安机关信息安全等级保护检查工作规范(精选9篇)
安机关信息安全等级保护检查工作规范 篇1
安机关信息安全等级保护检查工作规范
(一)开展信息系统安全等级测评,为信息系统安全提供保障。选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
(四)通过组织开展信息安全教育培训。一是解决安全问题,抵御攻击破坏,减少安全事故,提高安全防范水平,推动网安基础工作,提高我局信息安全保障水平。二是加强学习,加大宣传力度,不断创新工作思路和方法,充分调动多方面工作的积极性,共同做好等级保护工作。
安机关信息安全等级保护检查工作规范 篇2
第一, 利用基础信息网络和重要信息系统的违法犯罪活动迅速上升。
不法分子利用一些安全漏洞, 使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪, 对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。
第二, 基础信息网络和重要信息系统存在安全隐患。
由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口, 在操作系统、专用芯片和大型应用软件等方面不能自主可控, 给我国的信息安全带来了深层的技术隐患。
第三, 我国的信息安全保障工作基础薄弱。
信息安全意识和安全防范能力差, 信息系统安全建设、监管缺乏依据和标准, 安全保护措施和安全制度不完善, 监管措施不到位。1994年《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令) 规定, “计算机信息系统实行安全等级保护, 安全等级的划分标准和安全等级保护的具体办法, 由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 明确指出“实行信息安全等级保护”, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度, 制定信息安全等级保护的管理办法和技术指南”。实行信息安全等级保护是国际上通行的做法开展信息安全等级保护工作应建立安全保护机制, 安全保护机制包括:信息安全效能评估、信息安全保障工作评价机制、印记响应机制、安全响应技术体系、安全监测预警机制等。
二建立信息网络和重要信息系统安全保护机制
本人就从事信息安全等级保护工作以来, 浅谈信息系统在开展等级保护工作建立安全保护机制应从以下几个方面开展。
(一) 积极组织部署等级保护工作
1.专门成立等级保护协调领导机构成立由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组, 确保系统高效运行、理顺信息安全管理、规范信息化安全等级建设。
2.明确等级保护责任部门和工作岗位开会、下文明确等级保护责任部门, 做到分工明确, 责任具体到人。
3.贯彻落实等级保护各项工作文件或方案等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案, 制定出《网络与信息安全事件应急预案》、《机房管理制度》等一系列规章制度, 落实等级保护工作。
4.召开工作动员会议, 组织人员培训, 专门部署等级保护工作每季度召开一次工作动员会议, 定期、不定期对技术人员进行培训, 并开展考核。技术人员认真学习贯彻有关文件精神, 把信息安全等级保护工作提升到重要位置, 常抓不懈。
5.要求主要领导认真听取等级保护工作汇报并做出重要指示主要领导对等级保护工作给与批示, 要求认真做好有关工作。指示责任部门做好自检、自查, 精心准备, 迎接公安机关专项检查。
(二) 认真落实信息安全责任制
1.成立信息安全职能部门单位需成立信息系统安全职能部门, 负责信息系统络建设, 信息安全, 日常运行管理。
2.制定信息安全责任追究制度制定相应信息安全责任追究制度, 定岗到人, 明确责任分工, 把信息安全责任事故降低到最低。
(三) 积极推进信息安全制度建设
1.加强人员安全管理制度建设各单位需建立人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度, 对新进人员进行培训, 加强人员安全管理, 不定期开展考核。
2.严格执行机房安全管理制度各单位需制定出《机房管理制度》, 加强机房进出人员管理和日常监控制度, 严格实施机房安全管理条例, 做好防火防盗, 保证机房安全。
3.建立系统建设管理制度各单位需制订产品采购、工程实施、验收交付、服务外包等系统建设管理制度, 通过公开招标, 择优选用, 提高系统建设的质量。
(四) 大力加强信息系统运维
1.开展日常信息安全监测和预警各单位需建立日常信息安全监测和预警机制, 提高处置网络与信息安全突发公共能力事件, 加强网络信息安全保障工作, 形成科学、有效、反应迅速的应急工作机制, 确保重要计算机信息系统的实体安全、运行安全和数据安全, 最大限度地减轻网站网络与信息安全突发公共事件的危害。
2.建立安全事件报告和响应处理程序各单位需建立健全分级负责的应急管理体制, 完善日常安全管理责任制。相关部门各司其职, 做好日常管理和应急处置工作。设立安全事件报告和相应处理程序, 根据安全事件分类和分级, 进行不同的上报程序, 开展不同的响应处理。
3.制定应急处置预案, 定期演练并不断完善制定安全应急预案, 根据预警信息, 启动相应应急程序, 加强值班值守工作, 做好应急处理各项准备工作。定期演练预警方案, 不断完善预警方案可行性、可操作性。
(五) 有效推进信息系统等级测评和安全建设整改工作
1.制定等级测评工作计划认真制定等级测评工作计划表, 按照工作计划表, 有条不紊的开展等级测评。
2.制定安全建设整改工作计划制定安全建设整改工作计划, 根据自查结果, 对发现问题进行安全建设整改。编制整改方案, 限期完成整改计划。
3.保证等级测评工作经费优先保证等级测评工作经费的划拨、使用。
4.落实安全建设整改工作经费保障积极落实安全建设整改工作经费, 协调财政部门保障整改经费保障。
三不断完善等级保护自查和整改
1.组织部署等级保护自查工作领导协调小组开专题会议, 部署等级保护自查工作。按照信息安全等级保护工作检查表的要求, 细化各项检查指标, 落实各项指标。
2.等级保护体系建立后, 还需要一个有效的、持续性的验证方法确保信息系统在不断发展的同时保证符合安全等级要求, 并且由管理部门确认信息系统能够投入运行, 这就是信息系统的认证和认可 (C&A) 。这个阶段一般由国家专门的测评认证和认可部门进行。信息安全立法、评测认证体系对等级保护起着至关重要的作用。由于业务的发展和信息技术的更新, 信息系统始终处在变更过程中;由于新的安全漏洞和威胁的不断出现, 信息资产也会出现新的安全脆弱点, 这可能会影响到整个信息系统的安全风险状态和安全等级。所以, 用户需要建立一套动态的安全状况跟踪和监控机制。
四总结
安机关信息安全等级保护检查工作规范 篇3
会上,国家信息安全等级保护协调小组组长、公安部副部长张新枫强调,信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。
同时,张新枫要求,各基础信息网络和重要信息系统在9月底前,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。
安机关信息安全等级保护检查工作规范 篇4
信息系统安全监督和检查管理规定
第一章 总则
第一条 为了进一步规范我单位信息系统安全监督和检查管理工作,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规的规定,结合本单位实际,特制定本规定。
第二条 本规定适用于我单位信息系统安全管理人员和技术人员进行政务信息系统安全监督和检查管理工作,包括合法性检查、依从性检查、审计及监管控制、责任认定等工作。
第三条 信息系统安全监督和检查管理工作的责任部门为单位信息中心。
第二章 合法性检查
第四条 合法性检查的内容包括三个方面:知晓适用的法律、知识产权管理、保护证据记录。
第五条 应了解信息系统应用范畴适用的所有法律法规;对信息系统的设计、操作、使用和管理,以及信息管理方面应规避法律法规禁区,防止出现违法行为;应保护组织机构的数据信息和个人信息隐私;对于详细而准确的法律要求如有需要,应从专业法律人员处获得帮助;
第六条 应尊重知识产权,涉及软件开发的工作人员和承包商应做到符合和遵守相关的法律、法规,应防止发生侵犯版权的行为;如果重要应用系统软件是外包开发的,应注意明确软件版权有关问题,应防止发生因软件升级或改造引起侵犯软件版权的行为;
第七条 数据库记录、审计日志、变更记录、技术维护记录、机房进出记录、关键设备访问记录等为重要记录,应按照法律法规的要求进行保护,防止丢失、毁坏和被篡改;被作为证据的记录,信息的内容和保留的时间应遵守国家法律法规的规定。
第三章 依从性检查
第八条 依从性检查的内容包括三个方面:检查和改进、安全策略依从性检 1
查、技术依从性检查。
第九条 每半年定期进行一次对安全管理活动的各个方面进行检查和评估工作;对照安全策略和管理制度做到自管、自查、自评,并应落实责任制;
