等保测评流程.pdf-道客多多_道客多多docduoduo.com

资源描述

1、信息安全等级保护工作流程 1 目录目录 . 1 一、等级保护流程 2 1.1 基本流程 2 1.2 详细流程说明 2 1.2.1 定级和备案 2 1.2.1.1 定级标准 . 3 1.2.1.2 定级方法 . 4 1.2.1.3 医院定级参考 . 5 1.2.2 信息安全等级保护整改 . 6 1.2.2.1 信息系统安全建设整改总体框架 . 7 1.2.2.2 信息系统安全建设整改工作基本流程 . 8 1.2.2.3 安全管理制度建设 9 1.2.2.4 安全技术措施建设 12 1.2.3 信息安全等级保护测评 .14 1.2.4 公安机关检查 15 1.2.4.1 检查内容

2、 .16 二、医院信息安全等级保护工作建议. 17 信息安全等级保护工作流程 2 一、等级保护流程 1.1 基本流程定级备案信息安全等级保护整改信息安全等级保护测评（测评机构每年）公安机关检查（网监） 1.2 详细流程说明 1.2.1 定级和备案相关国家政策文件关于开展全国重要信息系统安全等级保护定级工作的通知（公安部）相关部门指导文件卫生行业信息安全等级保护工作的指导意见（卫生部）定级及等保指南文件卫办发2011 85 号（卫生部）摘要： 1 、各信息系统主管部门和运营使用单位要按照管理办法和信息

3、系统安全等级保护定级指南，初步确定定级对象的安全保护等级，起草定级报告。说明：由运营使用单位（即医院）起草报告提交网监。 2 、当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。说明：定级由医院自主决定，但是有主管单位的需要由主管部门同意，医院需按照卫生主管部门意见。信息系统安全等级保护定级报告模版在关于开展全国重要信息系

4、统安全等级保护定级工作的通知内。 3 、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载信息系统安全等级保护备案表和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。说明：备案由医院提交备案表给网监。信息系统安全等级保护备案表模版在关于开展全国重要信息系统安全等级保护定级工作的通知内。 4 、三级甲等医院的核心业务信息系统信息系统安全保护等级原则上不低于第三级。说明：此定级标准为卫生部印发卫生

5、行业信息安全等级保护工作的指导意见（卫办发 2011 85 号）文件中第四条明确要求。信息安全等级保护工作流程 3 1.2.1.1 定级标准信息系统定级标准（信息安全等级保护工作的实施意见）：针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级： 1. 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。 2. 第二级为指导保护

6、级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 3. 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。 4. 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和

7、公共利益造成严重损害。 5. 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。定级参考模型：（参考计算机信息系统安全保护等级划分准则（GB17859-1999 ）、信息系统安全等级保护定级指南）被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三

8、级第四级国家安全第三级第四级第五级信息安全等级保护工作流程 4 1.2.1.2 定级方法信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级可以分别确定业务信息安全保护等级和系统服务安全保护等级，并取二者中的较高者为信息系统的安全保护等级。具体定级方法如下图所示：信息安全等级保护工作流程 5 1.2.1.3 医院定级参考医疗卫生信息系统重要的系统通常有如下系统： 1. HIS 系统：Hospital Information System ，医院信息系

9、统。是指利用计算机软硬件技术、网络通信技术等现代化手段，对医院及其所属各部门的人流、物流、财流进行综合管理，对在医疗活动各阶段产生的数据进行采集、储存、处理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。 2. HMIS 系统：Hospital Management Information System ，医院管理信息系统。是支持医院的行政管理与事务处理业务，减轻事务处理人员劳动强度，辅助医院管理，辅助高层领导决策，提高医院工作效率，从而使医

