信息系统安全等级保护备案操作规范

2024-08-14

信息系统安全等级保护备案操作规范(精选9篇)

信息系统安全等级保护备案操作规范 篇1

信息系统安全等级保护备案操作规范

一、项目名称、性质

(一)名称:信息系统安全等级保护备案

(二)性质:非行政许可

二、设定依据

二OO七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定:

已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。

三、实施权限和实施主体

根据《信息安全等级保护管理办法》第十五条规定,实施主体和权限为: 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续;

跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统,应当向自治区公安厅网络警察总队备案。

跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统,应当向市级公安机关网络警察支队备案。

四、行政审批条件

无。

五、实施对象和范围

根据《信息安全等级保护管理办法》第十五条的规定,实施对象和范围是:不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。

六、申请材料

(一)、《信息系统安全等级保护备案表》;

(二)、《信息系统安全等级保护定级报告》;

(三)根据《信息安全等级保护管理办法》第十六条的规定,第三级以上信息系统应当同时提供以下材料:(1)系统拓扑结构及说明;

(2)系统安全组织机构和管理制度;(3)系统安全保护设施设计实施方案或者改建实施方案;(4)系统使用的信息安全产品清单及其认证、销售许可证明;

(5)测评后符合系统安全保护等级的技术检测评估报告;(6)信息系统安全保护等级专家评审意见;

(七)主管部门审核批准信息系统安全保护等级的意见。(提交复印件的应交验原件,复印件规格统一采用A4纸,以上提交材料均为一份)。

七、办结时限

(一)法定办结时限:10个工作日。

(二)承诺办结时限:10个工作日。

八、行政审批数量 无数量限制。

九、收费项目、标准及其依据

不收费。

十、办理时间

夏令时:早上8:30-12:00,下午15:00-18:00

冬令时:早上8:30-12:00,下午14:30-17:30

信息系统安全等级保护备案流程图.doc 附件1.行政审批流程图

2.申请书示范文本

申请书示范文本.doc

信息系统安全等级保护备案操作规范 篇2

关键词:信息安全等级保护,测评实施

1 引言

医院信息化建设快速发展, 信息系统应用深入到各个环节, 信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全, 规范信息安全等级保护, 完善信息保护机制, 提高信息系统的防护能力和应急水平, 有效遏制重大网络与信息安全事件的发生, 创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》, 卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作, 对于促进卫生信息化健康发展, 保障医药卫生体制改革, 维护公共利益、社会秩序和国家安全具有重要意义。

2 确定测评对象与等级

我院是一所二级甲等综合医院, 日门诊人次1000人左右, 住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合, 信息双向交流。按照《信息系统安全等级保护定级指南》定级原理, 确定医院信息业务系统的安全保护等级为第2级, 其中业务信息安全保护等级为2级, 系统服务安全保护等级为2级。

2.1 招标比选测评公司

医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司, 简单介绍医院信息化情况, 其中有3家公司到现场进行调查, 掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。

2.2 测评实施

2.2.1 准备阶段

医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》, 确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研, 提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。

2.2.2 测评主要内容

主要针对医院信息系统技术安全和安全管理两方面实施测评, 其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

2.2.3 测评方式与测评范围

测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈, 了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务, 以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试, 检查系统的安全有效性。

整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。

医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵, 终端使用了趋势网络版本防病毒产品, 抵御恶意代码。开启系统审计日志, 制定和实施有效安全管理制度, 加强安全管理, 降低系统安全风险。网络进行了有效的区域划分, 区域之间通过访问控制列表实现安全控制, 与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。

2.2.4 差距分析与测评整改

通过测评, 测评公司写出测评报告, 提出整改建议。按照《信息系统安全等级保护基本要求》要求6, 测评公司人员根据医院当前安全管理需要和管理特点, 针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理, 从人员、制度、运作、规范等角度, 进行全面的建设7, 提供技术建设措施, 落实等级保护制度的各项要求, 就各类人员进行安全培训, 提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。

2.2.5 编制报告, 成功备案

测评公司编制报告, 上报市公安局备案成功, 获得二级信息系统备案证书。二级信息系统, 每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高, 安全保护能力增强, 有效保障信息化健康发展。

3 结语

网络安全问题是一个集技术、管理和法规于一体的长期系统工程, 始终有其动态性, 医院需要不断进行完善, 加强管理, 持续增加安全设备以保障医院数据安全有效, 保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点, 分期分批循序建设, 保证医院各系统长期稳定安全运行, 以适应医院不断扩展的业务应用和管理需求8。

参考文献

[1]卫办发.[2011]85号, 卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知, 2011.