第十条 每月定期进行一次检查安全策略的遵守情况,重点检查信息系统的网络、操作系统、数据库系统等系统管理员,保证其在应有责任范围内能够正确地执行所有安全程序,能够正确遵从组织机构制定的安全策略;
第十一条 每年定期进行一次技术依从性检查。对硬件和软件的检验,以及技术依从检查应由有能力的、经过授权的人员来进行;对于技术测试应由有经验的系统工程师手工或使用软件包进行并生成检测结果,经技术专家解释并产生技术报告;根据检查结果,对存在的缺陷进行不断改进;
第四章 审计及监管控制
第十二条 审计及监管控制的内容包括二个方面:审计控制、监管控制。第十三条 审计活动应每年进行一次,由独立的审计机构或人员对安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计;对系统的审计活动进行规划,应制定审计的工作程序和流程、需求和责任,对审计过程进行控制,尽量减小中断业务流程的风险;应加强安全事件发生后的审计;
第十四条 积极配合上级信息安全监管职能部门进行的监督、检查。
第五章 责任认定
第十五条 责任认定的内容包括二个方面:审计结果的责任认定、审计及监管者责任的认定。
第十六条 对于审计及监管过程发现的问题应限期解决,同时要认定技术责任和管理责任,明确责任当事人,认定相关领导者的责任,领导层应就此提出问题解决办法和责任处理意见,以及监督问题解决情况;
第十七条 审计及监管者应按有关监督和检查的规定定期进行审计,逾期未进行审计及监管,使本应审计的问题因未审计而造成信息系统损失,应承担相应的责任;
第六章 附则
第十八条 本规定由单位信息安全领导小组负责解释。
第十九条 违反本规定,发生信息安全事件的,按照事件造成的损失和后果,依据国家有关法律法规进行处罚。
安机关信息安全等级保护检查工作规范 篇5
简
报
第(74)期 国家信息安全等级保护工作协调小组办公室
2009年12月25日
国家信息安全等级保护安全建设指导
专家委员会在京成立
为确保信息安全等级保护安全建设整改工作顺利开展,加强对重要信息系统运营使用单位及其主管部门的政策和技术指导,公安部于近期成立了国家信息安全等级保护安全建设指导专家委员会(以下简称“专家委”),充分发挥社会资源优势,共同推动等级保护安全建设整改工作。
一、聘请了专家委的主任和委员。信息安全等级保护安全建设整改工作是一项长期的系统工程,需要有国家政策和标准的指引、— 1 — 行业主管部门的重视和实施、专家和信息安全企业的服务与支持,为使专家委成员能够覆盖到等级保护安全建设整改工作的各个领域,更好的为重要行业、重要部门提供政策和技术指导,经认真研究及专家所在单位推荐,聘请沈昌祥院士担任专家委主任,聘请方滨兴院士担任专家委副主任,并从科研院所、行业主管部门和信息安全企业聘请了28位具有丰富信息安全等级保护工作经验的同志为专家委委员(专家委名单附后)。
二、明确了专家委的主要职责。一是配合公安部宣传信息安全等级保护安全建设相关政策,根据等级保护安全建设总体部署,指导备案单位研究拟定信息安全等级保护安全建设的贯彻实施意见和建设规划;二是宣传国家信息安全等级保护安全建设相关技术标准,并结合行业特点,研究、指导备案单位等级保护安全建设相关技术标准的行业应用,指导备案单位研究拟定行业技术标准规范;三是参与备案单位信息安全等级保护安全建设整改方案的论证、评审,指导备案单位信息安全等级保护安全建设工作;四是了解掌握并研究探索行业开展信息安全等级保护安全建设工作中安全管理、安全技术和工程建设、工程管理等最佳实践,总结成功经验,树立典型并提出推广意见;五是跟踪国内外信息安全技术最新发展,组织和引导信息安全研究机构和企业开展信息安全等级保护共性技术和关键技术专题研究,推动等级保护技术研究工作,促进信息安全产业发展;六是研究提出完善国家信息安全等级保护政策体系和技术体
— 2 — 系的意见和建议。
三、召开了专家委成立大会。12月22日,公安部网络安全保卫局在北京召开了专家委成立大会。会上,公安部网络安全保卫局赵林副局长高度赞扬了专家在等级保护制度贯彻落实过程中发挥的重要作用,宣布了专家委成员名单和主要职责,顾建国局长为专家发放了聘书,并作了总结讲话。沈院士、方院士、崔书昆委员、周德铭委员、李京春委员等5位专家结合自身的工作情况和切身感受,简要回顾了十几年来等级保护工作的发展历程,充分肯定了等级保护工作取得的显著成效,沈院士还专门概括等级保护工作很重要、很正确、很紧迫。专家们表示,在国家信息安全等级保护工作协调小组的领导下,在公安部的具体组织和指导下,各单位、各部门高度重视,坚决贯彻落实等级保护制度要求,等级保护工作取得了令人瞩目的成绩,目前已经基本形成了等级保护制度的政策体系和标准体系,下一阶段,要在等级保护定级备案工作的基础上,充分发挥专家作用,全力配合公安部工作,为重要行业、重要部门开展等级保护安全建设整改工作做好技术支持和服务。
赵林副局长在会上表示,自等级保护工作开展以来,以沈院士为代表的一大批在我国享有盛誉的信息安全专家,以高度的政治责任感和大局意识,以高度负责的态度,以高超精湛的技术素养和丰富的专业知识,勇于探索,扎实工作,无私奉献,团结协作,积极为等级保护制度的制定和实施献计献策,为我国信息安全等级保护政策和标准制定、技术研发、产业发展以及重要信息系统等级保护
— 3 — 定级、测评、安全建设等工作付出了心血,为建立具有我国特色的信息安全等级保护制度发挥了极其重要的作用,为等级保护制度的贯彻落实和工作的深入推进奠定了坚实的基础,为国家信息安全保障事业作出了重要贡献。等级保护安全建设整改工作是当前和今后一个时期等级保护工作的一项主要任务,相信有各位专家的大力支持,有各行各业的共同努力,我国的信息安全等级保护工作目标一定能够实现,我国的信息安全保障水平一定能够再上一个新台阶。
顾建国局长总结了信息安全等级保护工作的开展情况,充分肯定了专家在等级保护工作做出的贡献,并对今后的工作提出了要求。他指出,成立专家委是推进国家信息安全等级保护事业的需要。国家实施信息安全等级保护是一项伟大的、浩大的工程,需要一批实干的、有影响力的、高水平的专家来带领和指导这项事业不断地往前推进。等级保护既是他山之石又有更多的中国特色,是走前人没有走过的路,是一项新的事业,有许多工作需要探索。这次成立由沈院士和方院士领衔的专家委,水平很高,是把等级保护工作不断推向前进的可靠保障。成立专家委是公安部推进信息安全等级保护工作的需要。等级保护工作这是一个历史造成的任务,公安部作为信息安全等级保护工作的牵头部门,近年来投入了很多人力物力,在各位专家、各部门的大力支持下,这项工作取得了初步成效。但这项工作只靠公安部自身的能力是承担不好的,迫切希望各位专家的指导和帮助。各位专家的背景不同,在各自实际工作领域更有发言权和权威性,有利于我们解决各行各业在落实等级保护制度中遇
— 4 — 到的困难和问题,推动等级保护工作不断前进。对于下一步专家的工作,顾局长提出了三点希望:一是希望各位专家要多多参与,多出成效,使得等级保护工作不断推进;二是希望各位专家多提意见,多出主意,建立沟通渠道和机制,推动公安部各项工作的开展;三是希望各位专家加强学习,加强交流,不断掌握新情况,研究新问题,适应新形势,为推进等级保护工作做出更大贡献。
国家信息安全等级保护安全建设指导
主 任:沈昌祥 副主任:方滨兴
委 员:崔书昆 王立福 袁文恭 王
娜 郭全明 张瑞芝 刘祖泷 李建彬 李宏图 闫宏强 周德铭 刘长虹 专家委员会专家名单
海军计算技术研究所
院士
北京邮电大学校长
院士
解放军信息安全测评认证中心研究员 北京大学教授
国家信息安全工程技术研究中心研究员 国家发展和改革委员会高技术司处长 人民银行科技司处长
国家广播电影电视总局安调中心副总工程师 铁道部信息办处长
国家税务总局电子税务管理中心副处长 海关总署科技发展司副处长 工业与信息化部通信保障局副处长 国家审计署信息办主任
国有资产监督管理委员会信息办副主任
王连印
国家质量监督检验检疫总局信息中心副主任 马晓东
公安部科技与信息化局总工程师 王才有
卫生部统计信息中心副主任 蔡
阳
水利部水利信息中心副主任 顾炳中
栗演兵
王继业
罗
凯
朱建平
李京春
王
军
顾
健
陈建民
刘科全
赵呈东
孙
铁
国土资源部信息中心总工程师 民政部信息中心总工程师 国家电网公司信息化工作部 副主任 中国证券监督管理委员会信息中心总工程师 公安部信息安全等级保护评估中心副主任 国家信息技术安全研究中心 总工程师 中国信息安全测评中心总工程师 公安部信息安全产品检测中心副主任 计算机病毒防治产品检验中心副主任 联想网御科技(北京)有限公司总裁 北京启明星辰信息技术有限公司总监 北京神州绿盟科技有限公司 技术顾问
报:国家信息安全等级保护工作协调小组组长。