10、院能够以少的投入获得更好的社会效益与经济效益，像财务管理系统、人事管理系统、住院病人管理系统、药品库存管理系统等均属于 HMIS 的范围。 3. CIS 系统：Clinical Information System ，临床信息系统。是支持医院医护人员的临床活动，收集和处理病人的临床医疗信息，丰富和积累临床医学知识，并提供临床咨询、辅助诊疗、辅助临床决策，提高医护人员工作效率和诊疗质量，为病人提供更多、更快、更好的服务，像医嘱处理系统、病人床边系统、重症监护系统、移动输液系统、合理用药监测

11、系统、医生工作站系统、实验室检验信息系统、药物咨询系统等均属于 CIS 范围。 4. LIS 系统： Laboratory Information System ，实验室信息系统。将实验仪器与计算机组成网络，使病人样品登录、实验数据存取、报告审核、打印分发，实验数据统计分析等繁杂的操作过程实现了智能化、自动化和规范化管理。 5. PACS 系统： Picture Archiving and Communication Systems ，影像归档和通信系统。是把日常产生的各种医学影像（包括核磁，CT ，超声，

12、各种 X 光机，各种红外仪、显微仪等设备产生的图像）通过各种接口（模拟，DICOM ，网络）以数字化的方式海量保存起来，当需要的时候在一定的授权下能够很快的调回使用，同时增加一些辅助诊断管理功能。 6. EMR 系统：Electronic Medical Record ，电子病历。是病人在医院诊断治疗全过程的原始记录，它包含有首页、病程记录、检查检验结果、医嘱、手术记录、护理记录等等。医院信息系统定级参考模型：系统名称影响客体侵害程度拟定等级保护级别医院门户网站社会秩序、医院利益

13、一般损害 2 级内部办公系统医院利益严重损害 2 级面向患者服务系统社会秩序严重损害 3 级基础支撑系统公共利益严重损害 3 级注：医院门户网站上无在线挂号系统等公共服务系统加载，暂时可定级为 2 级，后期如加载相关公共服务系统时需考虑将门户网站也纳入安全保护体系中。信息安全等级保护工作流程 6 1.2.2 信息安全等级保护整改相关国家政策文件关于开展信息安全等级保护安全建设整改工作的指导意见（公安部）相关国家指导文件信息系统安全等级保护基本要求：GB/T 22239 2008 （公安部）摘要： 1 、一

14、是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。说明：关于开展信息安全等级保

15、护安全建设整改工作的指导意见根据文件要求，运营使用单位（即医院）需做以下工作：确认信息安全工作的主管领导、责任部门、人员制定人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容制定信息系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容购置相应软、硬件设备加强信息系统的安全防护制定相应的人员培训计划对信息系统的管理使用人员进行培训 2 、要按照 “ 谁运营、谁负责，谁主管、谁负

16、责 ” 的原则，切实加强对信息安全等级保护安全建设整改工作的组织领导，完善工作机制。说明：按照 “谁运营、谁负责，谁主管、谁负责” 的原则执行，那么一旦出现信息安全事件，造成国家、医院利益影响或社会公共事件，则首先追究的是运营使用单位（即医院）和主管领导的责任。 3 、信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算。信息安全等级保护工作流程 7 1.2.2.1 信息系统安全建设整改总体框架基本要求分为

17、基本技术要求和基本管理要求两大类，其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面，管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等，以及物理环境和设施安全保护要求。管理要求主要包括确定安全策略，落实信息安全责任制，建立安全组织机构，加强人员管理、系统建设和运行维护的安全管理。提出了

18、机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求，提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等要求。信息安全等级保护工作流程 8 1.2.2.2 信息系统安全建设整改工作基本流程信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：

19、开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如下图所示：信息安全等级保护工作流程 9 1.2.2.3 安全管理制度建设按照国家有关规定，依据基本要求，参照信息系统安全管理要求等

20、标准规范要求，开展信息系统等级保护安全管理制度建设工作。工作流程如下图所示：信息安全等级保护工作流程 10 1.2.2.3.1 落实管理措施落实管理措施应包含以下管理措施：人员安全管理，系统运维管理（环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、事件处置与应急响应、灾难备份、安全监测、其他安全管理）。人员安全管理人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全