[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志, 2005.

[3]王建英, 陈文霞, 胡雯, 张鹏.医院信息安全分析及措施[J].中国病案, 2013.

[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息, 2013.

信息系统安全等级保护备案操作规范 篇3

关键词:信息安全;等级保护;定级;备案

中图分类号:G203 文献标志码:A 文章编号:1673-8454(2015)21-0012-05

一、背景

近些年来,随着互联网和信息通信技术的发展,信息系统在各行业、各领域快速拓展。随着大数据时代的到来,伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异,保障网络与信息系统安全,已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全,逐步推出了相关政策和工作办法。

二、信息安全等级保护概述

信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]

系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统,为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施,所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。[2]

1.信息系统定级备案基本分类

信息系统定级是等级保护的第一步,需分析系统的业务信息类型和系统服务类型,确定信息安全受到破坏时所侵害的客体,确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。[4]

2.高等院校信息系统定级备案的基本原则

为了保护信息安全等级保护工作的科学性、合理性,高等院校的信息系统在实施过程中应遵循以下原则:

(1)自主保护原则。在高等院校的信息安全等级保护工作中,学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护,并接受信息化主管部门的监督、管理。

(2)重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,优化信息安全资源配置。

(3)同步建设原则。按照等保要求,在学校新建和改建的信息化项目中,将信息安全建设与系统建设同步规划、实施。

(4)动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时,应根据等级保护管理规范和技术标准的要求重新定级、备案,实施安全保护。

三、高等院校等保定级备案管理办法的研究

1.高校信息安全管理存在的主要问题

目前高等院校在信息安全等级保护备案方面存在着以下问题:

(1)二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。

(2)系统、网站的建设注重业务应用的实现,缺少安全设计和部署,开发环境与生产环境混淆,没有足够的测试急于上线,缺少安全防护意识。

(3)系统的不断改造升级,增加了网络安全的脆弱性,降低了系统的安全状态。

(4)部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。

(5)由于学校人员组织、编制等限制,无法严格按照等保要求组建专门的、专业的安全运维管理组织,配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱,不足以开展安全自查、安全防范和风险分析排查。

针对上述问题,本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等,以改进高校等保定级备案工作。

2.高校信息安全保障机构的建立

以高校现有校院两级管理实体为基础,确定信息安全领导小组、专家组以及信息安全主管部门和责任人,统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制,保证全校的信息安全建设与运维的管理职责得到落实。

本文建立的信息安全保障机构实质上是一个三级机构,如图1所示:

(1)信息化主管部门

信息安全领导小组领导下的信息化主管部门通常包括两类:

一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理,包括网站审批、舆情监控;负责信息安全组织机构的人员信息登记等工作。

另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作;负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全;根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。

(2)信息安全第一责任人

二级单位信息安全第一责任人原则上为本部门一把手,对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任,负责建立和完善本部门网络安全和信息安全组织,统筹本单位的信息系统建设,建立健全本部门信息化管理制度,审批确定本部门信息系统的安全运维方案和应急预案。

信息系统和网站的申请建设、改造升级以及撤销,信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作,报信息化主管部门备案。

(3)二级单位信息安全工作实施小组

二级单位信息安全工作实施小组主要包括四类人员。

①信息安全员

各二级单位须指定信息安全管理员,负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导,协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作:

协助信息安全第一责任人统筹本单位的网络建设和信息系统建设,管理本单位的二级网站和三级网站,包括信息系统安全等级保护定级备案以及自查等实施工作。

负责本单位局域网管理,学校固定IP、域名等网络资源的申请、配置、管理工作。

负责本单位的信息收集与维护工作,保证数据的准确性、及时性,支持校内外信息交流和交换、数据上报。

负责本单位网络安全、信息安全与保密工作,对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。

②系统管理员和网站管理员

系统管理员和网站管理员应是在职教职工,根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作,从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作,保障系统正常、稳定运行。

③信息发布员

信息发布员是网页具体内容的审核发布人员,应保证信息的及时有效性,能根据上级领导或主管部门的要求更新、撤销、归档网页信息。

④资产管理员

通常高等院校各二级单位都有固定资产管理员,虽然这些管理者不是信息化专业人员,但是负责软硬件各类设备的管理,因此也应纳入等保安全保障体系范畴。

3.校内定级备案工作

高等院校,特别是理工类高等院校内的系统/网站繁多,且教学、科研、服务等应用目标不同,管辖等级不同(校级、院部处级、实验室以及群团组织等),但无论系统大小都应按照有关法律法规进行等级保护定级备案。