送:外交部、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、国家民族事务委员会、国家安全部、民政部、司法部、财政部、人力资源和社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、铁道部、水利部、农业部、商务部、文化部、卫生部、中国人民银行、审计署、海关总署、国家新闻出版总署、国家税务总局、国家工商行政管理总局、国家质量监督检验检疫总局、国家广播电影电视总局、中国民用航空总局、国家邮政总局、国家体育总局、国家安全生产监督管理总局、国家统计局、国家林业局、国家食品药品监督管理局、中国气象局、中国地震局、国家信访局、国家粮食局、国家烟草专卖局、国家海洋局、国家测绘局、国家机关事务管理局、国家档案局、国家外国专家局、国务院国有资产监督委员会、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会、国家电力监管委员会、最高人民法院、最高人民检察院、新华通讯社、中国科学院、中国社会科学院、中国工程院办公厅,国务院法制办公室、国务院新闻办公室、中央610办公室秘书局,国家保密局、国家密码管理局。
发:各省、自治区、直辖市公安厅(局)公共信息网络安全监察总队(处)、信息化领导小组办公室,新疆生产建设兵团公安局公共信息网络安全监察处、信息化领导小组办公室。
(共印1000份,存档5份)
审批:赵
林
核稿:郭启全
安机关信息安全等级保护检查工作规范 篇6
为进一步提高我市信息安全的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,维护国家安全和社会稳定,保障公共利益,促进信息化建设,根据公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于印发<信息安全等级保护办法>(试行)的通知》(公通字2006[7]号)的要求,计划用三年左右的时间在我市实施信息安全等级保护制度。
一、指导思想
以“三个代表”重要思想为指导,以党的十六大、十六届四中、五中全会精神以及国家信息化领导小组《关于加强信息安全保障工作的意见》为指针,深入贯彻执行公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室《关于印发<信息安全等级保护办法>(试行)的通知》的要求,全面推进信息安全等级保护工作,维护全市信息网络安全。
二、工作目标
经过三年努力,全面落实在信息安全规划、建设、评估、运行、维护等各个环节的等级保护制度,信息安全风险评估、信息安全产品认证、信息安全应急协调机制等制度逐步确立,进一步提高我市信息安全的保障能力和防护水平,切实保护我市基础信息网络和重要信息系统的安全。
三、职责分工 公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理。督促、指导信息安全等级保护工作;监督、检查信息系统运营、使用单位的安全保护管理制度和技术措施的落实情况;受理信息系统保护等级的备案;依法查处信息系统运营、使用单位和个人的违法行为。保密部门按照国家有关规定和技术标准,对涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理等工作进行监督、检查、指导。督促、指导涉及国家秘密的信息安全等级保护工作;受理涉及国家秘密的信息系统保护等级的备案;依法查处信息泄密、失密事件。密码管理部门加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。信息化工作领导小组办公室协调信息安全等级保护工作。指导、协调信息安全等级保护工作;组织制定信息安全等级保护工作规范;组织专家审定信息系统的保护等级;为相关单位提供信息安全等级保护的有关咨询;根据预案规定,组织落实信息安全突发公共事件的应急处置工作。
四、方法步骤
(一)准备实施阶段(2006年底前)。一是做好宣传动员工作。《信息安全等级保护办法(试行)》已于今年3月1日起实施,各地各部门要积极协同新闻媒体,集中力量、集中时间,充分运用专题、专栏、评论等形式,组织开展征文、讲座等活动,多角度、全方位地开展国家信息安全等级保护制度的宣传,宁波市计算机信息网络安全协会网站(http:///)开设信息安全等级保护专栏,刊发国家重要法规文件、技术标准和综述性文章;积极组织各地门户网站和各部门政府网站,建立和完善信息安全等级保护制度的宣传网页、专栏;充分发挥协会民间社团作用,组织各部门、各单位的信息系统主管领导和安全员开展信息安全等级保护专业培训,进一步提高对信息安全等级保护工作重要性和紧迫性的认识,掌握等级保护的基本业务知识,积极推动各有关单位做好信息安全等级保护工作的前期准备。二是做好基础调查工作。根据公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》要求,由公安机关负责、指导全市各重要信息系统运营、使用单位基础数据调查工作,信息化工作领导小组办公室做好基础调查的协调工作。各级公安机关必须充分认识开展基础调查的重要性、必要性和紧迫性,制订工作方案,明确调查对象,落实专人负责,按规定做好调查和上报工作,确保调查工作取得实效。三是实施信息安全等级保护试点工作。公安机关要及时汇总全市重要信息系统基础调查情况,在不同领域、不同地区确定6-8家全市信息安全等级保护试点单位。各信息系统主管部门应根据《信息系统安全等级保护定级指南》(试用稿V3.2)(下载网站:http:///)对本单位信息系统进行定级。由信息化工作领导小组办公室组织专家审定信息系统的保护等级。定级在三、四级信息系统的运营、使用单位到公安机关进行备案登记工作。公安机关要督促定级在三、四级的信息系统的运营单位委托信息安全等级保护评测机构对技术状况、管理现状、综合分析进行安全评估,并取得评测报告。在测评基础上,各信息系统运营、使用单位根据安全评估报告,制定安全保护整改策略,按照等级保护规定实施整改。各信息系统运营单位对整改后的系统再次委托信息安全等级保护评测机构进行安全等级保护评测,如存在问题继续整改,直至信息系统安全状况达到标准。
(二)重点实行阶段(2007年底前)。一是建立等级保护工作规范。各部门、各信息系统运营使用单位、信息安全等级保护测试评估机构要认真总结2006年全市信息安全等级保护工作的经验和问题,按照国家和省级信息安全等级保护办法的要求,在基础调查、等级评定、备案归档、安全评测、安全建设等方面建立工作规范,特别是公安机关、保密部门、密码管理部门都要建立工作档案,规范工作制度,建立信息安全等级保护的长效机制。二是在全市重要信息系统中实行等级保护制度。根据《信息安全等级保护办法(试行)》要求,对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统全面实行等级保护制度,按照行业划分,会同重要信息系统的上级主管部门,从定级、备案、评估、整改、检验等环节,建立本行业信息系统等级保护的实施方案,经过一年的建设,使基础信息网络和重要信息系统的核心要害部位得到有效保护,安全状况得到较大改善,扭转目前基本没有保护措施或保护措施不到位的状况。
(三)全面实行阶段(2008年底前)。各单位在重点信息系统实行安全等级保护工作的基础上,在全市范围内全面推行信息安全等级保护制度。由行业主管单位负责对本行业内的信息系统进行全面归类分析,将信息安全等级保护纳入日常工作制度,对已经实施等级保护制度的信息和信息系统的运营、使用单位及其主管部门,要进一步完善信息安全保护措施,对尚未实施等级保护制度的单位,按照等级保护的管理规范和技术标准认真组织落实。2008年底由市信息安全等级保护工作领导小组对此项工作检查验收,表彰奖励先进,通报鞭策后进。
五、工作要求
(一)统一思想,提高认识。近年来,在市委、市政府的高度重视支持和有关部门共同努力下,我市信息安全保障工作取得了很大进展。但是我们要清醒地认识到,全市的信息安全保障工作尚处于起步阶段,信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。为此,各级各部门要把思想统一到维护国家安全和社会稳定上来,要从提高我市信息和信息系统安全建设的整体水平,保障信息安全与信息化建设协调发展,有效控制信息安全建设成本,优化信息安全资源配置,加强信息安全管理的高度,进一步提高对信息安全等级保护工作重要性和紧迫性的认识。
(二)加强领导,落实职责。各地、各单位主要领导是信息安全等级保护工作第一责任人,负责对此项工作的组织协调,并指定专门部门或专门人员从事信息安全等级保护工作。公安机关要充实信息安全等级保护专门工作机构人员,市保密局、密码管理委员会和信息化工作领导小组办公室要指定专人负责这项工作,各单位要根据各自职责制订工作方案。
(三)积极汇报,争取支持。各地各信息安全等级保护主管部门要广泛发动,采取各种形式和渠道,加强与信息系统运营部门沟通、协调,积极争取社会各界的支持。各信息系统运营、使用部门要积极向主管部门、上级领导请示汇报,争取更多的人力、资金支持,切实把信息系统安全等级保护工作落实到实处。
(四)强化措施,确保实效。为切实贯彻实施信息安全等级保护制度,各地各级信息系统安全等级保护主管部门严格按照预定工作方案定人员、定岗位、定职责,保障措施到位、行动到位,真正做到困难再大目标不改,事情再多热情不降,工作再忙精力不减,突出重点,强化措施,提高信息安全保障能力与水平。
安机关信息安全等级保护检查工作规范 篇7
布置会情况总结
为贯彻落实省教育厅、公安厅《关于印发<湖南省教育信息系统安全等级保护工作实施方案>的通知》(湘教发
[2011]33号)要求,我厅于2011年9月25日-27日在长沙市留芳宾馆组织召开了全省教育信息系统安全等级保护工作布置会暨工作培训。
