其中三级信息系统应当每年至少进行一次等级测评,四级信息系统应当每半年至少进行一次等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。
根据《信息安全等级保护管理办法》第十五条,已运营的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
下面列出对不同等级信息系统在测评实施时的不同强度要求
一级:满足GB/T22239-2008中的一级要求。
二级:满足GB/T22239-2008中的二级要求,针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等。
三级:满足GB/T22239-2008中的三级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。
四级:满足GB/T22239-2008中的四级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击。输出/产品:技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件。