各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求,参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级(高校一般不涉及四、五级系统),实施安全保护。原则上安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]

本文设计的高等院校内部定级备案工作流程如图2所示。

本工作流程中,等级保护定级备案的关键节点在于二级单位在新建系统或网站时,需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作,以防疏漏。

如果是校级系统、二级单位重要业务管理系统,通常需要经过经信委等上级主管部门的审批,因此可以在立项之时就进行相应的定级备案、安全规划,落实信息安全等级保护相关控制,以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。

4.自查监察管理办法

(1)等保自查

学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点,对管辖范围内的信息系统依据保护级别制定安全策略,规范管理和技术实施,并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果,上报主管部门备案。

(2)安全监控

信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态;从物理环境、网络、系统、应用、数据,到最终的用户终端汇集安全监控审计信息(详见图3),并进行分析及时发现安全隐患,提供可能的解决方案和技术支持。

信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作,完成每年度的信息安全等级保护工作汇报,保障敏感时期的信息安全保障工作。

(3)整改管理办法

对于自行发现的安全隐患以及上级下达的整改通知,信息化主管部门通知二级单位,落实人员限期实施整改,并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后,二级单位以书面形式上交整改报告,说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统,信息化技术主管部门有权停止网络服务,经核准整改效果后方可销案,同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组,寻求领导层和校外专业团队的指导。

四、高等院校等保定级备案管理系统探究

信息安全等级保护定级备案以及自查整改的实施,大多是信息采集、录入和管理工作。然而又不同于一般的行政管理,需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。

目前已经有公司推出了信息安全等级保护综合管理系统,通过应用软件实现各种备案信息的录入、批量导入/导出、审核,从而进行备案信息的查询、检索和统计,以及为上级主管部门提供本单位的信息系统备案状况。但是,这些系统大都缺乏分层管理、数据关联、约束检查,使等保信息还是处于分散的状态中,也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发,讨论此类系统的设计思想,以实现定级备案工作在高校实施中的有效落地。

1.数据关联与约束(见图4)

建立信息安全保障体系对照表,通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统,分别是几级系统;可以知道每个系统使用了哪些固定资产,管理员是谁;可以知道每个系统建立或使用了哪些制度,是校级的还是二级单位内部的,等等。例如,通过上述关联可以很容易得到如表1所示的查询统计表。

而从表2不仅可以获得二级单位各系统的资产信息(软硬件),而且可按系统、部门进行汇总计算,获得国外产品百分比统计等信息。

通过资产编码Assets_code关联资产信息和资产检查表,按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果,并记录日期,可以用作后续的变更记录和跟踪。

通过系统编码System_code从系统定级信息获取系统安全等级G_level,对应到管理要求表得到相应的检查项信息,再根据“制度-管理检查项对照”自动获取校级制度,便于二级单位的管理制度检查信息的填报。

这些关系的建立,不但可以获得更多的级联信息,而且可以进行约束。例如,通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度;通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备,等等。

2.数图关联

资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步,以确定学校各系统的资产,明确责任人、物理位置、使用情况以及数据信息交互情况。

高校信息系统的资产管理大多还处于手工管理的离散状态,即便有固定资产管理系统,也只是从财产角度对各类资产进行注册在案(其分类与信息化角度不同),没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。

本文建议建立基于拓扑结构图的信息系统资产管理,便于基础信息的录入、等保检查项检查和直观展示。因为,如果只是通过二维表或者树状结构图的形式输入资产信息,难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理,可以通过图形符号的方式建立资产之间的关联,便于掌握一个系统的整体资产情况。例如,一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产,逐一录入(包括没有固定资产的免费资源)。如果少了哪一层资产没有填报(没有需说明理由),即当前备案信息尚不完备,则该系统应该是不允许访问的状态。从等保管理要求,信息化主管部门就可以停止其运行服务。

五、结束语

每个高等院校都会有自己的信息化组织机构、管理制度和办法,信息化建设进程也不尽相同,在具体应用《信息安全等级保护基本要求》时,不应一味追求所有的安全项,而是要根据学校自身信息化建设情况、特点,兼顾可操作性设计和实施信息安全体系建设,稳步渐进地落实等级保护工作。

参考文献:

[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.

[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http://www.ict.edu.cn/laws/difang/n20140623_14386.shtml,2014-06-23.

[3]沈昌祥,信息安全保障建设中的等级保护[J].信息技术与标准化,2007(11).

[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南(试行)[Z].2014.10.