出席会议的领导有:教育部信息中心曾德华总工程师;省教育厅王键副厅长;省公安厅网技总队刘新平副总队长;省教育厅办公室、信息化办幸勇副主任;湖南省教育管理信息中心唐东斌主任;湖南省教育管理信息中心杨晓北书记;省教育厅维稳办周韶峰同志;省教育管理信息中心黄国圣总工程师;省公安厅网技总队姜颖军支队长等。
出席会议代表有:全省14个市州教育局、105所高等学校、16个教育厅委直属单位共222位单位等保工作负责人和技术员参加会议及培训。
“教育信息化作为国家信息化建设的重要组成部分,在教育改革和发展中的战略地位日益凸显,湖南省„四化两型‟战略中信息化更是发展重点之一。”会上,王键副厅长就如何加
强网络与信息安全工作提出3点意见,他要求各级教育行政部门和学校要高度重视网络信息安全建设,进一步增强做好网络与信息安全工作的责任感和使命感;要做好组织保障、人员保障、经费保障,切实做好信息系统安全定级与备案工作,认真落实信息系统安全建设整改,开展等级测评工作,做好组织管理和技术支撑服务工作,以信息安全等级保护工作为抓手,扎实推进网络与信息安全工作;要端正态度,增强自觉性,强化培训学习并学以致用,努力提高网络与信息安全理论技术水平。
建立完善的教育网络信息安全管理体系,建立教育网络信息安全技术保障体系,这是湖南省开展教育信息系统等级保护工作的两条主要思路,届时省教育厅将围绕这两个方面全面提升教育公共服务能力和教育管理水平。这项工作由省维稳办负责统筹管理、协调、指导,省教育管理信息中心负责组织、指导、监管与应急处置全省教育系统网络信息安全工作。
在《湖南省教育信息化发展规划(2011-2015)》中对教育网络信息安全提出了明确任务目标,核心是围绕国家信息安全等级保护制度的建设要求,完善网络信息安全基础制度,建立以教育电子身份认证为核心的网络信任体系,基本建成省、市州、县市区三级教育网络信息安全监控体系。
会上播放了国家信息系统安全等级保护工作宣传片。教
育部信息中心总工程师、教育部信息化推进办副主任曾德华回顾了教育信息安全等级保护工作开展情况以及所取得的成果。省公安厅网技总队副总队长刘新平介绍信息安全等级保护工作的发展历程,要求各地各校高度重视,切实将信息安全等级保护工作落到实处。省教育厅维稳办周韶峰同志透过7个案例分析了全省教育系统安全形势,并总结教训,提出个人建议。省教育管理信息中心总工程师黄国圣则结合当前我国信息安全等级保护制度建设相关政策提出下一步工作方向和重点。会议由省教育管理信息中心主任唐东斌主持。
国家信息安全等级保护制度 篇8
公通字200743号文 第一章 总则 第一条
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。第二条
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。第三条
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造 1
成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理 第九条
信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。第十条
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。第十一条
信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。第十三条
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十六条
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。第十八条
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民 共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。第二十三条
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平
总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。第三十二条
涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。第五章
信息安全等级保护的密码管理 第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。
根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。第六章 法律责任 第四十条
第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。第四十一条
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第七章 附则
第四十二条
已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数(级)。第四十四条本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7 7
关于电子政务信息安全等级保护 篇9
相关文件的学习报告 引言 1.1 编写目的
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指 1 导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围
本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构
本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。基本原理 2.1 基本概念
2.1.1 电子政务等级保护的基本含义
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。本指南的内容主要针对用户层面的工作。
电子政务信息安全等级保护遵三循以下原则: a)重点保护原则
电子政务等级保护要突出重点。对关系国家安全、经济命 脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
b)“谁主管谁负责、谁运营谁负责”原则
电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
c)分区域保护原则
电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
d)同步建设原则
电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
e)动态调整原则
由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2.1.2 电子政务安全等级的层级划分
号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保 护级五个安全等级。按66 号文件的规定,对电子政务的五个安全等级定义如表2-1 所示。
2.1.3 电子政务等级保护的基本安全要求
电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。
a)安全策略
安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。
b)安全组织
安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。
c)安全技术
安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。
d)安全运行
安全运行市委了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。
具体的电子政务等级保护基本安全要求参见相关的国家标准。
2.2 基本方法
2.2.1 等级保护的要素及其关系
电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施
安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。
电子政务等级保护包含以下七个要素: a)电子政务系统
电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。
b)目标
目标是指电子政务系统的业务目标和安全目标,电子政务 7 等级保护要保障业务目标
和安全目标的实现。c)电子政务信息安全等级
电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。
d)安全保护要求
不同的电子政务系统具有不同类型和不同强度的安全保护要求。
