信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

安全运维管理（MMS）

环境管理

L3-MMS1-01

应制定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。

L3-MMS1-02

应建立机房安全管理制度，对有关物理访问、物理进出和环境安全等方面的管理作出规定。

L3-MMS1-03

应不在重要区域接待来访人员，不随意放置含有敏感信息的纸质文件和移动介质。

资产管理

L3-MMS1-04

应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。

L3-MMS1-05

应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。

L3-MMS1-06

应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

介质管理

L3-MMS1-07

应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期盘点。

L3-MMS1-08

应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的规定和查询等进行登记记录。

设备维护管理

L3-MMS1-09

应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理。

L3-MMS1-10

应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效管理，包括明确维护人员的责任、维修和服务的审批、维护过程的监督控制等。

L3-MMS1-11

信息处理设备应经过审批才能带离机房或办公地点，含有存储介质 设备带出工作环境时其中重要数据应加密。

L3-MMS1-12

含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被恢复重用。

漏洞和风险管理

L3-MMS1-13

应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

L3-MMS1-14

应定期开展安全测评，形成安全测试报告，采取措施应对发现的安全问题。

网络和系统安全管理

L3-MMS1-15

应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限。

L3-MMS1-16

应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制。

L3-MMS1-17

应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。

L3-MMS1-18

应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。

L3-MMS1-19

应详细记录运维操作日志，包括日常巡检工作、运行维护记录，参数的设置和修改等内容。

L3-MMS1-20

应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。

L3-MMS1-21

应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。

L3-MMS1-22

应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据。

L3-MMS1-23

应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。

L3-MMS1-24

应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。