信息系统安全等级保护备案操作规范 篇4

(试行)

第一条 为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。

第二条 本规范适用于等级测评机构和人员及其测评活动的管理。

第三条 等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。

第四条 省级以上等保办负责等级测评机构的审核和推荐工作。

公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。

第五条 等级测评机构应当具备以下基本条件:

(一)在中华人民共和国境内注册成立(港澳台地区除

外);

(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三)产权关系明晰,注册资金100万元以上;

(四)从事信息系统检测评估相关工作两年以上,无违法记录;

(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;

(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;

(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;

(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(九)对国家安全、社会秩序、公共利益不构成威胁;

(十)应当具备的其他条件。

第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。

测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动:

(一)影响被测评信息系统正常运行,危害被测评信息系统安全;

(二)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;

(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;

(四)未按规定格式出具等级测评报告;

(五)非授权占有、使用等级测评相关资料及数据文件;

(六)分包或转包等级测评项目;

(七)信息安全产品开发、销售和信息系统安全集成;

(八)限定被测评单位购买、使用其指定的信息安全产品;

(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。

国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。

申请单位申请时,等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容,使申请单位清楚了解测评机构的责任和义务。

第八条 知悉有关规定并愿意成为测评机构的申请单位,可以向省级以上等保办提出书面申请,如实填写《信息安全等级保护测评机构申请表》。

申请单位的人员应当如实填写人员基本情况表,并承诺对信息的真实性和有效性负责。

省级以上等保办对申请单位进行初审,初审通过的,应当告知申请单位到评估中心进行测评能力评估。

第九条 评估中心按照有关标准规范,在30个工作日内完成对申请单位的材料审查和现场核查工作。

测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。

评估中心综合评估申请单位的测评能力,测评能力评估合格的,出具评估报告。

第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。

第十一条 通过审核的,由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书,并向社会公布测评机构推荐目录。

省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室,国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。

第十二条 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。

第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时,测评机构应提交《信息安全等级保护测评机构检查表》。

第十四条 测评机构名称、法人等事项发生变化的,或者其等级测评师变动的,测评机构应在30日内到受理申请的省级以上等保办办理变更手续。

第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。

第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年度检查未通过的,由省级以上等保办责令其限期改正;逾期不改正的,给予警告,直至取消测评机构的推荐证书或等级测评师证书,并向社会公告;造成严重损害的,由相关部门依照有关法律、法规予以处理。

第十七条 测评机构或者测评人员违反本规范的规定,给被测评单位造成损失的,应当依法承担法律责任。

第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。

第十九条 本规范中省级以上含省级。

信息系统安全等级保护备案操作规范 篇5

一、事项名称、事项类别

(一)名称:机动车所有人信息变更备案

(二)性质:公共服务项

二、办理依据

《中华人民共和国道路交通安全法》第十二条,有下列情形之一的,应当办理相应的登记:

(一)机动车所有权发生转移的;

(二)机动车登记内容变更的;

(三)机动车用作抵押的;

(四)机动车报废的。

三、受理及审批机构

根据2008年5月27日公安部令第102号发布,2012年9月12日《公安部关于修改<机动车登记规定>的决定》第124号部令修正,自2008年10月1日起施行的《机动车登记规定》第二条规定,自治区公安厅交警总队、地级市公安机关交通管理部门车辆管理所负责办理本行政辖区内机动车登记业务。县级公安机关交通管理部门车辆管理所可以办理本行政辖区内摩托车、三轮汽车、低速载货汽车登记业务。条件具备的,可以办理除进口机动车、危险化学品运输车、校车、中型以上载客汽车以外的其他机动车登记业务。具体业务范围和办理条件由省级公安机关交通管理部门确定。

警用车辆登记业务按照有关规定办理。

四、办事条件

1、机动车所有人具有合法的身份证明;

2、机动车具有合法登记证明;

五、申请材料

机动车行驶证、机动车所有人身份证明、机动车变更登记/备案申请表;

六、基本流程

根据《机动车登记工作规范》二十条第(二)款:机动车所有人联系方式变更的,核实机动车所有人身份信息,录入变更后的联系方式;

七、办结时限:马上办结

八、发放证照情况: 不需发证

九、咨询 0779——2058122

十、投诉电话: 0779——2058122 附件:申请书示范文本:

信息系统安全等级保护备案操作规范 篇6

信息系统安全监督和检查管理规定

第一章 总则

第一条 为了进一步规范我单位信息系统安全监督和检查管理工作,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规的规定,结合本单位实际,特制定本规定。