e)安全风险
安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。
f)安全保护措施
安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。
g)安全保护措施的成本
不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。
电子政务等级保护各要素之间的关系是:
a)电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。b)安全措施需要满足系统安全保护要求,对抗系统所面临的风险。
1)不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。
2)系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了选择不同类型和强度的安全措施。
c)电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的成本,在适度成本下实现适度安全。
2.2.2 电子政务等级保护实现方法 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。
电子政务等级保护的实现方法如图2-1 所示:
__ 9
电子政务系统实施等级保护的方法是:
a)依据电子政务安全等级的定级规则,确定电子政务系统的安全等级;
b)按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求;
c)依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。
2.3 实施过程
电子政务等级保护的实施过程包括三个阶段,分别为: a)定级阶段 b)规划与设计阶段
c)实施、等级评估与改进阶段
电子政务等级保护的基本流程如图2-2 所示:
第一阶段:定级
定级阶段主要包括两个步骤: a)系统识别与描述
清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政务系统分解为电子政务子系统,描述系统和子系统的组成及边界。
b)等级确定
完成电子政务系统总体定级和子系统的定级。
第二阶段:规划与设计
规划与设计阶段主要包括三个步骤,分别为: 系统分域保护框架建立
通过对电子政务系统进行安全域划分、保护对象分类,建立电子政务系统的分域保护框架。
b)选择和调整安全措施
根据电子政务系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定安全要求,选择和调整安全措施,确定出电子政务系统、子系统和各类保护对象的安全措施。
c)安全规划和方案设计
根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。
第三阶段:实施、等级评估与改进
实施、等级评估与改进阶段主要包括三个步骤,分别为: a)安全措施的实施
依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。
b)评估与验收
按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。
c)运行监控与改进
运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。
对于大型复杂电子政务系统,等级保护过程可以根据实际情况进一步加强和细化,以满足其复杂性的要求。附录B 给出了大型复杂电子政务系统等级保护实施过程的示例。
新建电子政务系统的等级保护工作与已经建成的电子政务系统之间,在等级保护工作的切入点方面是不相同的,它们各 13 自的切入点及其对应关系如图2-3 所示。
新建电子政务系统在启动时,应当按照等级保护的要求来建设。
a)系统规划阶段,应分析并确定所建电子政务系统的安全等级,并在项目建议书中对系统的安全等级进行论证。
b)系统设计阶段,要根据所确定的系统安全等级,设计系统的安全保护措施,并在可行性分析中论证安全保护措施;
c)系统实施阶段,要与信息系统建设同步进行信息安全等级保护体系的实施,之后进行等级评估和验收。
d)系统运行维护阶段,要按照所建立的等级保护体系的要求,进行安全维护与安全管理。
e)系统废弃阶段,要按照所建立的等级保护体系的要求,对废弃过程进行有效的安全管理。
对于已建的电子政务系统,由于在系统规划、设计和实施阶段没有考虑等级保护的要求,因此等级保护工作的切入点是系统运行维护阶段。
在确定要实施等级保护工作之后,应对系统进行安全现状分析,深入认识和理解机构所拥有的电子政务系统,对每个系统进行定级,之后进行等级保护的安全规划和方案设计,最
后进行实施、评估和验收。2.4 角色及职责
电子政务等级保护工作主要包括决策者、技术负责人、实施人员三类角色。
a)决策者
决策者是政务机构中对本单位实施电子政务信息安全等级保护工作的最终决策人。决策者在等级保护中的职责如下:
1)组织、协调和推动本单位电子政务等级保护工作; 2)负责最终确定本单位电子政务系统的安全等级; 3)领导和监督本单位电子政务等级保护体系的建设工作; 4)与本单位电子政务等级保护建设的上级主管部门进行沟通和协调,组织、配合等级评审与验收;
5)监督本单位电子政务等级保护体系的运行与改进。b)技术负责人
技术负责人是对本单位实施电子政务信息安全等级保护工作的决策支持者、技术决策人和实施管理者。技术负责人在等级保护中的职责如下:
1)协助决策者组织、协调和推动本单位电子政务等级保护的工作;
2)向决策者提供本单位电子政务系统安全定级的建议及依据;
3)组织实施本单位电子政务等级保护体系的建设; 4)组织和总结本单位等级保护的实施情况,配合上级主管部门进行等级评估和验收;
5)组织实施本单位电子政务等级保护体系的运行与改进。c)实施人员
实施人员是政务机构中实施信息安全等级保护的具体工作人员。实施人员在等级保护中的职责如下:
1)分析本单位电子政务系统,收集定级理由和证据; 2)在技术负责人的领导下,具体组织和参与完成等级保护 各阶段的工作。
2.5 系统间互联互通的等级保护要求
不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。不同安全等级的系统互联互通,要根据系统业务要求和安全保护要求,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等。要采取相应的边界保护、访问控制等安全措施,防止高等级系统的安全受低等级系统的影响。电子政务系统间的互联互通遵循以下要求:
a)同等级电子政务系统之间的互联互通
由系统的拥有单位参照该等级对访问控制的要求,协商确定边界防护措施和数据交换安全措施,保障电子政务系统间互联互通的安全。
b)不同等级电子政务系统间的互联互通
各系统在按照自身安全等级进行相应保护的基础上,协商对相互连接的保护。高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,采取有效措施进行控制。
c)涉密系统与其它系统的互联互通,按照国家保密部门的有关规定执行。
d)电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。
3 定级
电子政务系统定级可以采用以下两种方式进行: a)对系统总体定级
系统总体定级是在识别出政务机构所拥有的电子政务系统后,针对系统整体确定其安全等级。
b)将系统分解为子系统后分别定级
政务机构所拥有的电子政务系统如果规模庞大、系统复杂,则可以将系统分解为多层次的多个子系统后,对所分解的每个子系统分别确定其安全等级。
3.1 定级过程
定级阶段的主要目标是确定电子政务系统及其子系统的安全等级。定级结果是进行安全规划与设计的基础,定级结果应按照相关管理规定提交相关管理部门备案。
定级阶段工作主要包含两个过程: a)系统识别与描述
应准确识别并描述出整体的电子政务系统,以及系统可以分解的子系统。系统识别要确定系统的范围和边界,识别系统包含的信息和系统提供的服务,作为后续定级工作的输入。
b)等级确定
进行系统整体定级和子系统分别定级,形成系统的定级列表,作为后续阶段工作的基础。定级工作流程如图3-1 所示。
3.2 系统识别与描述 3.2.1 系统整体识别与描述
实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述,识别和描述的内容至少包括如下信息:
a)系统基本信息
系统名称,系统的简要描述,所在地点等。b)系统相关单位
负责定级的责任单位,系统所属单位,系统运营单位,主管部门,安全运营单位,安全主管部门等。c)系统范围和边界
描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等,并清晰描述出其边界。
d)系统提供的主要功能或服务
从整体层面描述系统所提供的主要功能或服务,即对公众、企业、相关政府机关、内部用户等提供的主要服务。
e)系统所包含的主要信息