21、技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据基本要求中的 “ 人员安全管理 ” 内容，同时可以参照信息系统安全管理要求等。系统运维管理环境和资产安全管理明确环境（包括主机房、辅机房、办公环境等）安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。明确资产（包括介质、

22、设备、设施、数据和信息等）安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据基本要求中的 “ 系统运维管理 ” 内容，同时可以参照信息系统安全管理要求等。设备和介质安全管理明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据基本要求中的 “ 系统运维管

23、理 ” 内容，同时可以参照信息系统安全管理要求等。日常运行维护明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理，制订相应的管理制度和操作规程并落实执行。具体依据基本要求中的 “ 系统运维管理 ” 内容，同时可以参照信息系统安全管理要求等。集中安全管理第三级（含）以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意

24、代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具体依据基本要求中的 “ 系统运维管理 ” 内容，同时可以参照信息系统等级保护安全设计技术要求和信息系统安全管理要求等。事件处置与应急响应按照国家有关标准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级（含）以上信息系统发生较大、重大、特别

25、重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体依据基本要求中的 “ 系统运维管理 ” 内容，同时可以参照信息安全事件分类分级指南和信息安全事件管理指南等。灾难备份信息安全等级保护工作流程 11 要对第三级（含）以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安

26、全管理制度。具体依据基本要求中的 “ 系统运维管理 ” 内容和信息系统灾难恢复规范。安全监测开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。具体依据基本要求中的 “ 系统运维管理 ” 。其他安全管理对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码算法和密钥的使用进行分

27、级管理。信息安全等级保护工作流程 12 1.2.2.4 安全技术措施建设按照国家有关规定，依据基本要求，参照信息系统通用安全技术要求、信息系统等级保护安全设计技术要求等标准规范要求，开展信息系统安全技术建设整改工作。工作流程如下图所示：信息安全等级保护工作流程 13 1.2.2.4.1 安全技术方案详细设计整体安全技术方案应含以下方面：物理安全设计、通信网络安全设计、区域边界安全设计、主机系统安全设计、应用系统安全设计、备份和恢复安全设计。物理安全设计从安全技术设施和安全技术措施两方面对信

28、息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据基本要求中的 “ 物理安全 ” 内容，同时可以参照信息系统物理安全技术要求等。通信网络安全设计对信息系统所涉及的通信网络，包括骨干网络、城域网络和其他通信网络（租用线路）等进行安全设计，设计内容包括通信过程数据完整

29、性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。具体依据基本要求中 “ 网络安全 ” 内容，同时可以参照网络基础安全技术要求等。区域边界安全设计对信息系统所涉及的区域网络边界进行安全设计，内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范

30、和网络设备自身保护等方面。区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。具体依据基本要求中的 “ 网络安全 ” 内容，同时可以参照信息系统等级保护安全设计技术要求、网络基础安全技术要求等。主机系统安全设计对信息系统涉及到的服务器和工作站进行主机系统安全设计，内容包括操作系统或数据库管理系统的选择、安装和安全配置，主机入侵防范、恶意代码防范、资源使用情况监控等。其中

31、，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依据基本要求中的 “ 主机安全 ” 内容，同时可以参照信息系统等级保护安全设计技术要求、信息系统通用安全技术要求等。应用系统安全设计对信息系统涉及到的应用系统软件（含应用/ 中间件平台）进行安全设计，设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据基本要求中的 “ 应用安全 ” 内容，同时可以参考信息系统等级保

32、护安全设计技术要求、信息系统通用安全技术要求等。备份和恢复安全设计针对信息系统的业务数据安全和系统服务连续性进行安全设计，设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求；针对信息系统服务连续性的安全设计可考虑连续性保证方式（设备冗余、系统级冗余直至远程集群支持）与实现细节，包括相关的基础设施支持、冗余/ 集群机制的选择、硬件设备的功能/ 性能指

