信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
安全建设管理CMS
定级和备案
L3-CMS-01
应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由
1 核查定级文档是否明确测评系统的安全保护等级
2 核查是否给出了定级方法和理由
具有明确描述定级方法理由和最终定级结果的定级报告书
L3-CMS-02
应组织相关部门和有关技术专家对定级结果的合理性和正确性进行论证和审定
1 核查是否对测评系统相关部门或有关专家对定级结果进行了论证和审定
2 核查是否有定级结果的评审和论证记录文件
具有相关专家对定级结果论证意见
L3-CMS-03
应保证定级结果经过相关部门批准
1 核查是否获得了相关部门的批准
2 核查是否有定级结果的审批文件
具有主管部门审批意见或本单位相关部门的审批意见
L3-CMS-04
应将备案材料报主管部门和相应公安机关备案
1 核查是否向主管部门备案
2 核查是否有备案证明证书
具有主管部门和公安机关的备案证明
安全方案设计
L3-CMS-05
应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施
1 核查是否根据系统等级选择相应的安全保护措施
2 核查是否根据风险分析的结果补充安全措施
3 核查设计类文档是否根据系统等级或风险分析结果采取相应的安全保护措施
安全设计文档有明确描述系统安全保护等级,并在相关章节中描述了安全实施是依据系统等级和其特殊安全需求进行选择。
L3-CMS-06
应根据保护对象的安全保护等级及其