描述系统所输入、处理、存储、输出的主要信息和数据。3.2.2 划分子系统的方法 3.2.2.1 划分原则
对政务机构所拥有的大型复杂电子政务系统,可以将其划分为若干子系统进行定级,子系统划分基于以下原则:
a)按照系统服务对象划分
电子政务系统的服务对象即目标用户,包括社会公众、企事业单位、机构内部人员、其它政务机构等。依据其所服务的目标用户可分为以下几类系统:
1)政务机构对公民的电子政务系统 2)政务机构对企业的电子政务系统 3)政务机构对政务机构的电子政务系统 4)政务机构对公务员的电子政务系统 b)按系统功能类型划分
根据系统的功能类型或提供的服务类型划分子系统。划分 时除了考虑到对外部用户(社会公众、企事业单位、其它政务机构)提供服务的对外业务系统,对内部用户(内部公务员、领导)提供服务的内部办公和管理系统外,还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统,如网络承载平台、网管系统、安全系统等。
c)按照网络区域划分
根据电子政务系统建设现状,系统可能运行在不同的电子政务网络范围内,不同的电子政务网络在涉密程度、隔离模式和管理模式上差异较大,所以可以按照电子政务系统运行的网络区域进行子系统划分。
d)按行政级别划分
按系统所处的行政级别,如中央、省部级、地市级、县区级等进行子系统划分。
3.2.2.2 子系统划分方法
在子系统划分时,应根据系统实际情况和管理模式,综合考虑子系统划分的四个原则,确定适用于各电子政务系统的子系统划分标准。划分时可以选择一个原则,也可以同时选用
多个原则作为划分标准,如以某一个或两个要素为主要划分标准,其余为辅助划分标准。对于规模庞大的系统,为了便于描述,一般应按照多个层次逐级进行划分。具体的划分方法可参考《附录B:大型复杂电子政务系统等级保护实施过程示例》。
3.2.3 子系统识别与描述
子系统的识别与描述可参照3.2.1 系统整体识别与描述。3.3 等级确定
3.3.1 电子政务安全属性描述
电子政务安全等级主要依据系统的信息安全属性被破坏后所造成的影响来确定。电子政务信息安全属性包括三个方面:保密性、完整性、可用性。
a)保密性
确保电子政务系统中的信息只能被授权的人员访问。保密性破坏是指电子政务系统中各类信息的未授权泄漏。电子政务系统中的信息依据其保密程度分为以下类别:
1)涉及国家秘密的信息,包括绝密级、机密级和秘密级信息;
2)敏感信息,指不涉及国家秘密,但在政务工作过程中需要一定范围保密,不对 社会公众开放的信息;
3)公开信息,指对社会公众开放的信息。b)完整性
确保电子政务系统中信息及信息处理方法的准确性和完备性。完整性破坏是指对电
子政务系统中信息和系统的未授权修改和破坏。电子政务完整 22 性目标包括两个方面:
1)电子政务系统中存储、传输和处理的信息完整性保护;
2)电子政务系统本身的完整性保护。系统完整性保护涉及从物理环境、基础网络、操作系统、数据库系统、电子政务应用系统等信息系统的每一个组成部分的完整性保护。
c)可用性
确保已授权用户在需要时可以访问电子政务系统中的信息和相关资产。可用性破坏是指电子政务系统所提供服务的中断,授权人员无法访问电子政务系统和信息。可用性目标是保证授权用户能及时可靠地访问信息、服务和系统资源,不因人为或 自然的原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏或被拒绝达到不能容忍的程度。电子政务可用性目标保护包括两个方面:
1)电子政务系统所提供的服务的可用性;
2)电子政务系统中存储、传输和处理的信息的可用性。3.3.2 定级原则
电子政务系统的安全等级可从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来确定。
a)安全等级第一级
对电子政务信息和信息系统安全属性的破坏会对政务机构 23 履行其政务职能、机构财产、人员造成较小的负面影响,包括:
1)对政务机构运行带来较小的负面影响,政务机构还可以履行其基本的政务职能,但效率有较小程度的降低;
2)对政务机构、相关单位、人员造成较小经济损失; 3)对政务机构、相关单位、人员的形象或名誉造成较小影响;
4)不会造成人身伤害。b)安全等级第二级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响,包括:
1)对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务
职能,但效率有较大程度的降低;
2)对政务机构、相关单位、人员造成一定程度的经济损失;
3)对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响;
4)造成轻微的人身伤害。c)安全等级第三级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害,包括: 1)对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履 行;
2)对政务机构、相关单位、人员造成较大经济损失; 3)对政务机构、相关单位、人员的形象或名誉造成较大的负面影响;
4)导致严重的人身伤害。d)安全等级第四级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害,包括:
1)对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并
在省级行政区域范围内造成严重影响;
2)对国家造成严重的经济损失; 3)对国家形象造成严重影响; 4)导致较多的人员伤亡;
5)导致危害国家安全的犯罪行为。e)安全等级第五级
对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害,包括:
1)对政务机构运行带来极其严重的负面影响,中央政务 机构的一项或多项政务职能无法履行,并在全国范围内造成极其严重的影响;
2)对国家造成极大的经济损失; 3)对国家形象造成极大影响; 4)导致大量人员伤亡;
5)导致危害国家安全的严重犯罪行为。
电子政务五个安全等级在保密性、完整性和可用性三个安全属性方面的描述如表3-1 所示。
3.3.3 定级方法
确定电子政务安全等级的基本方法是:通过确定系统保密 性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。定级方法适用于电子政务系统整体定级和各子系统定级。对大型复杂系统,可以引入业务系统等级确定方法,具体方法可以参照《附录B:大型复杂电子政务系统等级保护实施过程示例》。
系统定级主要考虑两个方面:一是系统中所存储、处理、传输的主要信息,二是系统所提供的主要服务。通过对每一类信息和服务安全等级的分析,最终确定系统的安全等级。系 统安全等级是系统中各类信息和服务安全等级的最大值,并且可以根据系统整体实际情况进行调整,确定系统最终的安全等级。某个电子政务系统(假设其名称为A)的安全等级可以表示为:安全等级(A)=Max{(系统保密性等级),(系统完整性等级),(系统可用性等级)}其中:
系统保密性等级=Max {(各信息或服务的保密性等级)} 系统完整性等级=Max {(各信息或服务的完整性等级)} 系统可用性等级=Max {(各信息或服务的可用性等级)} 电子政务系统A 最终的安全等级为系统保密性等级、系统完整性等级、系统可用性等级中的最大值。
举例:某个政务机构招标采购系统进行定级,系统中包含两类信息和一种服务,一类信息为开标前各投标单位的投标信息,另一类信息为系统管理信息,系统提供的服务为招标服 务。投标信息的保密性等级为3,完整性等级为2,可用性等级为2;系统管理信息的保密性等级为1,完整性等级为1,可用 性等级为1;招标服务的保密性等级为1,完整性等级为1,可用性等级为2。通过比较两类信息各安全属性等级的最大值,得到系统在三个安全属性方面的等级:
系统保密性等级=Max {(投标信息保密性等级:3),(系统管理信息保密性等级:
1),(招标服务保密性等级:1)}=3 系统完整性等级=Max {(投标信息完整性等级:2),(系统管理信息完整性等级:1),(招标服务完整性等级:1)}=2,系统可用性等级=Max {(投标信息可用性等级:2),(系统管理信息可用性等级:1),标服务可用性等级:2)}=2,得到该政务机构招标采购系统的安全等级为:安全等级(投标采购系统)= Max {(保密性等级:3),(完整性等级:2),(可用性等级:2)}=3该政务机构招标采购系统的最终安全等级确定为3。
3.3.4 复杂系统定级方法
对于包括多个子系统的复杂电子政务系统,定级可以包括系统总体安全等级和各子系统的安全等级。系统总体定级和各子系统定级可以分别采用自上向下的定级方式和自下向上的
定级方式,也可以综合两种方式进行。3.3.4.1 自上向下的定级方式
自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。首先依据系统的整体情况,根据定级规则对电子政务系统进行总体定级,然后根据系统总体安全等级,对子
