信息安全等级合规测评 合规,简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等,是典型的合规性要求。 信息安全合规测评是国家强制要求的,信息系统运营、使用单位或者其主管部门,必须在系统建设、改造完成后,选择具备资质测评机构,依据信息安全合规性要求,对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有强制性和周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,保障信息安全的重要手段。 一、信息安全合规性要求 1、等级保护 等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发 《 关于 信息安全等级保护工 作 的实施意 见 》、《 信息安全等级保护信息安全等级保护管理办法》 开 展 。 2、分级保护 分级保护针 对的是涉 密信息系统,根 据涉 密信息的涉 密等级,涉 密信息系统的重要性,遭 到 破 坏 后对国计民 生 造成的危 害 性,以 及涉 密信息系统必须达 到 的安全保护水 平 划分为 秘 密级、机密级和绝 密级三 个等级。国家保密局专 门对涉 密信息系统如 何 进行分级保护制定了 一系列 的管理办法和技 术 标准,目 前,正 在执行的两 个分级保护的国家保密标准是BMB17《 涉 及国家秘 密的信息系统分级保护技 术 要求》 和 BMB20《 涉 及国家秘 密的信息系统分级保护管理规范 》。 国家保密科 技 测评中心 是我 国唯 一的涉 密信息系统安全保密测评机构,山 东省 软 件 评测中心 是国家保密科 技 测评中心 在山 东 省 设立 的分中心 。 3、塞班斯法案 针对安然、世通等财务欺诈事件,美国国会出台了《2002 年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出,又被称作《2002 年塞班斯-奥克斯利法案》(简称塞班斯法案),法案对美国《1933 年证券法》、《1934 年证券交易法》做了不少修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。 塞班斯法案成为在美上市企业躲不过去的坎。...
