@秒灵儿
1年前 提问
1个回答
信息安全等级保护制度应该遵循什么原则
delay
1年前
信息安全等级保护制度应该遵循以下三大原则:
自主保护,全面覆盖原则:按照“谁主管谁负责,谁运行谁负责”的原则,各单位信息化主管部门和相关业务部门、信息系统运行维护部门要按照国家和公司相关标准规范,对其管理和运行的信息系统依照其不同安全等级,自主组织信息系统安全等级保护建设工作。信息安全等级保护建设应覆盖公司总部、区域(省)电力公司和公司直属单位及其下属地市级单位。
统一规范,同步建设原则:信息安全等级保护建设必须按照GB/T22239—2008《信息安全技术信息安全等级保护基本要求》、《国家电网公司信息化“SG186”工程安全防护总体方案(试行)》(国家电网信息〔2008〕316号)等信息安全标准规范进行设计和实施,以确保公司信息安全防护建设水平的一致。信息系统安全等级保护工作应与信息系统同步规划、同步建设、同步投入运行。
等级保护实施内容原则:信息安全等级保护实施主要包括以下5方面内容:信息系统定级、符合性评估、制定建设方案、实施建设、等级化测评验收。对已投运的系统开展安全现状等级保护符合性评估、等级化改造实施建设、等级化测评验收。对新上线系统按照电监会与公司要求进行定级、符合性评估、制定建设方案、实施建设、等级化测评验收等工作。