第二条 本规定适用于我单位信息系统安全管理人员和技术人员进行政务信息系统安全监督和检查管理工作,包括合法性检查、依从性检查、审计及监管控制、责任认定等工作。

第三条 信息系统安全监督和检查管理工作的责任部门为单位信息中心。

第二章 合法性检查

第四条 合法性检查的内容包括三个方面:知晓适用的法律、知识产权管理、保护证据记录。

第五条 应了解信息系统应用范畴适用的所有法律法规;对信息系统的设计、操作、使用和管理,以及信息管理方面应规避法律法规禁区,防止出现违法行为;应保护组织机构的数据信息和个人信息隐私;对于详细而准确的法律要求如有需要,应从专业法律人员处获得帮助;

第六条 应尊重知识产权,涉及软件开发的工作人员和承包商应做到符合和遵守相关的法律、法规,应防止发生侵犯版权的行为;如果重要应用系统软件是外包开发的,应注意明确软件版权有关问题,应防止发生因软件升级或改造引起侵犯软件版权的行为;

第七条 数据库记录、审计日志、变更记录、技术维护记录、机房进出记录、关键设备访问记录等为重要记录,应按照法律法规的要求进行保护,防止丢失、毁坏和被篡改;被作为证据的记录,信息的内容和保留的时间应遵守国家法律法规的规定。

第三章 依从性检查

第八条 依从性检查的内容包括三个方面:检查和改进、安全策略依从性检 1

查、技术依从性检查。

第九条 每半年定期进行一次对安全管理活动的各个方面进行检查和评估工作;对照安全策略和管理制度做到自管、自查、自评,并应落实责任制;

第十条 每月定期进行一次检查安全策略的遵守情况,重点检查信息系统的网络、操作系统、数据库系统等系统管理员,保证其在应有责任范围内能够正确地执行所有安全程序,能够正确遵从组织机构制定的安全策略;

第十一条 每年定期进行一次技术依从性检查。对硬件和软件的检验,以及技术依从检查应由有能力的、经过授权的人员来进行;对于技术测试应由有经验的系统工程师手工或使用软件包进行并生成检测结果,经技术专家解释并产生技术报告;根据检查结果,对存在的缺陷进行不断改进;

第四章 审计及监管控制

第十二条 审计及监管控制的内容包括二个方面:审计控制、监管控制。第十三条 审计活动应每年进行一次,由独立的审计机构或人员对安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计;对系统的审计活动进行规划,应制定审计的工作程序和流程、需求和责任,对审计过程进行控制,尽量减小中断业务流程的风险;应加强安全事件发生后的审计;

第十四条 积极配合上级信息安全监管职能部门进行的监督、检查。

第五章 责任认定

第十五条 责任认定的内容包括二个方面:审计结果的责任认定、审计及监管者责任的认定。

第十六条 对于审计及监管过程发现的问题应限期解决,同时要认定技术责任和管理责任,明确责任当事人,认定相关领导者的责任,领导层应就此提出问题解决办法和责任处理意见,以及监督问题解决情况;

第十七条 审计及监管者应按有关监督和检查的规定定期进行审计,逾期未进行审计及监管,使本应审计的问题因未审计而造成信息系统损失,应承担相应的责任;

第六章 附则

第十八条 本规定由单位信息安全领导小组负责解释。

第十九条 违反本规定,发生信息安全事件的,按照事件造成的损失和后果,依据国家有关法律法规进行处罚。

信息系统安全等级保护备案操作规范 篇7

电力行业作为国家重要能源工业, 是国民经济的基础产业, 与工农业生产和人民生活息息相关, 因此, 在电力系统中实施等级保护, 从管理和技术两大方面提高电力信息系统的安全防护能力, 有效降低电力信息系统的安全风险, 将对电力信息系统的正常、稳定和可靠运行, 乃至国民经济的平稳运行产生重大意义。

1 信息系统安全等级保护概述

根据等级保护要求, 信息系统根据其重要性不同, 由低到高被划分为1至5级。在电力系统中, 管理信息系统主要为2级、3级系统, 生产控制系统主要为3级、4级系统。

(1) 开展定级备案。由信息系统运营、使用单位依据《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级, 并报公安部备案。

(2) 进行等级保护符合性测评, 发现与《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239—2008) 中技术、管理要求的不符合项。

(3) 依据公司整体安全方针、等级保护符合性测评报告, 编制符合本单位实际情况的等级保护实施方案。

(4) 根据等级保护实施方案开展建设, 主要包括:安全域划分与实现、安全产品采购与部署、边界防护、安全配置加固、应用改造、机房物理环境整改、完善信息安全管理工作。

