实施信息安全等级保护,首先要根据信息的等级、涉密信息系统的重要程度、被破坏后对国计民生的危害程度以及信息系统必须达到的安全保护等级来确定信息安全保护等级。
其中,三级信息安全保护能力应能在统一的安全策略下,保护系统免受来自外部有组织团体的恶意攻击、资源丰富的威胁源、严重的自然灾害以及其他危害程度相当的威胁造成的主要资源损害,发现安全漏洞和安全事件,在系统受损后快速恢复大部分功能。
三级保险要求相关如下:
评估周期的要求
《安全等级保护管理办法》(工通字[2007]43号)要求,三级信息系统每年至少分级一次,四级信息系统每半年至少分级一次,五级信息系统根据特殊安全要求分级。“也就是说,三级系统必须每年评估一次。
物理位置的选择(G3)
这一要求包括:
a)机房和办公场所应选择在具有防震、防风、防雨能力的建筑内;
b)机房选址应避免在建筑物的高层或地下室,较低层或用水设备的隔壁。
物理访问控制(G3)
这一要求包括:
a)机房的出入口应由专人把守,对进入的人员进行控制、标识和记录;
b)需要进入机房的访客应办理申请和审批手续,并对其活动进行限制和监控;
c)管理机房划分,区域之间设置物理隔离装置,重要区域前设置交付或安装等过渡区域;
d)重要区域应配备电子门禁系统,以控制、识别和记录进入的人员。
更多构造要求请参考中华人民共和国国家标准GB/T 22239-2008《信息系统安全等级保护基本要求》。