Los requisitos para la construcción de la protección de seguridad de tercer nivel son los siguientes:
Según la Norma Nacional “Requisitos Básicos para la Protección del Nivel de Seguridad de Sistemas de Información” de la República Popular de China GB/T 22239-2008
7. Requisitos básicos para el tercer nivel
7.1.1.1 Selección de ubicación física (G3)
Este requisito incluye:
a) La sala de computadoras y el espacio de oficinas deben seleccionarse en edificios con capacidad a prueba de terremotos, viento y lluvia;
b) El sitio de la sala de computadoras debe evitar estar ubicado en los pisos superiores o sótanos de los edificios, así como en los pisos inferiores o al lado de equipos que utilizan agua.
7.1.1.2 Control de acceso físico (G3)
Este requisito incluye:
a) La entrada y salida de la sala de ordenadores debe estar custodiada por personal dedicado controlar, identificar y registrar el personal de entrada;
b) Los visitantes que necesiten ingresar a la sala de computadoras deben pasar por el proceso de solicitud y aprobación, y su alcance de actividades debe restringirse y monitorearse;
c) La sala de informática debe dividirse en áreas y administrarse. Establecer dispositivos de aislamiento físico entre áreas y áreas, y establecer áreas de transición, como entrega o instalación, frente a áreas importantes;
d. ) Las áreas importantes deben estar equipadas con sistemas electrónicos de control de acceso para controlar, identificar y registrar a las personas que ingresan.
Nota: Para conocer más requisitos de construcción, consulte la norma nacional GB/T 22239-2008 de la República Popular China "Requisitos básicos para la protección del nivel de seguridad del sistema de información".
Capacidades de protección de seguridad de tercer nivel: debería poder proteger el sistema bajo una política de seguridad unificada de ataques maliciosos iniciados por grupos organizados externos y fuentes de amenazas con recursos relativamente abundantes, así como desastres naturales más graves. Como daños importantes a los recursos causados por otras amenazas de gravedad considerable, se pueden descubrir vulnerabilidades de seguridad e incidentes de seguridad, y la mayoría de las funciones se pueden restaurar rápidamente después de que el sistema se daña.
Información ampliada:
De acuerdo con el espíritu de las “Pautas de implementación de protección del nivel de seguridad del sistema de información”, se aclaran los siguientes principios básicos:
Principio de protección autónoma : operación del sistema de información, la unidad de usuario y sus departamentos competentes determinarán de forma independiente el nivel de protección de seguridad del sistema de información de acuerdo con las regulaciones y estándares nacionales pertinentes, y organizarán e implementarán la protección de seguridad por su cuenta.
Principio de protección clave: según la importancia y las características comerciales del sistema de información, se pueden lograr diferentes intensidades de protección de seguridad dividiendo los sistemas de información con diferentes niveles de protección de seguridad y concentrando recursos para priorizar la protección de los principales. negocios o activos de información clave.
Principio de construcción sincrónica: cuando se construyen, renuevan o amplían sistemas de información, los planes de seguridad deben planificarse y diseñarse simultáneamente, y una cierta proporción de los fondos debe invertirse en la construcción de instalaciones de seguridad de la información para garantizar que la información la seguridad es compatible con la construcción de informatización.
Principio de ajuste dinámico: Realizar un seguimiento de los cambios en los sistemas de información y ajustar las medidas de protección de seguridad. Por cambios en el tipo de aplicación, alcance y otras condiciones del sistema de información y otros motivos.
Si es necesario cambiar el nivel de protección de seguridad, el nivel de protección de seguridad del sistema de información se volverá a determinar de acuerdo con los requisitos de las especificaciones de gestión y los estándares técnicos de nivel de protección, y la protección de seguridad se volverá a implementar en función del ajuste del nivel de protección de seguridad del sistema de información.
Si necesitas esperar el servicio de evaluación de garantía, puedes contactarnos vía mensaje privado en segundo plano. LuLu Technology integra las ventajas técnicas de los productos de seguridad en la nube y combina consultoría de garantía de Clase A de alta calidad y recursos de cooperación de evaluación de garantía de Clase A para brindar servicios integrales para proyectos de garantía de Clase A, cubriendo integralmente la clasificación, presentación y rectificación de construcción de la garantía de Clase A. y etapas de evaluación, y pasar eficientemente Garantizar la evaluación e implementar el trabajo de protección del nivel de seguridad de la red.