信息安全等级保护服务(精选8篇)
信息安全等级保护服务 篇1
上海海事大学信息系统等级保护安全服务项目服务需求
一、概述
随着上海海事大学智慧校园的建设发展,本校已建成了覆盖教学科研管理与服务的多个重要业务信息系统,包括教务管理系统、校园一卡通系统、网站群平台、财务系统、校园信息门户系统、统一身份认证系统等。这些信息系统在日常教学管理服务活动中发挥着重要作用。根据教育部、市教委在信息系统安全方面的工作指导与要求,参照国家信息系统安全等级保护基本要求,我校计划对学校部分重要信息系统进行信息系统的安全等级保护。对相关系统实施定级备案、差距分析、建设整改,并通过国家相关等级保护测评机构的测评。通过本项目建立与完善我校的信息安全保障体系,提高校园信息化的管理与服务水平。
二、服务范围
完成两个信息系统的定级、上报、备案;
完成两个信息系统的等保评估(风险评估,差距报告)与完成详细的整改方案;
完成两个信息系统的系统安全加固与整改建设;
完成信息系统的等保测评准备,并负责通过国家等保测评机构的信息系统等级保护二级的测评。 提供后续安全运维方案。
三、服务需求及相关要求
1、完成两个信息系统的定级、备案
两个系统包括:上海海事大学门户网站(含学校各学院、部门等,以及其子站点的实际内容为准)、教务管理系统。系统定级
信息系统定级工作是进行信息系统备案、建设、整改、测评、监督检查等后续工作的重要基础。根据我校信息系统的业务信息安全和系统服务安全的实
际情况为学校各业务系统定级工作,包括:
完成学校主要信息系统的调研与资料收集与整理分析工作。
针对定级对象,根据GBT22240-2008.信息系统安全保护等级定级指南、教育部《教技厅函[2014]74号-教育行业信息系统安全等级保护定级工作指南》、定级方法等,确定学校重要信息系统的安全保护等级,起草并完成最终的《定级报告》。
配合学校完成相关市教委系统上报的资料撰写、整理工作。系统备案
根据《信息系统安全等级保护定级指南》对学校重要业务系统进行定级,准备定级备案资料,完成向公安机关备案。
完成备案表,进行专家评审和审批。 向上海市公安局网安办进行备案。 进行定级工作总结。
2、完成两个典型信息系统的等保评估与整改方案
完成两个典型信息系统的预评估,进行等级保护差异分析风险评估,完成整改方案,具体工作包括:
2.1 等级保护差异分析评估
信息安全等级保护整改差距分析是开展等级保护整改工作的前提和依据,将行业等级保护整改的各项要求与学校信息安全管理现状进行比较分析,从管理和技术两个层面找出存在的问题。等保整改差异分析主要是以《信息系统安全等级保护评估指南》和《信息系统安全等级保护基本要求》为指导,首先要求进行安全现状调研和风险评估,根据风险评估的结果与等级保护基本要求进行差距分析,为等保整改方案提供依据和指导。
承建服务商须根据等保要求,对系统进行全面预评测检查,使用等保工具及相关安全软硬件设备对系统安全进行扫描,进行风险评估,并在此基础上形成分析报告。
2.2 等级保护整改方案
信息安全等级保护整改方案是在梳理差距分析的基础上,形成信息安全等级保护整改方案。方案要求包括两个方面,一是安全技术整改,主要通过信息安全产品的集中部署和安全技术的综合运用,解决技术层面存在的问题,提高信息安全防护(技术)水平;二是安全管理整改,主要从安全管理制度、机构、人员、系统建设和系统运维5个方面,提出针对性的管理目标和解决办法。
3、等级保护整改建设实施
在前期确认整改实施方案的基础上,完成两个信息系统的等保整改建设工作。并根据国家评测标准进行提交前的内部预测评。两个系统为:上海海事大学门户网站(含部门、学院等子站点)、教务管理系统。
进行系统整改安全加固建设,安全加固工作完成包含但不限于物理层面、网络设备层面、主机系统层面以及应用层面的配置加固,补丁更新等。部分涉及需要开发公司修改调整代码的加固工作须书面给出明确的问题现象及原因、测试手段及测试参数、整改要求与检查方式,并监督检查整改情况。上海海事大学不为项目实施和评测增加硬件及服务费用。
完成等级保护信息安全管理体系建设,信息安全管理体系建设是安全管理整改工作的具体落地,是以体系化的思想系统思考安全管理问题,明确信息安全管理的方针、目标和对象。结合等级保护的要求,在信息安全管理标准框架下,通过制订各项信息安全管理制度,制定信息安全管理技术规范,加强信息安全日常管理工作,提高信息安全基础管理水平,实现体系化、制度化、流程化和痕迹化的管理思想。承建服务商须根据等保要求,以等保制度框架为指导,结合我校特点制定信息安全的管理制度体系。完成相关文档的编写、修订以及编目等工作。
根据国家评测标准进行提交前的内部预测评工作。
4、等级保护协助测评
完成等保整改建设以后,要求协助学校进行等保测评,并通过国家测评机构的等保二级测评。协助测评阶段主要工作内容如下:
准备测评机构需要的资料;
为测评人员的信息收集提供支持和协调; 准确填写调查表格;
四、对方案及项目实施等的要求
1.方案必须具有:
(1)完备性:包含但不限于上述业务需求及要求;
(2)安全性:方案中尽可能设计各种在保证高效前提下的安全可用有效的安全控制措施;
2.设计方案应具有详细的描述,针对招标要求与内容具体陈述所提供的服务内容、方式、计划安排、以及相应的人员配备、资源设备,包括可靠性、安全性、完备性等方面的分析描述;
3.对服务过程中的使用的工具进行说明,确保服务过程的风险可控; 4.投标人应在投标书中对项目的实施进行详细描述,包含但不限于:组织结构、人员组成、人员资质说明、专业技能、充当角色、人员稳定性保证措施、详细实施计划、文档管理方式、与招标人的沟通、质量控制措施、相关罚则等。
5.投标人保证派遣到用户现场工作的安全工程师具备相应的资质,并获得甲方认可。保证派遣人员未经甲方同意,不得调换或撤离,项目人员必须接受我校的项目管理,保障项目时间,人天,质量的要求。6.本项目不接受转包,分包。
五、投标内容要求
为保证招标人客观公正地选择合作伙伴,投标人提供的报价资料中除具有上述各条款要求的技术方案外,投标人还需提供以下相关材料:
1.公司营业执照复印件(加盖公章); 2.报价单(附件二);
3.公司组织结构及相关人员配置情况;
4.对所设计方案的合理性、科学性、先进性、完备性等的详细分析; 5.拟选派的项目组成员名单及相关技能证明以及项目小组的组织结构等的描述;
6.项目实施方案、项目质量控制措施、项目文档管理措施等的详细说明; 7.后续的技术服务支持保障措施的详细描述; 8.竞争性商务报价。商务报价表应明细到最小模块;
9.项目完成周期;
六、投标人资质要求
参与我校等级保护项目的投标人,具有以下资质和案例,将优先选择:
1、投标人具有高校等级保护服务的案例五个以上,具有通过国家测评机构等级保护测评合格的高校案例二个以上。项目案例需要提供客户名单及联系方式;
2、投标人项目组成员要求具有相关安全服务的资质,专业技能资质证明包括但不限于:CCIE,CISP,CISA,27001证书,RHCE,项目经理证,漏洞挖掘证明等证书。
七、其他要求
1.项目实施周期要求在合同签署后2个月内完成;
2.报价为闭口合同报价,除包含前述各项服务外,还须包含有国家等保测评机构对两个系统的评测费用。
3.报价不得超过20万人民币,否则视为无效报价。
八、付款方式
1、合同签订后10个工作日内,支付合同总价的30%。
2、完成所有服务工作,并经甲方最终验收审核后,支付合同总价的70%。
3、合同内全部款项均以“银行转帐”方式予以支付。
信息安全等级保护服务 篇2
第一, 利用基础信息网络和重要信息系统的违法犯罪活动迅速上升。