(5) 进行等级保护测评, 验证建设效果。

2 具有电力行业特色的等级保护建设

2.1 电力信息系统的安全防护现状

电力行业应用信息化技术比较广泛, 也较早重视信息系统安全问题, 在信息安全方面开展了一系列的工作, 形成了以网络隔离、边界防护和分层分级纵深防御为主要特点的立体化安全防护体系, 为开展等级保护工作奠定了扎实的基础。

2.2 电力信息系统等级保护建设历程

2007年7月16日, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合签发《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号) , 正式启动了2007年7月至10月在全国范围内组织开展的重要信息系统安全等级保护定级工作。

电力行业作为国家基础性行业之一, 一直积极贯彻执行国家的方针政策。2007年11月, 国家电监会下发了《电力行业信息系统安全等级保护定级工作指导意见》。国家电网公司率先启动了等级保护工作, 2006年开展了信息系统安全等级保护制度研究与试点工作, 2007年进行了试点, 2008年涉奥单位完成了等级保护建设的主体工作, 2009年全面展开等级保护建设工作。

2.3 等级保护在电力信息系统中的应用

等级保护建设分为管理和技术两大方面, 其中管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个部分, 技术包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等。以下按照等级保护3级系统标准为例探讨等级保护在电力信息系统中的应用。

(1) 管理方面。

等级保护管理建设包括的内容非常多, 很多单位经过多年的建设已经形成了较为完善的管理体系, 比较容易满足等级保护的要求。易出现不符合项的主要有以下方面:管理制度的评审和修订不及时;人员离岗后相应系统权限、各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等撤销或收回不及时;关键岗位的人员未签署保密协议;外部人员管控不到位;介质的分类、维修和销毁等管理不完善。

其中, 特别需要引起重视的是对内部员工和外部研发及技术支持人员的管控, 这些人员往往接触和掌握公司大量敏感信息, 对公司资产造成的威胁最大。除了加强安全教育外, 还应签署保密协议, 从法律上对可能出现的违约行为加以限制和威慑。

(2) 物理环境安全。

一些物理安全问题往往受限于多种因素而难以整改, 或整改成本过高, 在等级保护应用中一般选择接受现状, 如机房位置的选择、机房布局与区域划分、电磁防护。

出现概率较高且相对容易整改的不符合项主要有:无电子门禁系统;机房出入管理不严格, 出入登记缺失或记录不详细;无防感应雷措施;强弱电线缆未隔离铺设;设备无标签或标签信息不完备;无防水检测和报警设施;未使用精密空调或由于水质过硬等原因而导致湿度调节功能不完善。

近些年电力信息化建设突飞猛进, 信息系统规模愈来愈庞大, 从而直接导致机房设备数量的大幅增加, 对机房空间、空调、供电乃至机房承重都造成了很大挑战, 再加上一些机房原本就是通过办公室等改建而成, 因此很多单位的机房物理安全难以全面满足等级保护要求, 通常需要借助新建或搬迁机房才能得到根本的解决。

(3) 网络安全。

基础网络是承载电力信息系统运行的平台, 其安全性直接决定了整个信息系统的安全等级, 是等级保护建设的重点之一。

网络安全防护主要包括:1) 安全域划分:根据等级保护定级结果, 对高安全等级系统, 如4级系统、3级系统划分独立的安全域, 对安全性要求相对较低的2级系统可统一划分为1个安全域, 同时结合电力系统自身的特点, 将互联网接入区与办公网络分离, 并实施强边界隔离, 通过层层设防, 提高关键业务系统和数据的安全性。2) 确定网络边界:确保所有的网络边界都纳入公司统一的管理之中, 常见的边界有:与Internet互联网的边界、银企互联边界、与其他社会代收机构的边界 (专线连接) 、公共服务通道 (专线、GPRS、CDMA、3G等) 与其他社会代收机构连接 (VPN) 等。3) 实施边界安全防护:明确了网络边界后, 对边界进行分类汇总, 通过部署防火墙或者网络设备上设置访问控制策略, 严格控制不同安全域之间的访问行为, 尤其是低安全域访问高安全域的行为。4) 网络设备安全防护:网络设备的远程管理都要采取SSH、HTTPS等加密方式, 且限制管理员登录地址;网络设备口令的加密强度、SNMP服务的默认口令串等也是网络设备防护的薄弱点。

等级保护3级系统要求网络设备支持2种或2种以上组合的鉴别技术来进行身份鉴别, 对此, 应根据实际情况区别对待, 老旧设备可能难以实现, 而对于新设备可在采购过程中作为必需满足项或通过配置启用相应的功能, 同时也要适当考虑经济性。

