@局外人
1年前 提问
1个回答

如何理解等级保护三同步

X0_0X
1年前

等级保护三同步就是指同步规划、同步建设、同步使用。

  • 同步规划:同步分析安全需求,即在关键信息基础设施建设或改建之初,从本组织的职能或业务的角度分析对关键信息基础设施实施网络安全的需求,形成安全需求说明书。同步定义安全要求,即基于网络安全需求说明书,定义关键信息基础设施的网络安全要求,形成网络安全功能和性能说明书。确保安全需求说明书得到网络安全责任部门签字认可。

  • 同步建设:同步设计安全体系结构,即基于已经定义的关键信息基础设施的网络安全要求,设计网络安全体系结构,明确系统内的各类信息安全组件,说明各组件提供的信息安全服务及可能的实现机制。同步开展详细的安全设计,即根据安全保护等级选择基本安全措施,细化安全机制在关键信息基础设施中的具体实现。在建设或改建过程中,按照GB/T 22239工程实施相应等级的要求,同步建设符合其等级要求的网络安全设施,包括自行软件开发。建设完成后,组织对关键信息基础设施进行验收并将网络安全作为验收的重要内容。

  • 同步使用:同步运行安全设施,确保安全设施保持启用状态。按照GB/T 22239安全运维管理相应等级的要求进行安全运维。关键信息基础设施及其运行环境发生明显变化时,评估其风险,及时升级安全设施并实施变更管理。对安全设施同步实施配置管理,包括制定配置管理计划,制定、记录、维护基线配置,保留基线配置的历史版本,便于必要时恢复历史配置。