不法分子利用一些安全漏洞, 使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪, 对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。
第二, 基础信息网络和重要信息系统存在安全隐患。
由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口, 在操作系统、专用芯片和大型应用软件等方面不能自主可控, 给我国的信息安全带来了深层的技术隐患。
第三, 我国的信息安全保障工作基础薄弱。
信息安全意识和安全防范能力差, 信息系统安全建设、监管缺乏依据和标准, 安全保护措施和安全制度不完善, 监管措施不到位。1994年《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令) 规定, “计算机信息系统实行安全等级保护, 安全等级的划分标准和安全等级保护的具体办法, 由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 明确指出“实行信息安全等级保护”, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度, 制定信息安全等级保护的管理办法和技术指南”。实行信息安全等级保护是国际上通行的做法开展信息安全等级保护工作应建立安全保护机制, 安全保护机制包括:信息安全效能评估、信息安全保障工作评价机制、印记响应机制、安全响应技术体系、安全监测预警机制等。
二建立信息网络和重要信息系统安全保护机制
本人就从事信息安全等级保护工作以来, 浅谈信息系统在开展等级保护工作建立安全保护机制应从以下几个方面开展。
(一) 积极组织部署等级保护工作
1.专门成立等级保护协调领导机构成立由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组, 确保系统高效运行、理顺信息安全管理、规范信息化安全等级建设。
2.明确等级保护责任部门和工作岗位开会、下文明确等级保护责任部门, 做到分工明确, 责任具体到人。
3.贯彻落实等级保护各项工作文件或方案等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案, 制定出《网络与信息安全事件应急预案》、《机房管理制度》等一系列规章制度, 落实等级保护工作。
4.召开工作动员会议, 组织人员培训, 专门部署等级保护工作每季度召开一次工作动员会议, 定期、不定期对技术人员进行培训, 并开展考核。技术人员认真学习贯彻有关文件精神, 把信息安全等级保护工作提升到重要位置, 常抓不懈。
5.要求主要领导认真听取等级保护工作汇报并做出重要指示主要领导对等级保护工作给与批示, 要求认真做好有关工作。指示责任部门做好自检、自查, 精心准备, 迎接公安机关专项检查。
(二) 认真落实信息安全责任制
1.成立信息安全职能部门单位需成立信息系统安全职能部门, 负责信息系统络建设, 信息安全, 日常运行管理。
2.制定信息安全责任追究制度制定相应信息安全责任追究制度, 定岗到人, 明确责任分工, 把信息安全责任事故降低到最低。
(三) 积极推进信息安全制度建设
1.加强人员安全管理制度建设各单位需建立人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度, 对新进人员进行培训, 加强人员安全管理, 不定期开展考核。
2.严格执行机房安全管理制度各单位需制定出《机房管理制度》, 加强机房进出人员管理和日常监控制度, 严格实施机房安全管理条例, 做好防火防盗, 保证机房安全。
3.建立系统建设管理制度各单位需制订产品采购、工程实施、验收交付、服务外包等系统建设管理制度, 通过公开招标, 择优选用, 提高系统建设的质量。
(四) 大力加强信息系统运维
1.开展日常信息安全监测和预警各单位需建立日常信息安全监测和预警机制, 提高处置网络与信息安全突发公共能力事件, 加强网络信息安全保障工作, 形成科学、有效、反应迅速的应急工作机制, 确保重要计算机信息系统的实体安全、运行安全和数据安全, 最大限度地减轻网站网络与信息安全突发公共事件的危害。
2.建立安全事件报告和响应处理程序各单位需建立健全分级负责的应急管理体制, 完善日常安全管理责任制。相关部门各司其职, 做好日常管理和应急处置工作。设立安全事件报告和相应处理程序, 根据安全事件分类和分级, 进行不同的上报程序, 开展不同的响应处理。
3.制定应急处置预案, 定期演练并不断完善制定安全应急预案, 根据预警信息, 启动相应应急程序, 加强值班值守工作, 做好应急处理各项准备工作。定期演练预警方案, 不断完善预警方案可行性、可操作性。
(五) 有效推进信息系统等级测评和安全建设整改工作
1.制定等级测评工作计划认真制定等级测评工作计划表, 按照工作计划表, 有条不紊的开展等级测评。
2.制定安全建设整改工作计划制定安全建设整改工作计划, 根据自查结果, 对发现问题进行安全建设整改。编制整改方案, 限期完成整改计划。
3.保证等级测评工作经费优先保证等级测评工作经费的划拨、使用。
4.落实安全建设整改工作经费保障积极落实安全建设整改工作经费, 协调财政部门保障整改经费保障。
三不断完善等级保护自查和整改
1.组织部署等级保护自查工作领导协调小组开专题会议, 部署等级保护自查工作。按照信息安全等级保护工作检查表的要求, 细化各项检查指标, 落实各项指标。
2.等级保护体系建立后, 还需要一个有效的、持续性的验证方法确保信息系统在不断发展的同时保证符合安全等级要求, 并且由管理部门确认信息系统能够投入运行, 这就是信息系统的认证和认可 (C&A) 。这个阶段一般由国家专门的测评认证和认可部门进行。信息安全立法、评测认证体系对等级保护起着至关重要的作用。由于业务的发展和信息技术的更新, 信息系统始终处在变更过程中;由于新的安全漏洞和威胁的不断出现, 信息资产也会出现新的安全脆弱点, 这可能会影响到整个信息系统的安全风险状态和安全等级。所以, 用户需要建立一套动态的安全状况跟踪和监控机制。
四总结
信息系统安全等级保护研究与实践 篇3
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
信息安全等级保护工作计划 篇4
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案篇二:医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案
医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。
一、组织领导 组 长: 副组长: 组 员:
领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》(gb/t22239-2008)等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,具体要求如下:
三、工作要求
1、建立安全管理组织机构。成立信息安全工作组,网络办负责人为安全责任人,拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件,应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件,应在24小时内向公安机关报告,并保护好现场。篇三:2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报