系统采用同一等级或适当降低等级,从而确定子系统等级。自上向下定级方式是从整体系统的属性出发,向下细分,通过考虑整体系统的使命、整体业务框架、业务特性、安全要求、系统在国家层面的定位等,来把握系统整体的安全等级。自上向下的定级方式包含如下步骤:
a)确定整体系统的等级,即总体定级
1)对整体系统识别的主要信息或服务分别分析其保密性、完整性和可用性的等级,得到一个列表;
2)按照系统定级规则,计算得到整体系统的保密性、完整性和可用性的初始安全等级,和初始的总体定级;
3)对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审,评审时要考虑系统在政务机构履行其职能中所起的作用、系统的使命、整体业务框架、系统在国家层面的定位,以及本系统的外部环境等因素。对于等级不合适的部分进行调整,最后确定系统的最终安全等级。
b)确定各子系统的等级
1)从总体等级出发,对子系统采用相同等级或适当降低等级,从而确定子系统等级;
2)也可以对各子系统识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,按照系统定级规则确定各子系统等级;
3)把上述的两种定级结果进行比较,最终确定各子系统的等级。3.3.4.2 自下向上的定级方式
自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性,根据定级规则对各子系统进行定级,然后以各子系统的安全等级为基础,综合考虑,得到系统总体的安全等级。自下向上的定级方式从各个子系统的属性出发,通过考虑各个子系统的实际情况、所处的环境、之间的差异性来确定各子系统的安全等级。自下向上的定级方式包含如下步骤:
a)确定各子系统的等级
1)对各子系统已识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,得到一系列的列表;
2)针对每个子系统,按照系统定级规则得到各子系统安全等级。
b)确定整体系统的等级,即总体定级对各子系统等级进行总结和分析,确定整体系统的等级。总体安全等级的确定可以选用最高的子系统等级,但对于只有比例极少的子系统是最高等级的情况下,可以调低一级。安全规划与设计
电子政务系统在完成定级之后,等级保护工作的第二个阶段就是要进行安全规划与设计,包括系统分域保护框架建立,选择和调整安全措施,安全规划与方案设计三个部分。其主要工作内容与输入输出如图4-1 所示:
4.1 系统分域保护框架建立 4.1.1 安全域划分
安全域划分是将电子政务系统划分为不同安全区域,分别进行安全保护的过程。
4.1.1.1 安全域划分方式
安全域划分可以采用以下两种方式实现: a)对政务机构整体进行安全域划分
在政务机构所管辖的范围内对其所拥有的所有电子政务系统统一进行安全域划分,将整个政务机构的所有系统分为若干个安全区域。
b)在每个电子政务系统内进行安全域划分
在每个电子政务系统内部,划分为若干个安全区域。4.1.1.2 安全域划分原则
电子政务安全区域的划分主要依据电子政务系统的政务应用功能、资产价值、资产所面临的风险,划分原则如下:
a)系统功能和应用相似性原则
安全区域的划分要以服务电子政务应用为基本原则,根据政务应用的功能和应用内容划分不同的安全区域。
b)资产价值相似性原则
同一安全区域内的信息资产应具有相近的资产价值,重要电子政务应用与一般的电子政务应用分成不同区域。
c)安全要求相似性原则
在信息安全的三个基本属性方面,同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。
d)威胁相似性原则
同一安全区域内的信息资产应处在相似的风险环境中,面临相似的威胁。
4.1.2 保护对象分类
保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合,是从安全角度对信息系统的描述。依据电子政务系统的功能特性、安全价值以及面临威胁的相似性,电子政务保护对象可分为计算区域、区域边界、网络基础设施三类。
a)计算区域
计算区域是指由相同功能集合在一起,安全价值相近,且面临相似威胁的一组信息系统组成。计算区域的信息资产包括:
主机资产、平台资产、应用软件资产和政务数据资产等。涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。计算区域可以从安全域划分的结果得到。
b)区域边界
区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象,不与具体资产对应,边界是一组功能集合,包括边界访问控制,边界入侵检测和审计等。设计系统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。通过对各安全区域之间的连接状况分析,可以得到某个安全区域与其它区域之间的边界。
c)网络基础设施
网络基础设施是指由相同功能集合在一起,安全价值相近,且面临相似威胁来源的一组网络系统组成,包括由路由器、交换机和防火墙等构成的局域网或广域网,一般指区域边界之间的连接网络。某一个安全区域或多个安全区域网络支撑平台构成了该区域的网络基础实施。电子政务保护对象及所包括信息资产如图4-2 所示:
各类信息资产描述如下: a)物理环境
是指支撑电子政务系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设备,包括机房、门禁、监控、电源、空调等。
b)人员资产
指与电子政务系统直接相关的人员,包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。
c)网络资产
是指电子政务系统网络传输环境的设备,软件和通信介质。
网络资产包括路由器、交换机、防火墙、网管、网络设备控制台等。
d)主机资产
是指电子政务系统中承载业务系统和软件的计算机系统、外围系统(不含网络设备)及其操作系统。这里的主机资产包括大型机、中型机、小型机、磁盘阵列、Unix 服务器、Windows 服务器、工作站和终端等。
e)平台资产
主要是指电子政务系统的软件平台系统,包括数据库、中间件、群件、邮件、Web服务器、集成开发环境和工具软件等。
f)应用软件资产
是指为政务业务和管理应用而开发的各类应用软件及其提供的服务。
g)数据资产
是电子政务系统所存储、传输、处理的数据对象,是电子政务系统的核心资产。
4.1.3 系统分域保护框架
系统分域保护框架是从安全角度出发,通过对各保护对象进行组合来对信息系统进行结构化处理的方法。结构化是指通过特定的结构将问题拆分成子问题的迭代过程,其目标是更
好地体现信息系统的安全特性和安全要求。进行结构化处理要遵循以下几条基本原则:
a)充分覆盖
所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题的方法就可能出现遗漏,严重影响方法的可行性。
b)互不重叠
同一级别的所有子问题都不允许出现重复,类似以下的情况不应出现在一个框架中:
1)两个不同的子问题其实是同一个子问题的两种表述; 2)某一个子问题其实是同一级别的另外两个子问题或多个子问题的合集。
c)不需再细分
所有子问题都必须细分到不需再细分,或不可再细分的程度。当一个问题经过框架分析后,所有不可再细分的子问题组合构成了一个“框架”。以安全域划分和保护对象分类为基础,经过结构化的分解,可以将电子政务系统分解为不同类别的保护对象,形成系统分域保护框架。
图4-3 描述了某个电子政务系统的系统分域保护框架的示例,包括了系统所划分出的计算区域、区域边界、网络基础设施等各类保护对象。示例中的计算区域包括两个层面,细分为7 个计算区域。第一层区域包括政务专网区域和政务外网区域。政务专网区域又分为核心数据区、业务服务器区、办公服务器区、网络管理区和机关办公区;政务外网区域分为WEB 服务区和机关工作区。示例中的网络基础设施包括政务专网网络基础设施、政务外网网络基础设施。
示例中的区域边界包括:政务专网与其它政务专网系统的边界、政务专网与政务外网的边界、政务外网与互联网的边界,以及内部各计算区域之间的边界。
系统分域保护框架是设计解决方案的基础。大型复杂系统的分域保护框架见附录B。
4.2 选择和调整安全措施
电子政务系统或子系统的安全等级确定后,需要以分域保护框架为基础确定具体的安全保护措施(包括技术措施和管理措施)。确定安全措施的过程如图4-4 所示:
确定安全措施首先是根据电子政务系统的安全等级选择适用等级的基本安全要求,如电子政务系统A 的安全等级为3 级,应选择3 级基本安全要求。在确定了基本安全要求的基
础上,再针对每个系统特定安全要求、面临风险的状况,并考虑安全措施的成本进行安全措施的选择和调整,以得到针对特定系统的安全保护措施。对安全措施的调整基于以下原则:
a)根据电子政务系统特定安全要求进行调整
1)如果电子政务系统的保密性等级、完整性等级、可用性等级之中的一项或两项
低于系统的安全等级,则可以降低该等级安全措施中对应的控制项的等级;
2)如果电子政务系统的某些特定安全要求在基本安全要求中没有相应的控制项,则可以添加与特定安全要求相适应的安全措施。b)根据风险评估的结果进行调整
1)如果电子政务系统(或其保护对象)不存在五个等级基本安全要求中某个控制项所要控制的安全风险,或其控制项不适用,则该控制项可以进行删减;
