信息系统安全等级保护

为什么需要做信息系统安全等级保护？

很多政企单位不清楚自己是否需要做信息安全等级保护，今天我们来告诉您哪些行业需要进行等级保护测评？

• 一类是政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等；
• 二类是金融行业：金融监管机构、各大银行、证券、保险公司等；
• 三类是电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商；
• 四类是能源行业：电力公司、石油公司、烟草公司等；
• 五类是企业单位：大中型企业、央企、上市公司等；其它有信息系统定级需求的行业与单位。

信息安全风险评估测评周期的要求：

信息安全等级保护管理办法（公通字［2007］43号）中要求："第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

等保工作流程是什么？

• 系统定级：系统检测；自主定级；新系统建设同时同步确定等级；
• 等级评审：专家评审；定级报告；市级党政机关到市信息办备案，区县党政机关到区县信息办备案；
• 定级备案：涉密系统报市和区县国家保密工作部门、其他到公安机关办理备案手续、受理单位备案审核；
• 评估和整改建设：评估和现状检测（可请评估或检测机构）；制定整改方案；开展安全建设或改建，建立基础安全设施以及等级保护管理制度；
• 等级测评：开展等级测评；三级每年至少一次，四级至少每半年一次；