一、加强领导
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过ups供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的ip绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系; 在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的usb等外设接口的控制管理,采用key用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出sql注入,ftp匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
xx信息等级安全保护自查报告 篇5
根据xx市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《xx省地税局2010年税务信息系统安全检查方案》,从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对xx区地税局信息安全系统进行了认真地自查与整改,现将自查情况报告如下:
一、领导高度重视,组织、部门健全
xx区地税局领导班子高度重视信息系统安全工作,本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,成立了xx区地税局信息系统安全领导小组,区局一把手担任领导小组组长,分管领导为副组长,下属各单位负责人为成员。
各基层分局设立计算机管理员岗位,分别 有责任心、取得全国计算机等级二级以上(含二级)证书、熟悉业务操作的人员担任,负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求,不定期地对计算机管理员开展相关业务培训。
二、结合安徽地税系统安全自查方案,认真开展自查工作
(一)安全管理方面:区局制定了《xx区地税局公文处理应急预案》、《xx区地税局内部网站应急预案》、《xx区地税局网络故障应急预案》、《xx区地税局计算机机房运行维护管理办法》,并着重落实上级部门下发的信息安全政策、法规和规章制度。
确定信息中心一名工作人员担任信息系统安全管理员,具体处理信息系统安全的相关工作。区局中心机房于2008年建成,面积约90平方米,安装了接地保护装置,配备了手持式灭火器,配有两台柜式空调,并确保空调24小时正常运转。加强中心机房的供电管理,配备一台专用的10KV UPS电源专供中心机房设备使用,配备一台专用的6KV UPS电源专供征收大厅设备使用,并定期对UPS电池性能进行相应测试。
xx区地税局办公网络已于2009年元月实行内、外网物理隔离,内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区,通过一台硬件防火墙进行对外与对外的访问控制,所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离,基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离,其他计算机只允许上内网。
征管数据市局集中后,区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库,定期对上述数据库进行备份,并将备份数据复制到文件服务器上。
(二)安全技术方面:区局的网络通过租用联通的专线,实现市局、区局及分局三级网络互联,各基层分局通过路由交换和以太网两种方式按入区局,区局机关按股室按分VLAN。
区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层,3台华为3026交换机作为接入层。除华为3552交换机有热备份,其他网络设备没有冷、热备份,通过1台东软硬件防火墙进一步加强网络安全管理。
区局中心机房外网设备目前有5台华为3928交换机,1台防病毒网关,1台上网行为管理,1台防火墙,另外租用网通地址,各基层分局以以太网方式接入互联网。
xx区地税局共有服务器6台,5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server,所有服务器根据账号策略设置用户密码,强化安全管理。xx区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理,并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略,提高系统的网络安全系数。
(三)工作用台式机、笔计本电脑和移动存储介质检查和加固: 及时更新台式机和笔计本电脑的操作系统和应用程序补丁,禁用GUEST用户组,统一安装网络版瑞星防病毒软件,并通过设置自动升级和定时对计算机进行扫描,对外接的USB设备,必须进行病毒扫描。
三、存在的主要问题
通过本次自查发现,我局信息系统存在不少安全隐患问题,主要有以下几方面:
(一)安全保护意识有待增强,各种安全保护措施有待加强,部分管理人员的安全保护意识薄弱。
(二)数据的存储及备份机制还不够完善,存在信息丢失的隐患,存在移动存储介质内外网混用,个别笔记本电脑存在内外网混用。
(三)因区局搬迁新办公楼后,对区局的内网进行了重新规划,路由策略进行了了修改,核心网络设备失效的路由策略未即时清理。
(四)重技术建设、轻安全保护。进行计算机信息系统建设规划时,主要考虑了业务需求和系统技术性能要求,没有很好地将系统的安全保护措施一并考虑,造成安全保护工作相对滞后。
四、加强安全保护工作的意见和建议
根据信息安全自查的情况,结合区局实际情况,现就加强区局信息系统安全工作,提出以下意见和建议:
(一)加强领导,提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定,不断增强信息系统安全保护意识,做到认识到位、措施到位、管理到位。
(二)认真落实技术防范措施,着重落实以下等安全保护技术措施:
1、系统重要数据的冗余或备份措施;
2、计算机病毒防治措施;
3、网络攻击防范、追踪措施;
4、研究有关内网补丁升级的措施。
(三)严格防范内外网移动存储混用,加强对移动存储的分类管理,严禁在外网机器处理或保存涉税文件,严格执行内、外网物理隔离制度。
(四)停用内外到外网出口,瑞星防病毒托管服务器升级下挂到市局。
(五)加强网络和安全设备管理,调整网络和安全设备配置,严格网络访问控制策略,保护网络安全。
等级保护评测是信息安全首要环节 篇6
(一)转载
朱建平:各位来宾大家下午好。由我来讲,我们评估中心专门是从事测评工作的,所以我想介绍政策法规。所以这个关于等级保护的政策方面,还是以后有机会让顾局有机会跟大家介绍。我今天跟大家讲讲和我们工作,等级评估工作相关的测评方面的一些工作。
今天想给大家讲三个方面的内容,一个是等级测评,在等级保护中的作用和地位。第二个是等级测评在奥运安保中间的作用。第三是等级测评一个简单的介绍。
信息安全等级保护的工作流程主要有五个规定:第一个就是定级,定级工作目前市部委下发了一个文件,基本上已经圆满结束了。接下来,第二个阶段的工作就是根据你这个信息系统定完是多少级,要进行相应这个级别的建设和整改工作。在整改和建设完成以后,就有一个对这个系统来进行一个测评。测评完了,应该向主管公安部门进行备案,根据备案材料,进行法规所赋予的监管权利和义务,对这个信息系统进行监管。