在严密的边界防护基础上, 结合严格的访问控制策略和口令管理流程也可有效降低此不符合项所带来的风险。等级保护3级系统对主机安全和应用安全方面也有同样的要求, 可采取类似的措施。

网络安全中除边界防护外, 还必须加强终端安全, 多年的实践表明, 尽管投入很大, 部署了物理隔离装置、防火墙、防病毒系统、补丁升级系统、入侵检测系统、入侵防御系统等众多的安全设备, 但安全态势仍无法令人满意, 很重要的一点就是未对终端防护给予足够的重视。

一方面, 终端往往是病毒木马的传播者和攻击的发起者;另一方面, 终端的非法外联也带来很大的安全风险, 如通过拨号、无线等方式绕过边界防护, 使得来自互联网的攻击者可直接访问内部系统。针对终端的安全问题, 可以通过部署桌面终端管理系统来进行管控, 注意必须覆盖所有的终端, 并设置严格的安全策略, 使得只有满足一定安全要求的终端才能接入公司网络, 并对非法外联行为进行阻断及定位, 做到严格的接入管控, 从而在根本上解决终端的安全防护问题。

除此之外, 移动存储介质的管控也不可忽视, 移动存储介质已成为传播摆渡型病毒木马和泄密的重要途径, 目前大部分桌面终端安全管理软件均可做到对USB、光驱等外设接口的有效管控。

(4) 主机安全。

主机系统的安全状况历来比较受重视, 在防病毒、补丁升级、弱口令、入侵检测等方面均有较完善的安全措施。根据等级保护3级要求, 需完善的方面如下:1) 采用SSH、HTTPS等加密方式进行远程管理;2) 监控重要服务器的CPU、硬盘、内存、网络等资源的使用情况, 并对系统的服务水平降低到预先规定的最小值进行检测和报警。

相比主机系统, 数据库系统存在问题较多, 需完善的方面如下:1) 数据库监听器空口令 (Oracle10g以前版本) 、系统内置账户的默认口令、安装了多余的组件;2) 默认的账户口令策略和日志审计策略;3) 补丁升级迟滞。

关于剩余信息保护的要求, 由于主要依赖于操作系统和数据库系统自身的实现, 通常选择接受现状。

(5) 应用安全。

早期的的应用程序设计对安全关注较少, 近年来国家电网公司倡行信息标准化, 推行典型设计, 从需求分析、设计、开发、上线前测评等多个环节中引入安全要求, 应用系统的安全性得到了很大改观, 尚待继续提升的方面有:1) 采用加密技术确保数据传输过程中的机密性和完整性;2) 采用数字证书等技术确保抗抵赖性。

(6) 数据安全及备份恢复。

数据安全的重点是保护数据存储、处理和传输过程中的机密性、完整性。

数据的备份与恢复包括2方面, 一是设备和链路等的冗余设计, 避免关键节点出现单点故障;二是数据的本地备份与恢复及异地备份。

数据备份与恢复应考虑经济性, 尤其是异地灾备中心的建设, 通常进行全局考虑, 建设区域性的灾备中心, 即满足异地备份的需要, 又可节约投资。

3 结语

国家信息安全等级保护制度 篇8

公通字200743号文 第一章 总则 第一条

为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。第二条

国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。第三条

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条

信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条

信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。

第二章 等级划分与保护 第六条

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条

信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造 1

成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条

信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理 第九条

信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。第十条

信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。第十一条

信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条

在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。第十三条

运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条

信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。第十五条

已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十六条

办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:

(一)系统拓扑结构及说明;

(二)系统安全组织机构和管理制度;

(三)系统安全保护设施设计实施方案或者改建实施方案;

(四)系统使用的信息安全产品清单及其认证、销售许可证明;

(五)测评后符合系统安全保护等级的技术检测评估报告;

(六)信息系统安全保护等级专家评审意见;

(七)主管部门审核批准信息系统安全保护等级的意见。

第十七条

信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。第十八条

受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:

(一)系统安全需求是否发生变化,原定保护等级是否准确;

(二)运营、使用单位安全管理制度、措施的落实情况;

(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;

(四)系统安全等级测评是否符合要求;

(五)信息安全产品使用是否符合要求;

(六)对信息系统开展等级测评的技术测评报告;

(七)信息安全产品使用的变更情况;

(八)信息安全事件应急预案,信息安全事件应急处置结果报告;