33、标以及软硬件的部署形式与参数配置等。具体依据基本要求中 “ 数据安全和备份恢复 ” 内容，同时可以参考信息系统灾难恢复规范等。信息安全等级保护工作流程 14 1.2.3 信息安全等级保护测评相关国家政策文件关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公安部）摘要： 1 、测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动：（一）影响被测评信息系统正常运行，危害被测评信息系统安

34、全；（二）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；（三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；（四）未按规定格式出具等级测评报告；（五）非授权占有、使用等级测评相关资料及数据文件；（六）分包或转包等级测评项目；（七）信息安全产品开发、销售和信息系统安全集成；（八）限定被测评单位购买、使用其指定的信息安全产品；（九）其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。说明：测评机构不得限定被测评单位购买、使用其指定的信息安全产品，关于

35、推动信息安全等级保护测评体系建设和开展等级测评工作的通知附件一- 信息安全等级保护测评工作管理规范第六条。 2 、测评机构应按照公安部统一制订的信息系统安全等级测评报告模版（试行）格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。说明：测评机构收取费用是按照所测评系统的工作量来收取费用的，信息安全等级保护测评工作管理规范。运营使用单位（即医院）可以自主选择获得信息安全等级保护测评资质的测评机构。信息安全等级保护工作流程 15 1.2.4 公安机关检查

36、相关国家政策文件公安机关信息安全等级保护检查工作规范（公安部）摘要： 1 、信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。说明：检查由公安机关公共信息网络安全监察部门负责实施，信息系统第三级等保的运营使用单位信息安全等级保护工作每年检查一次。信息安全等级保护工作流程 16 1.2.4.1 检查内容信息安全设施建设情况和信息安全整

37、改情况： 1 部署和组织开展信息安全建设整改工作。 2 制定信息安全建设规划、信息系统安全建设整改方案。 3 按照国家标准或行业标准建设安全设施，落实安全措施。信息安全管理制度建立和落实情况： 1 建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。 2 建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。 3 建立安全审计管理制度、岗位和人

38、员管理制度。 4 建立技术测评管理制度，信息安全产品采购、使用管理制度。 5 建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。 6 建立教育培训制度，定期开展信息安全知识和技能培训。信息安全产品选择和使用情况： 1 按照管理办法要求的条件选择使用信息安全产品。 2 要求产品研制、生产单位提供相关材料。包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等。 3 采用国外信息安全产品的，经主管部门批准，并请有关单位对产品

39、进行专门技术检测。聘请测评机构开展技术测评工作情况： 1 按照管理办法的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。 2 按照管理办法规定的条件选择技术测评机构。 3 要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。 4 与测评机构签订保密协议。 5 要求测评机构制定技术检测方案。 6 对技术检测过程进行监督，采取了哪些监督措施。 7 出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正。 8 根据技术检测结果，对

40、不符合安全标准要求的，进一步进行安全整改。定期自查情况： 1 定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。 2 经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位进一步进行安全建设整改。信息安全等级保护工作流程 17 二、医院信息安全等级保护工作建议综合第一章所述，结合相关政策文件，我们对医院信息安全等级保护工作的开展做出如下建议： 1. 制定信息系统安全建设整改工作规划，对信

41、息系统安全建设整改工作进行总体部署。明确信息安全工作的主管领导、责任部门，对医院信息安全等级保护工作做出整体规划。 2. 由医院信息安全等级保护工作责任部门开展医院信息安全等级保护工作的前期定级、备案工作，并对信息安全等级保护整改提出整体规划，制作整改方案以及测评方案，确定预算。 3. 医院信息安全等级保护工作责任部门在开展以上工作的同时需结合医院实际情况，进行医院安全管理制度的建设，明确管理责任，制定管理制度。 4. 与四川省获得信息安全等级保护测评资质的测评机构（全省目前共 5 家）联系，进行信息安全等级保护测评的前期准备工作。

展开阅读全文