通过信息安全等级保护工作流程可以看出,定级是一个首要环节,是定级保护工作的一个开始的环节,但不是核心环节。定级只是一个手段,目的是为了保护国家对已经确定的安全保护等级的信息系统,根据信息技术发展,根据现在的黑客攻击能力,对一到五级的系统,在技术和管理方面,十个部分已经规定了最低的保护要求,如果满足了基本要求,系统就具备了相应等级的基本安全保护能力,达到了一个基本的安全状态,基本要求这个环节是信息安全等级保护的核心。已经确定安全保护的系统是否满足基本要求是需要信息安全等级测评来进行判断的。
系统安全等级测评,不同于一般的安全测和风险评估。等级测评活动的完全首先是依据系统安全保护等级和该级别系统的基本保护要求。同时还要求测评人员具有把握国家政策,理解和掌握相关的技术。最为重要的是等级测评的结果,将是国家信息安全监管部门依法行政管理的技术依据,因此,等级测评活动,是一项政策性很强的技术专业化的一个信息安全服务。
由此可见,信息安全等级测评,是开展信息安全等级保护工作的一个重要环节。是在国家管理下的技术支撑活动和纯粹的商业化的评估有明显的区别。信息安全等级测评,首先要满足国家管理的需求,但是可以采取市场化运行的一种模式。第二给大家介绍一下去年奥运工作中,我们等级测评的一些工作。这是整个等级测评在奥运安保中作用的一个图。对于某一个奥运的信息系统,首先我们开展了一个定级的工作,采用了我们评估中心制订的国家标准,定级指南,对这个奥运系统进行定级。定级指南是2240,基本要求是2239。根据这个定级的标准,把这个奥运信息系统定完级以后,其实它应该具有什么样的保护,有什么要求,基本上已经定了。
然后有一个第一次的测评,就看它比如说定的是三级和基本保护的要求,三级的要求,看看它符合性有多少,那第一次测评基本上都是差距比较大。所以,这个奥运的系统进行了相应的整改。按照基本要求,当时对四个奥运的系统进行测评,问题还是比较大。找出来的问题比较多,经过整改了以后,使得它达到了基本保护要求的很多项的要求都已经满足了,但是我们觉得奥运系统,达到一个基本的安全状态还是不够。为什么?因为这是在我们现在提出的那个基本要求是泛泛针对整个信息系统,它是一个底线的基本要求。
这证明了,如果你达到了这样一个基本要求,证明了你这个系统达到了一个基本的安全状态。如果在一个特定的时期,比如说你在奥运期间,有很多国外的这些反华的势力还有其他的机构,可能会对这些系统进行一些不利于我们国家的一些情况的动作,所以,在这样特殊的威胁之前,对我们的奥运系统又进行了一个特殊安全需求的挖掘,然后又进行了风险评估和渗透测试。
在这个风险评估和渗透测试这些特殊的安全系统加进去以后,发现也有很多问题,然后再进行整改。整改了以后,再进行第二次测评,测评完了以后,在奥运之前,基本上这样反反复复做了三次,使得我们奥运的四个信息系统,在整个的奥运期间,大事没有出,小事也基本上没有,达到了我们国家对奥运信息系统预期的一个安全上的要求。
从奥运的工作中间,我们可以看到,应该要用等级保护的思想,对这个信息系统进行保护。然后风险评估是寻找系统的脆弱性,渗透测试主要是验证这个脆弱性的机构。所以我们认为等级保护是这个信息系
统安全保护的一个基础。风险评估,它是一个有益的补充,然后渗透测试它是对这个系统安全性的一个验证。
第三,向大家介绍一下等级测评。这是等级测评的一个过程,针对某一个信息系统,跟奥运的一样,首先要用国家的标准对这个系统进行定级,定级的过程大家都比较清晰,主要是考虑它对国家重要性的程度,和它损害以后的危害和要素来进行定的级。定完级以后,用基本的要求,对它进行最基本的保护。但是由于现在很多的信息系统不是新建的,都是已经在运行使用的,所以它当时在运行使用设计的时候不是按照这个等级保护的要求来做,所以会有一些地方有一些差距。所以,一般在整个活动中间,定完级以后,后面的工作没有强制一定要进行测评,也可以根据标准,比如定了三级,可以根据级别要求,三级所要求的项和你自己的信息系统设计的那些安全状态进行比对,但是有很多的运行使用单位,它的信息中心,或者是信息安全的主管的那些部门,他人手比较少,信息系统比较大,这样一个比对工作无法单独自己完成,所以也就可以委托那些测评机构,对他的现状,目前的安全现状和他所定的级别之间的差距有多少,可以做第一次的测评。
我们评估中心目前现阶段做的大部分测评工作,主要是现状测评。测评完以后,可以提出一个系统整改的最基本的安全需求,就是和所定的级的差距项有多少项,这是整改的第一个需求。
根据这些需求,你也可以根据你自己行业的一些特殊的需求,比如说,你的上级主管部门要求你的,比如说银行,我们这个标准里面要求业务连续性没有那么高,但是银行的那个他要求你必须得要四个九的业务联系要求,也就是说一年只能够停半小时这样的要求,比我们的基本要求高,这些行业的特殊的安全需求,也可以加进来也是作为一个整改的内容。
然后进行整改以后,再进行法规上的要求的第三个规定动作,测评。第二次测评是一个符合性的测评,就是和国家要求你的级别所应该达到的保护能力的一个符合性测评,测评肯定存在两个结果,一个结果是做得不错,全部都按照基本要求,都测试合格了。我们认为你这个系统已经达到了一个基本的安全保护的状态,是可以备案运行使用。还有一种情况,肯定是存在某些项目没有达到,存在一些缺陷下,对于这个缺陷,我们目前处理的方法是,对这个缺陷下,要进行风险评估,并不是说,判你不合格,然后又让你打回去,再进行整改,再测评,这样可能会造成一些死循环。因为有些系统,由于本身的原因,业务上的一些原因,是不一定能够达到你这个级别所要求的那些技术。在缺陷存在的情况下,你就得要进行风险评估。看看有什么威胁,能对这个缺陷起作用,然后存在的风险有多大,如果你这个信息系统什么也没有,那可能你计算出来的风险就很大。那个时候,可能就得要回去加一些东西,如果说,你觉得强制保护工作做不到,那我做一些其他的,但是也是能够提升他的保护,然后降低这个风险的,比如说我做了一些防护控制和间谍,使得他的防止内部人员作案不容易了,然后再进行风险评估的时候,发现他的风险值就降低了。然后你通过增加一些其他的不是强制防护控制的机制,使得它的风险降低了,原来是5,现在变成了3,根据风险评估的界定,风险的大小可以决定这个信息系统是不是可以运行,所以我们把它作为是带病运行。并不是说是可以永远带病运行,如果是三级的系统,要一年做一次测评的。短期可以带病运行,但是不能保证长期的带病运行。如果长期的技术或者条件许可情况下,还得要按照要求来达到最上面的合格,达到一个基本安全保护的状态。
前面说的那么多必须要达到,那么要什么依据来让我做到。我现在向大家说一下,我们这个等级测评,最后判定的是系统的保护能力。什么是保护能力呢,就是该级别的系统,应该具备该级别的保护能力。信息系统由于种种原因造成被攻击目标。对信息系统,实行安全保护的目的,就是要对抗系统面临的各种威胁,从而降低由于威胁给系统带来的损失,但由于信息系统的保护成本很高,不可能全面抵抗各种各样的威胁,因此,系统因根据其重要的程度,具备不同程度的安全保护能力,以抑制受保护朋友,并在遭受攻击后得以的快速恢复。保护能力体现在两个方面,一个是抗威胁的能力,还有一个是系统的恢复能力,这两个方面,八宝壶成本合理得用在最需要的地方。
这里向大家介绍一下,第三级的保护能力。保护能力,应能够在统一安全测量下,防护系统免受来自外部有组织的团体,拥有较为丰富的资源,较为严重的自然灾害,持续时间较长,覆盖范围较广等,其他相当程度的威胁,内部人员的恶意威胁,较严重的技术故障等所造的损害,在系统遭受危害之后,能够较
快恢复绝大部分的功能。