2)如果风险评估中识别的某个风险,在五个等级基本安全要求中没有相应的控制项,则可以增加此类控制项;
3)如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较低,则可以降低控制项的强度等级;
4)如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较高,则可以提高控制项的强度等级。
c)根据安全措施的成本进行调整在安全措施的调整过程中,安全措施的成本也是一个重要的考虑因素,各机构要根
据实际情况,基于合理成本选择和调整安全措施。如果某些安全措施的成本太高,机构无法承受,可以通过其他措施进行弥补。如果无法找到其他措施进行弥补,则需要改变机构的业务流程、运作方式或管理模式。
4.3 安全规划与方案设计
安全规划与方案设计阶段的目的是提出科学实施安全措施的方案,规划综合防范的安全保障体系,实现整体安全。安全规划与方案设计包括安全需求分析、安全项目规划、安全工作规划、安全方案设计等几个步骤。
4.3.1 安全需求分析
通过对现有安全措施的评估明确系统的安全现状,通过对比系统将要达到的安全等级的安全要求,得到现状和要求间的差距,即为安全需求。如图4-5 所示:
4.3.2 安全项目规划
安全项目规划是通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析,确定实施的先后顺序。安全项目规划主要包括:
a)将安全措施依据相关性,打包成一个或多个的安全项目
b)进行项目分析
1)对项目进行支持或依赖等相关性分析; 2)对项目进行紧迫性分析; 3)对项目进行实施难易程度分析;
4)对项目进行预期效果分析。
c)综合项目分析结果,形成项目实施先后顺序的列表
4.3.3 安全工作规划
我们在安全规划中,不仅要做项目建设的规划,还要做安全工作方面的规划,以此来让等级保护的建设实施和运行能够融入到日常的安全管理和运维工作当中去,来确保等级保护
工作落到实处。安全工作规划需要确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作,并分析潜在的风险和障碍、所需的资源和预算,从而进行实施策略选择,确定当年的安全工作计划和等级保护项目建设计划。
4.3.4 安全方案设计
在解决方案设计阶段,将对安全规划中所提到的近期应实现的安全措施和项目进行分析,编制系列的技术解决方案和管理解决方案。实施、等级评估与运行 5.1 安全措施的实施
安全措施的实施是在完成等级保护的安全规划与设计之后,依据安全解决方案进行安全管理措施和安全技术措施建设。
安全措施的实施应依据国家有关规定和标准执行。在工程实施过程中应充分考虑施工对业务系统可能造成的影响,做好应急预案,保障业务系统正常运转。应与第三方实施单位签订保密协议和服务质量协议,同时要加强对第三方履行保密协议和服务质量协议的监督。工程实施过程中应避免因第三方人员进场带来新的安全风险。
5.2 等级评估与验收
完成电子政务系统定级、安全措施选择与实施之后,应启动等级评估与验收工作,以便评估电子政务系统是否满足信息安全等级保护的要求,并由电子政务系统的拥有单位或主管 单位组织验收。
电子政务等级保护工作的等级评估可以采取以下三种方式:
a)自评估
自评估是由电子政务系统的拥有单位组织单位内部人员,评估本单位的电子政务系统是否满足电子政务信息安全等级保
护的要求。
b)检查评估
检查评估是由信息安全主管机关或业务主管机关发起,依据已经颁布的电子政务等级保护的法规或标准进行的评估活动。
c)委托评估
委托评估指信息系统拥有单位委托具有风险评估能力的专业评估机构(包括国家建立的测评认证机构或安全企业)实施的评估活动。电子政务系统的拥有单位应根据系统的安全等级选择一种或多种评估模式。等级评估结束后,应由电子政务系统的拥有单位或主管单位主持验收工作,确定完成等级保护建设工作的电子政务系统是否达到相应的安全等级,以及是否可以投入运行。
5.3 运行监控与改进
电子政务等级保护在完成实施、评估与验收工作之后,则进入了安全运行与改进阶段。这一阶段的主要工作是对系统的安全风险和等级保护体系的运行状况进行持续监控,确保在
系统发生变化、系统的安全风险发生变化的情况下,能够及时调整系统的安全措施,并在系统或系统的安全风险发生重大变化时,进行系统的重新定级和安全措施的调整,以确保系统得到相应的保护。等级保护的运行改进过程如图5-2 所示。
附录A 术语与定义 a)信息资产
对组织具有价值的信息资源,是安全策略保护的对象。资产价值是资产的属性,也是进行资产识别的主要内容。
b)服务
信息系统通过提供某些功能来满足用户需求的过程。
c)信息系统生命周期
信息系统生命周期是某一信息系统从无到有,再到废弃的整个过程,包括规划、设计、实施、运维和废弃五个阶段。
d)威胁
可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。
e)脆弱性
可能被威胁利用对资产造成损害的薄弱环节。
f)影响
信息安全事件造成的后果。g)风险
风险是指人为或自然的威胁利用系统存在的脆弱性,导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
h)信息安全风险评估
依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
i)风险管理
组织中识别风险、分析风险和控制风险的活动。j)安全措施
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。
附录B 大型复杂电子政务系统等级保护实施过程示例 B.1 大型复杂电子政务系统描述
大型复杂电子政务系统主要是指涉及多个行政级别、多种网络以及各类繁杂的信息系统等特征的系统,一般具有以下特点:
a)覆盖多级行政级别,涉及的部门多、范围和地域广; b)信息系统种类繁多、应用众多、服务类型多并且结构复杂;
c)网络建设涉及涉密政务内网、涉密和非涉密政务专网、政务外网以及互联网。大型复杂电子政务系统信息安全建设保障工作目前存在的主要困难包括:
1)信息安全涵盖内容极为广泛,从物理安全,网络安全,系统安全一直到应用安全,数据安全,安全管理,安全组织等等,凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题;
2)安全保障是个系统化的工程,各个要素之间存在紧密联系,互相依赖,牵一发而动全身;
3)安全保障是个长期性的工作,伴随信息系统的整个生命周期,是一个不断实施、检查和改进的过程;
4)不同行业、不同信息化发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性;
5)安全保障除了耗费人力财力,还会损失易用性,降 48 低效率,所以应该考虑信息安全要求与资金人力投入的平衡,控制安全的成本。
B.2 等级保护实施过程描述
大型复杂电子政务系统的等级保护实施过程应符合等级保护的整体实施过程,但对于这类电子政务系统由于存在系统复杂、庞大、行政级别多以及涉及范围广等特点,因此建议在 各阶段增加以下相关工作和实施方法:
第一阶段:定级阶段
本阶段主要的三个步骤包括系统识别与描述、子系统划分以及对于系统总体和子系统进行定级,对于大型复杂电子政务系统建议在进行系统识别和子系统划分的过程中结合“系统分域保护框架”的设计思路进行不同层次划分,可以从整体的角度出发,根据适合的划分方法进行整体性划分(例如行政级别、行政区域以及网络等要素),也可以从各个子系统的角度出发,总结和归类进行合并,最终形成多个层次的保护对象。每个 层次的保护对象都能够对应相应的等级,形成“等级系统分域保护框架”。这里建议从整体角度出发进行划分,从子系统的角度出发进行验证,形成从下到上和从上到下的统一和平衡。
第二阶段:规划与设计阶段
本阶段主要的三个步骤包括系统分域保护框架建立、选择
和调整五个等级基本安全要求、安全规划和方案设计。对于大型复杂电子政务系统在选择和调整安全措施等级时建议首先根据行业背景、政府职能特征以及相对应的安全特性整体进行安全措施指标的选择,制定相关行业和政务机构的五个等级整体的基本安全要求,在这个基础上相关的各级部门和政务机构可以根据已经选择的安全等级指标进行进一步的修订和细化,这样可以确保从整体性出发安全措施的有效性和可控性;在进行安全规划与方案设计的过程时,不仅要根据不同安全等级系统选择不同安全措施进行规划和方案设计,这里建议采用“体系化”设计的方法,既能够从整体上进行统一规划,又能够通过安全解决方案解决现有安全问题,同时覆盖安全的各个层面,实现了等级化和体系化的相互结合,最终形成等级化的安全体系。
第三阶段:实施阶段
【安机关信息安全等级保护检查工作规范】推荐阅读:
信息系统安全等级保护备案操作规范08-14
信息安全等级保护工作汇报的内容06-14
信息安全等级保护服务08-23
关于印发《关于信息安全等级保护工作的实施意见》的通知10-24
信息安全等级保护体系设计10-01
二甲中医院评审医院信息系统安全等级保护工作实施方案10-23
网站系统信息安全等级保护建设整改方案09-09
机关信息工作规则11-04