8、win sever 2003、win sever 2008操作系统补丁更新：服务器与内网终端没有更新过终端杀毒软件：服务器、内网终端安装华军软件及功能：1)外网防火墙(对外网网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙利旧，需确认原有网神防火墙是否满足需求)2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)3)终端企业版杀毒软件(服务器及终端主机的防病毒统一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安全进行防护，后期可根据需求增加和调整功能模块) 5)上网行为管理设备(对外网终端的上网行为进行监测，必要时进行管控)后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处2)防病毒网关(多功能安全网关)：网络边界处3)入侵检测设备(IDS)：内网核心交换机处4)堡垒主机(运维网关、安全管理平台)：核心交换机处5)网闸(信息交换与隔离系统)：内外网边界处6)数据库审计(综合审计类产品)：新：服务器与内网终端没有更新处5)网闸(信息交换系统运维管理。

等级保护简介（等保⼆级与等保三级的区别）等级保护简介信息系统的安全保护等级分为以下五级，⼀⾄五级等级逐级增⾼：第⼀级，信息系统受到破坏后，会对公民、法⼈和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

⼩企业的官⽹，规模较⼩的学校，乡镇级别的对外门户等。

第⼆级，信息系统受到破坏后，会对公民、法⼈和其他组织的合法权益产⽣严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏指导。

⼀些中型的企业门户,⼀些提供⽹上服务的平台,尤其是涉及到个⼈信息认证的平台，⼀旦发⽣问题，都是万级或更⾼的个⼈信息泄露。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏监督、检查。

适⽤于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及⼯作秘密、商业秘密、敏感信息的办公系统和管理系统。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏强制监督、检查。

适⽤于国家重要领域、重要部门中的特别重要系统以及核⼼系统。

例如电⼒、电信、⼴电、铁路、民航、银⾏、税务等重要、部门的⽣产、调度、指挥等涉及国家安全、国计民⽣的核⼼系统。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护⼯作进⾏专门监督、检查。

国家的机密部门了，⼀般的企业不会⽤到的。

等保⼆级和等保三级的区别应⽤场景不⼀样 三级信息系统适⽤于地级市以上的国家机关、企业、事业单位的内部重要信息系统防护能⼒不⼀样 第⼆级安全保护能⼒需达到: 能够防护系统免受外来⼩型组织的、拥有少量资源的威胁源发起的恶意攻击、⼀般的⾃然灾难及其他的相应程度的威胁做造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在遭受攻击损害后，具备在⼀段时间内恢复部分功能。

信息系统等级保护测评指标二级与三级信息系统等级保护测评（以下简称测评）是指根据《信息安全等级保护管理规定》（以下简称《规定》）和相关标准，对信息系统进行等级划定和安全保护能力评估的工作。

根据《规定》，测评共分为一级、二级、三级三个等级。

本文旨在详细介绍信息系统等级保护测评指标二级和三级。

二级测评是基于二级信息系统安全保护要求进行的评估，主要包括以下几个方面的指标：1.信息系统安全管理制度。

评估组织是否建立完善的信息安全管理制度，包括内部安全管理制度和外部安全管理制度。

2.安全组织机构和责任制。

评估组织是否建立了安全组织机构，明确了各部门和个人的安全责任，以及相应的安全管理人员。

3.信息系统安全技术保护措施。

评估组织是否采取了相应的信息系统安全技术保护措施，包括网络安全、主机安全、应用系统安全、数据安全等。

4.信息系统安全事件处理能力。

评估组织是否建立了完善的信息系统安全事件处理机制，包括事件监测、事件响应、事件处置等能力。

5.信息系统安全管理运行。

评估组织信息系统安全管理运行是否规范，包括安全审计、安全评估、安全检查、安全培训等。

三级测评是基于三级信息系统安全保护要求进行的评估，主要包括以下几个方面的指标：1.信息系统安全管理制度和安全保密管理制度。

评估组织信息系统和保密工作是否建立完善的安全管理制度，并且符合《规定》的要求。

2.安全组织机构和责任制。

评估组织是否建立了健全的安全组织机构和责任制，明确了各部门和个人的安全责任。

3.信息系统安全技术保护措施和安全事件处理能力。

评估组织是否建立了全面的信息系统安全技术保护措施，并且具备强大的安全事件处理能力。

4.信息系统安全管理运行。

评估组织信息系统安全管理运行是否规范，包括安全审计、安全评估、安全检查、安全培训等。

5.信息系统等级保护工作。

评估组织是否按照等级保护要求，对信息系统进行了安全保护，包括等级划定、安全认证、安全监督等。

总体来说，二级和三级测评主要关注的是信息系统安全管理制度、安全组织机构和责任制、安全技术保护措施、安全事件处理能力和信息系统管理运行等方面的能力和措施是否健全和有效。