下面是这个保护能力的一个最终实现和体现的,这是一个图。某级的信息系统,三级的,我们认为,你必须具备三级的保护能力,就刚才前面介绍的,有两个部分组成,一个是应该抵抗的威胁和遭受破坏以后,你的恢复能力。
朱建平:等级保护评测是信息安全首要环节(二)转载
这个级别的保护能力,等级保护就是说,这个能力必须要强制必须要做到,和其他的一些测评是有本质的区别。然后这个保护能力,你怎么实际去做到?我们中间有一个安全目标。这个安全目标是把保护能力进行了细化,有各种安全措施来进行实现。怎么来实现这些安全目标?我们的基本要求,列出了一大堆的安全措施和安全机制来对应这个安全目标。当你在选择安全目标的时候,可以基本要求里面对应的,比如三级可以从三级里面去寻找对应的安全措施,也可以选取更高级别的,如果这个级别对你来讲比较弱,还可以选择更高级别的要求里面去选那些安全措施来满足你这个安全目标。
还有一个我觉得就是某一个层面,我实现得很困难,但是我是不是可以从其他层面上来保护?这个也是一个没有办法的办法。因为这个信息系统安全大家知道,还有一个终生防御的概念,我在各个层面上都可以加不同的安全机制,当某一个层面被突破以后,另外一个层面上还有一些保护措施,使得它的攻击比较难,因为有一个终生防御的这样一个机制在里面。当你的资金各方面存在困难,然后这个安全目标必须要实现的时候,可能我们要求你在某一个层面,比如说要求你是在主机层面上实现比较困难,可能在其他的层面上去实现。但是所对应的安全目标,是目前要满足的。措施可以选择,有一些基本要求的条款,你觉得这些条款对你实现来讲,或者和你现在已经采取的措施来讲,有一些地方你做的东西和我的是差不多的,所对应的安全目标也是一致的,那其实也是可以通过这个其他层面的安全措施的一些互补关系来进行分析。然后最终选取达到安全目标采取的措施。
还有就是现在新发展的那些安全措施,安全技术,我们也不排斥,等级保护的措施也排斥,只要你这些安全措施提供的安全功能和机制是能够满足我这个安全目标的,那我也可以认为你选择对的安全措施。还有一个就是刚才前面讲了,实在做不到,是不是可以探索,也能够满足你的安全目标,或者基本满足你的安全目标,这也是可以进行尝试的。因为你这个有保护,我们认为,你有保护,总比没有保护好,我这个做不到,我什么也不做,那肯定是不合适的。因为这条做不到,但是想了办法了,也采用了一些其他的保护能力比较低的,但是通过它的组合,使得它的安全能力进一步提高,这是一个保护能力,如何来实现的一个图。
我们的基本要求,对于不同的级别,推荐了十个方面的一些措施和机制。主要分技术要求管理要求。技术要求是五个方面,主要分在物理安全、网络安全、主机安全、应用安全、数据安全。
对于信息系统,安全等级保护的状况进行测试评估,应该包括两个方面,刚才前面讲了,按照我这个要求,已经做完了,要测评,怎么测评呢?下面向大家介绍一下测评。测评工作主要分两个方面。一个是单元测评,就是前面讲的分了十个方面,但是每个方面它下面还下挂着很多的那些单元的要求,比如物理安全,有物理位置的选择、控制等等一些单元的测评项。单元测评主要是信息安全保护的一个基本控制的情况,主要测这个情况。还有一个是整体测评。整体测评,它主要是分析信息系统的一个整体的安全性问题。
测评的基本方法有三种,一种是访谈,另外一种是检查,还有一个是测试。访谈的对象主要是人员,典型的访谈包括访谈信息安全主管,信息安全管理员,信息系统的网络安全员,设备安全管理员和用户。工具主要是管理核查表。适用的情况是对技术要求使用访谈方法进行测评的,目的是为了了解信息系统的全局性,包括局部,但是不是细节方向。一般不涉及到具体的实现细节和具体的技术措施,对管理要求,访谈的内容应该较为详细和明确。我们对这个访谈的策略,后面会讲,就是我这个测评有一个测评强度,访谈获得的证据,一般不作为系统测评判定的是否达到要求的一个主要依据,作为是一个参考的依据。但是对低级别的一些系统,有一些访谈的结果是可以作为他测评的依据的。
检查主要有评审、核查、审查、观察、研究和分析等等。检查对象是稳当、机制、设备等,工具是技术核查表。对管理要求,检查的方法主要用于规范性的要求,检查文档。你把防火墙的策略打出来,我看
一看,是不是这个配制,和整体安全的要求,策略是不是一致,把这个都是检查,不是自己动手做。最后的测试是要自己动手,主要分在功能、性能测试还有渗透测试这两个方面。测评对象包括安全的机制,设备等等。测试一般需要借助于特定的工具,比如扫描检测工具,网络协议分析仪等等。适用情况,对技术要求来讲,测试的目的是验证信息系统当前的安全机制,或者运行的有效性和安全强度等等。对管理要求一般不采用测试技术的。
接下来向大家介绍一下测评强度。对信息系统的要求,安全等级越高,基本要求强度越强。体现为安全控制的多少,而且越细。比如说物理安全上面的环境选择,一级的可能AB就两项,二级的ABCD有四项要求,三级的可能ABCDEF,这是体现安全控制的点的多,还有要求更细,这是基本要求上面的一些要求。
对测评也提出了不同的要求。安全等级级别越高,测评的强度应该越强。测评强度,体现在这个测评工作的努力程度上,反映出测评的广度和深度,这个强度从一级到四级是逐步增强的,也就是说,我所获得的证据的那个准确性就更高,遗漏的情况可能就会更少。
咱们可以举一个简单例子,比如说在做网络控制列表测评的时候,你这些用户名和用户都是你开的吗,每个用户是谁你都知道吗?他说这些都是我开的,还有几个什么以前的临时帐户什么的,为什么还留着?因为有的时候调试还要进行调试,你只要回答得出这些问题,上面的那些防护控制列表上的用户,只要你的管理员都知道这些帐户是什么用处的,那么一级基本合格。到二级这样强度和深度是不够的。首先问他,这些方面的没用的,经常不用的,临时的是不是都已经删除掉了?你上面现在有的这些防护控制列表,是不是是随意的,你自己控制的,说我可以添加一个用户,让它授予权限,还是必须每个开用户授权都是有明确的授权书,是根据授权书执行授权操作还是可以操作,那对二级来讲是不行的。有管理部门对这个人员的使用要求要授权,测试的要求就高了,深度就深了,更细了。到了三级要求更高,我举一个例子,表明这个测试,同样测一项指标,可能不同的级别,所付出的努力和所提的要求是完全不一样的。
向大家介绍一下系统测评。系统测评主要包括安全控制间的安全测评,还有层面间的安全测评,还有区域间的一些安全测评。根据这个关联作用,逐层测评分析安全控制间、层面间和区域间的关联关系,对整体安全保护能力的影响。这个主要是考虑就是前面我们是把这个系统的要求打碎了,把它技术分在五个层面上,但是我在测评的时候,我还要把它列起来,看它回到基本要求最前面的保护上去。所以某一个测评项,可能不满足,不并不是判定你整个的系统就不满足了。我首先通过系统测评要考虑是不是在同一层面上是不是存在一些安全机制,和它是互补的,我做了这个,等于是达到了另外一个一样的安全目标这样的功能、作用。还要看如果这个层面上没做,那另外一个层面上是不是做了,举一个简单的例子,防止信息在网络上传输的时候被人家窃取,如果你做了密文那就更好了。明文走密道合不合格,也起来了作用,因为这个标准上的要求是要密文走明道的,这个是不同层面间存在的互补关系,而且所对应的基本要求里面的防止内部人员通过网络侦听来获取信息这样一个安全目标,能够达到我们认为你这个系统整体测评在这一项上也是合格的。
还有就是区与区之间的测评,这是一个整体测评的,还有从系统整体结构方面来进行考虑,这是一个系统整体的测评的问题。测评是一个很复杂的,我们认为测评其实是有两个部分,一个是测一个是评,测,前面讲的单元测评是解决一个测的问题,获取证据,后面的评主要是从系统角度来进行评估和评判。这么多获得的那些证据把它串起来,分析相互之间的关系,然后做出最终的一个判断,使得你这个系统是不是达到了这个系统的保护能力的要求。我们所关注的是保护能力不能缺失,而不是说某一个安全机制或者措施缺失了。
