山东网络安全保护服务管理规范-山东信息网络安全协会.PDF
文本预览下载声明
山东省网络安全保护服务管理规范
山东省信息网络安全协会
2016 年 12 月
目 录
第一章 总则 1
第二章 网络安全服务的等级划分 2
第三章 不同等级的安全服务能力要求 4
第四章 网络安全服务等级评定程序 9
第五章 证书管理 12
山东省网络安全保护服务等级评定现场能力审核检查表 I
第一章 总则
第一条 为规范全省网络安全等级服务管理,保障网络
安全,维护网络空间主权和国家安全、社会公共利益,保护
公民、法人和其他组织的合法权益,促进全省经济社会信息
化健康发展,依据《中华人民共和国网络安全法》和国家网
络安全相关技术标准和规范,特制定本规范。
第二条 网络安全等级服务包括与网络安全等级保护工
作中定级、备案、安全建设整改、等级测评、安全检查五个
基本环节相关的方案咨询、软件开发、系统集成、信息安全
产品采购、安全监测、运行维护、风险评估、等级测评、应
急事件(事故)处置、数据备份与恢复等安全服务工作。
第三条 本规范规定了网络安全服务提供者(以下简称
服务提供者)应具备的安全服务基本能力要求以及认证机构
开展服务资质认证的程序。适用于第三方机构对服务提供者
进行资信和能力评价及服务提供者开展自我评价的依据,可
为政府及有关社会组织购买社会服务和省信息安全主管部
门、行业主管部门安全监督检查工作依据和参照。
第四条 山东省信息网络安全协会依据等级保护管理办
法及技术标准等,制定全省网络安全等级服务规范,组织网
络安全服务机构开展工作,并进行监督、管理。
第五条 全省网络安全等级保护责任单位可参照本规范
及等级保护相关技术标准,购买第三方网络安全服务,并对
1
服务提供者提供的安全服务活动进行现场见证和质量评价。
第六条 服务提供者开展经营和服务活动,必须遵守法
律、行政法规,遵守社会公德、商业道德,诚实信用,履行
网络安全保护义务,接受政府和社会公众的监督,承担社会
责任。
第七条 服务提供者承接建设、运营网络或者通过网络
提供服务,应当依照法律、行政法规的规定和国家标准的强
制性要求,采取技术措施和其他必要措施,保障网络安全、
稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,
维护网络数据的完整性、保密性和可用性。
第八条 山东省信息网络安全协会标准化管理委员会组
建山东省信息安全服务等级评定专家委员会,按照本规范对
在山东省辖区内提供服务的服务提供者的级别评定工作,委
托山东省信息网络安全协会进行能力验证和证书管理。
第二章 网络安全服务的等级划分
第十一条 网络安全等级服务级别的划分。
不同安全保护等级的信息系统需要具有相应等级的网
络安全等级资质的服务提供者提供安全服务保障。服务提供
者的资质等级划分,根据其是否能够满足网络安全等级保护
中对不同级别信息系统的不同安全防护能力来划分。
按照网络等级保护等级划分规则,暂将全省网络安全等
级服务划分为四个等级,由低到高为:一级、二级、三级、
2
四级,其中第一级为最低级,第四级为最高级,分别与网络
安全等级保护中第一级、第二级、第三级、第四级相对应。
第一级服务提供者,可承担信息安全等级保护第一级重
要信息系统及重点互联网网站安全体系建设的规划、设计、
开发、建设、整改、检测、监测、运维、应急处置、灾难恢
复、能力培训等安全服务,并通过服务使重要信息系统和重
点互联网网站达到相应安全等级防护能力要求。
第二级服务提供者,可承担信息安全等级保护第二级及
以下等级重要信息系统及重点互联网网站安全体系建设的
规划、设计、开发、建设、整改、检测、监测、运维、应急
处置、灾难恢复等安全服务,并通过服务使重要信息系统和
重点互联网网站达到相应安全等级防护能力要求;
第三级服务提供者,可承担信息安全等级保护第三级及
以下等级重要信息系统及重点互联网网站安全体系建设的
规划、设计、开发、建设、整改、检测、监测、运维、应急
处置、灾难恢复、能力培训等安全服务,并通
显示全部