信息安全等级保护服务 篇7
随着医院信息化的迅猛发展,医院信息系统已经深入到医疗工作的各个环节之中,信息系统的安全一旦受到威胁将会严重影响到医疗活动的顺利开展,因此该工作受到了医院越来越高的重视。
信息安全等级保护是国家出台的针对信息安全分级保护的制度,其最终目的就是保护重要的信息系统的安全,提高信息系统的防护能力和应急水平。
为了信息安全等级保护制度能够更好的在各医院得到有效的落实,国家有关部门针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011]85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神,医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程
2.1 信息系统定级
信息系统定级主要考虑两个方面,一是业务信息受到破坏时的客观对象是谁,二是对于客观对象的损坏程度如何。两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
针对医院,一般门诊量都比较大,当在早晨挂号、就诊等高峰的时候就会有大量的患者排队,如果一旦发生系统瘫痪就会造成大面积患者排队,很容易引发群体事件。因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。涉及的信息系统即与挂号、就诊等门诊患者密切相关的系统。
2.2 信息系统评审与备案
按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
2.3 信息系统安全建设与整改
在完成备案后需要开始对信息系统进行合规性建设与整改,主要分为以下几个步骤完成。
2.3.1 等级保护差距分析
等级保护的要求整体分为技术与管理两个方面,而技术又可以分为SAG三类,主要包括:
业务信息安全类(S类):关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改,比如在传输患者数据及费用数据是否进行了加密传输,在传输过程中如果出现异常能否及时发现等。
系统服务安全类(A类):关注的是保护系统连续正常的运行,比如机房的电力方面、服务器的负载方面、HIS系统的容错性与资源控制,是否支持单机挂号、就诊、收费、取药,能够在系统服务器瘫痪的情况下保存现有数据,并继续开展诊疗活动,再有就是灾备的建设情况,是否可在系统瘫痪的情况下进行快速恢复。
通用安全保护类(G类):大多数技术类安全要求都属于此类,属于基础类,如机房的物理安全,网络及主机的访问控制与审计、信息系统的审计等。
管理方面三级等级保护执行的是管理G3的要求,控制项为154项,医院需要根据自己的管理制度与控制项进行逐一比对,列出不符合项。
技术方面三级等级保护可进行选择性执行,主要分为G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G类必须达到三级,A类和S类选择一个达到三级即可。医院可以根据自身的实际情况选择一个标准进行差距分析,最严格的G3S3A3控制项共计136项。
根据管理、技术共计290个控制项医院可进行自行评定得出与等级保护三级的差距分析。
2.3.2 安全需求分析
当前,医院对于信息安全的关注点主要集中在业务连续性与数据隐私保护方面,因此可根据差距分析结果结合医院实际安全需求进行集中分析,使信息安全的建设工作可以满足实际的临床需求,这样才能使资源有效利用,避免资金投入的浪费。
2.3.3 安全建设/整改方案
在明确需求后就要进行整体的方案设计,在设计过程中,要提出总体规划(近期、远期)和详细设计方案,将其细分为不同的子项目,逐一进行完善,最后应组织专家对方案进行评审。
2.3.4 方案实施
完成方案制定与评审后及进入实施阶段,实施过程中应注意管理和技术并重的原则,将技术措施和管理措施有机结合。简历信息系统综合防护体系,提高信息系统整体安全保护能力。
2.4 开展等级测评
信息系统建设完成后,可以着手进行等级保护测评工作,测评需要找公安局认可,具有“DICP”认证的测评机构,机构名称可以在“中国信息安全等级保护网”进行查询,测评机构测评周期一般为一个月。等级保护测评的主要流程。
2.4.1 测评准备阶段
这个阶段主要是测评公司于医院进行前期的沟通阶段,医院需要向测评机构介绍本单位的大致医疗流程,介绍数据流的输出过程,介绍系统的拓扑结构、设备的使用情况等,随后测评机构会根据医院提供的相关信息准备相关的测评工具及表单。
2.4.2 测评方案制定阶段
此阶段测评机构会定制测评指标、测评工具接入点,并对测评的内容进行确定,编制测评方案书。随后与医院进行沟通,确定现场测评的时间以及现场测评的主要内容和流程。
2.4.3 现场测评阶段
此阶段测评机构会进驻医院大约一周左右,主要对上文提到的管理与技术共计290个控制项进行逐一测评,此阶段与医院关系密切,需要逐一测评时双方要约定好时间,不能影响医院业务的正常开展,比如做漏洞扫描等需要占用服务器资源的操作时尽量选择下班等非业务高峰期进行。测评工具的接入前要进行充分测试,保证其对现有业务不会造成任何影响。在此阶段医院的网络工程师、系统工程师、审计工程师需要在场进行配合。
2.4.4 分析与报告编制阶段
完成现场测评后,测评机构会整理所有的单项测评结果,并对其进行分项判定,会对医院的整体结果进行分析,最后给出测评报告,告知医院存在的风险点、整改建议和测评结果。
测评结果是标准医院是否通过测评的主要依据,根据等级保护相关要求,测评结果分为:不符合、部分符合、全部符合,其中不符合为没有通过测评,部分符合和全部符合为通过测评。根据医院的逐项测评数据,290个控制项除必须达到的项目外,达到80%以上符合的即可通过测评。
2.5 做好自查与配合监管部门检查
根据等级保护制度要求,当信息系统定级为第三级时,每年至少进行一次等级保护自查,并且监管部门每年至少来医院现场检查一次。因此该项工作是一个长期工作,必须常抓不懈。
2.5.1 等级保护自查
目前公安局已开发出信息安全等级保护自查工具,医院可以利用工具进行自查,工具主要需要填写医院的信息安全组织机构、资产信息、制度信息等基础信息,然后再进行各备案系统的自查,自查过程需要关联之前填写的资产和制度信息。完成后提交当地公安部门。
2.5.2 监督检查
监管部门多数为当地市属公安部门,公安部门每年定期对三级系统进行上门检查,检查依据主要是自查工具中提供的拓扑、自查以及管理文档,检查时间一般为半天,检查完成后公安部门会对检查结果进行评定,并对下一步安全工作给出建设性指导意见。
3 等级保护建设总结
信息安全等级保护建设可从合规性和系统内需驱动两方面考虑,并要定期检验建设的合规性、合理性。
合规性是指在政策要求指导下构建医院完整的信息安全体系。要落实国家等级保护标准;响应卫生部推进等级保护建设工作的指导精神;通过国家等级保护测评;为医疗行业信息安全体系建设以及等级保护建设方面起到试点示范效应。
系统内需驱动是指结合业务发展,进行系统化建设,切实提高自身信息安全防护水平。实现主动防御外部入侵威胁,防范内部不规范操作带来危害影响;降低日常信息化管理工作难度,提高对复杂、异构信息系统的运管效率,做到“有法可依,有技可行”;对已建、新建和拟建的信息系统进行合理规划,规范建设。
医院信息安全建设,要切合自身条件特点,分批分期循序建设,保证医院各系统能够长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求,这才是信息安全等级保护建设的重要意义所在。
参考文献
[1]信息系统安全保护定级指南.
[2]信息系统安全保护实施指南.
信息安全等级保护服务 篇8
关键词:信息安全;等级保护;定级;备案
中图分类号:G203 文献标志码:A 文章编号:1673-8454(2015)21-0012-05
一、背景
近些年来,随着互联网和信息通信技术的发展,信息系统在各行业、各领域快速拓展。随着大数据时代的到来,伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异,保障网络与信息系统安全,已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全,逐步推出了相关政策和工作办法。
二、信息安全等级保护概述
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]
系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统,为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施,所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。[2]
1.信息系统定级备案基本分类
信息系统定级是等级保护的第一步,需分析系统的业务信息类型和系统服务类型,确定信息安全受到破坏时所侵害的客体,确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。[4]
2.高等院校信息系统定级备案的基本原则
为了保护信息安全等级保护工作的科学性、合理性,高等院校的信息系统在实施过程中应遵循以下原则:
(1)自主保护原则。在高等院校的信息安全等级保护工作中,学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护,并接受信息化主管部门的监督、管理。
(2)重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,优化信息安全资源配置。
(3)同步建设原则。按照等保要求,在学校新建和改建的信息化项目中,将信息安全建设与系统建设同步规划、实施。
(4)动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时,应根据等级保护管理规范和技术标准的要求重新定级、备案,实施安全保护。
三、高等院校等保定级备案管理办法的研究
1.高校信息安全管理存在的主要问题
目前高等院校在信息安全等级保护备案方面存在着以下问题:
(1)二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。
(2)系统、网站的建设注重业务应用的实现,缺少安全设计和部署,开发环境与生产环境混淆,没有足够的测试急于上线,缺少安全防护意识。
(3)系统的不断改造升级,增加了网络安全的脆弱性,降低了系统的安全状态。
(4)部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
(5)由于学校人员组织、编制等限制,无法严格按照等保要求组建专门的、专业的安全运维管理组织,配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱,不足以开展安全自查、安全防范和风险分析排查。
针对上述问题,本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等,以改进高校等保定级备案工作。
2.高校信息安全保障机构的建立
以高校现有校院两级管理实体为基础,确定信息安全领导小组、专家组以及信息安全主管部门和责任人,统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制,保证全校的信息安全建设与运维的管理职责得到落实。
本文建立的信息安全保障机构实质上是一个三级机构,如图1所示:
(1)信息化主管部门
信息安全领导小组领导下的信息化主管部门通常包括两类:
一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理,包括网站审批、舆情监控;负责信息安全组织机构的人员信息登记等工作。
另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作;负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全;根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。
(2)信息安全第一责任人
二级单位信息安全第一责任人原则上为本部门一把手,对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任,负责建立和完善本部门网络安全和信息安全组织,统筹本单位的信息系统建设,建立健全本部门信息化管理制度,审批确定本部门信息系统的安全运维方案和应急预案。
信息系统和网站的申请建设、改造升级以及撤销,信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作,报信息化主管部门备案。
(3)二级单位信息安全工作实施小组
二级单位信息安全工作实施小组主要包括四类人员。
①信息安全员
各二级单位须指定信息安全管理员,负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导,协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作:
协助信息安全第一责任人统筹本单位的网络建设和信息系统建设,管理本单位的二级网站和三级网站,包括信息系统安全等级保护定级备案以及自查等实施工作。
负责本单位局域网管理,学校固定IP、域名等网络资源的申请、配置、管理工作。
负责本单位的信息收集与维护工作,保证数据的准确性、及时性,支持校内外信息交流和交换、数据上报。
负责本单位网络安全、信息安全与保密工作,对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。
②系统管理员和网站管理员
系统管理员和网站管理员应是在职教职工,根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作,从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作,保障系统正常、稳定运行。
③信息发布员
信息发布员是网页具体内容的审核发布人员,应保证信息的及时有效性,能根据上级领导或主管部门的要求更新、撤销、归档网页信息。
④资产管理员
通常高等院校各二级单位都有固定资产管理员,虽然这些管理者不是信息化专业人员,但是负责软硬件各类设备的管理,因此也应纳入等保安全保障体系范畴。
3.校内定级备案工作
高等院校,特别是理工类高等院校内的系统/网站繁多,且教学、科研、服务等应用目标不同,管辖等级不同(校级、院部处级、实验室以及群团组织等),但无论系统大小都应按照有关法律法规进行等级保护定级备案。
各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求,参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级(高校一般不涉及四、五级系统),实施安全保护。原则上安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]
本文设计的高等院校内部定级备案工作流程如图2所示。
本工作流程中,等级保护定级备案的关键节点在于二级单位在新建系统或网站时,需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作,以防疏漏。
如果是校级系统、二级单位重要业务管理系统,通常需要经过经信委等上级主管部门的审批,因此可以在立项之时就进行相应的定级备案、安全规划,落实信息安全等级保护相关控制,以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。
4.自查监察管理办法
(1)等保自查
学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点,对管辖范围内的信息系统依据保护级别制定安全策略,规范管理和技术实施,并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果,上报主管部门备案。
(2)安全监控
信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态;从物理环境、网络、系统、应用、数据,到最终的用户终端汇集安全监控审计信息(详见图3),并进行分析及时发现安全隐患,提供可能的解决方案和技术支持。
信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作,完成每年度的信息安全等级保护工作汇报,保障敏感时期的信息安全保障工作。
(3)整改管理办法
对于自行发现的安全隐患以及上级下达的整改通知,信息化主管部门通知二级单位,落实人员限期实施整改,并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后,二级单位以书面形式上交整改报告,说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统,信息化技术主管部门有权停止网络服务,经核准整改效果后方可销案,同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组,寻求领导层和校外专业团队的指导。
四、高等院校等保定级备案管理系统探究
信息安全等级保护定级备案以及自查整改的实施,大多是信息采集、录入和管理工作。然而又不同于一般的行政管理,需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。
目前已经有公司推出了信息安全等级保护综合管理系统,通过应用软件实现各种备案信息的录入、批量导入/导出、审核,从而进行备案信息的查询、检索和统计,以及为上级主管部门提供本单位的信息系统备案状况。但是,这些系统大都缺乏分层管理、数据关联、约束检查,使等保信息还是处于分散的状态中,也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发,讨论此类系统的设计思想,以实现定级备案工作在高校实施中的有效落地。
1.数据关联与约束(见图4)
建立信息安全保障体系对照表,通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统,分别是几级系统;可以知道每个系统使用了哪些固定资产,管理员是谁;可以知道每个系统建立或使用了哪些制度,是校级的还是二级单位内部的,等等。例如,通过上述关联可以很容易得到如表1所示的查询统计表。
而从表2不仅可以获得二级单位各系统的资产信息(软硬件),而且可按系统、部门进行汇总计算,获得国外产品百分比统计等信息。
通过资产编码Assets_code关联资产信息和资产检查表,按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果,并记录日期,可以用作后续的变更记录和跟踪。
通过系统编码System_code从系统定级信息获取系统安全等级G_level,对应到管理要求表得到相应的检查项信息,再根据“制度-管理检查项对照”自动获取校级制度,便于二级单位的管理制度检查信息的填报。
这些关系的建立,不但可以获得更多的级联信息,而且可以进行约束。例如,通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度;通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备,等等。
2.数图关联
资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步,以确定学校各系统的资产,明确责任人、物理位置、使用情况以及数据信息交互情况。
高校信息系统的资产管理大多还处于手工管理的离散状态,即便有固定资产管理系统,也只是从财产角度对各类资产进行注册在案(其分类与信息化角度不同),没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。
本文建议建立基于拓扑结构图的信息系统资产管理,便于基础信息的录入、等保检查项检查和直观展示。因为,如果只是通过二维表或者树状结构图的形式输入资产信息,难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理,可以通过图形符号的方式建立资产之间的关联,便于掌握一个系统的整体资产情况。例如,一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产,逐一录入(包括没有固定资产的免费资源)。如果少了哪一层资产没有填报(没有需说明理由),即当前备案信息尚不完备,则该系统应该是不允许访问的状态。从等保管理要求,信息化主管部门就可以停止其运行服务。
五、结束语
每个高等院校都会有自己的信息化组织机构、管理制度和办法,信息化建设进程也不尽相同,在具体应用《信息安全等级保护基本要求》时,不应一味追求所有的安全项,而是要根据学校自身信息化建设情况、特点,兼顾可操作性设计和实施信息安全体系建设,稳步渐进地落实等级保护工作。
参考文献:
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.
[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http://www.ict.edu.cn/laws/difang/n20140623_14386.shtml,2014-06-23.
[3]沈昌祥,信息安全保障建设中的等级保护[J].信息技术与标准化,2007(11).
[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南(试行)[Z].2014.10.
【信息安全等级保护服务】推荐阅读:
信息安全等级保护体系设计10-01
信息安全等级保护管理办法11-28
信息安全等级保护工作汇报的内容06-14
信息系统安全等级保护备案操作规范08-14
安机关信息安全等级保护检查工作规范05-14
网站系统信息安全等级保护建设整改方案09-09
关于印发《关于信息安全等级保护工作的实施意见》的通知10-24
二甲中医院评审医院信息系统安全等级保护工作实施方案10-23
国家网络信息安全等级10-18