(九)信息系统安全建设、整改结果报告。

第二十条

公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。

第二十一条

第三级以上信息系统应当选择使用符合以下条件的信息安全产品:

(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民 共和国境内具有独立的法人资格;

(二)产品的核心技术、关键部件具有我国自主知识产权;

(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;

(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;

(五)对国家安全、社会秩序、公共利益不构成危害;

(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条

第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:

(一)在中华人民共和国境内注册成立(港澳台地区除外);

(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

(三)从事相关检测评估工作两年以上,无违法记录;

(四)工作人员仅限于中国公民;

(五)法人及主要业务、技术人员无犯罪记录;

(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;

(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;

(八)对国家安全、社会秩序、公共利益不构成威胁。第二十三条

从事信息系统安全等级测评的机构,应当履行下列义务:

(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;

(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;

(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。第四章 涉密信息系统的分级保护管理

第二十四条

涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条

涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条

涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。

第二十七条

涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平

总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条

涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。

第二十九条

涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:

(一)系统设计、实施方案及审查论证意见;

(二)系统承建单位资质证明材料;

(三)系统建设和工程监理情况报告;

(四)系统安全保密检测评估报告;

(五)系统安全保密组织机构和管理制度情况;

(六)其他有关材料。第三十一条

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。第三十二条

涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。第三十三条

国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:

(一)指导、监督和检查分级保护工作的开展;

(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;

(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;

(四)依法对涉密信息系统集成资质单位进行监督管理;

(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;

(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;

(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。第五章

信息安全等级保护的密码管理 第三十四条

国家密码管理部门对信息安全等级保护的密码实行分类分级管理。

根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条

信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。

第三十六条

信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。第三十七条

运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。第三十八条

信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条

各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。第六章 法律责任 第四十条

第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:

(一)未按本办法规定备案、审批的;

(二)未按本办法规定落实安全管理制度、措施的;

(三)未按本办法规定开展系统安全状况检查的;

(四)未按本办法规定开展系统安全技术测评的;

(五)接到整改通知后,拒不整改的;

(六)未按本办法规定选择使用信息安全产品和测评机构的;

(七)未按本办法规定如实提供有关文件和证明材料的;

(八)违反保密管理规定的;

(九)违反密码管理规定的;

(十)违反本办法其他规定的。

违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。第四十一条

信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第七章 附则

第四十二条

已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数(级)。第四十四条本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7 7

关于电子政务信息安全等级保护 篇9

相关文件的学习报告 引言 1.1 编写目的

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指 1 导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。

1.2 适用范围

本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。

1.3 文档结构

本指南包括五个章节和两个附录。

第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。基本原理 2.1 基本概念

2.1.1 电子政务等级保护的基本含义

信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。本指南的内容主要针对用户层面的工作。

电子政务信息安全等级保护遵三循以下原则: a)重点保护原则

电子政务等级保护要突出重点。对关系国家安全、经济命 脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。

b)“谁主管谁负责、谁运营谁负责”原则

电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。

c)分区域保护原则

电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。

d)同步建设原则

电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。

e)动态调整原则

由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。

2.1.2 电子政务安全等级的层级划分

号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保 护级五个安全等级。按66 号文件的规定,对电子政务的五个安全等级定义如表2-1 所示。

2.1.3 电子政务等级保护的基本安全要求

电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。

a)安全策略

安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。

b)安全组织

安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。

c)安全技术

安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。

d)安全运行

安全运行市委了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。

具体的电子政务等级保护基本安全要求参见相关的国家标准。

2.2 基本方法

2.2.1 等级保护的要素及其关系

电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施

安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。

电子政务等级保护包含以下七个要素: a)电子政务系统

电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。

b)目标

目标是指电子政务系统的业务目标和安全目标,电子政务 7 等级保护要保障业务目标

和安全目标的实现。c)电子政务信息安全等级

电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。

d)安全保护要求

不同的电子政务系统具有不同类型和不同强度的安全保护要求。

e)安全风险

安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。

f)安全保护措施

安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。

g)安全保护措施的成本

不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。

电子政务等级保护各要素之间的关系是:

a)电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。b)安全措施需要满足系统安全保护要求,对抗系统所面临的风险。

1)不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。

2)系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了选择不同类型和强度的安全措施。

c)电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以及实施安全措施的成本,在适度成本下实现适度安全。

2.2.2 电子政务等级保护实现方法 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。

电子政务等级保护的实现方法如图2-1 所示:

__ 9

电子政务系统实施等级保护的方法是:

a)依据电子政务安全等级的定级规则,确定电子政务系统的安全等级;

b)按照电子政务等级保护要求,确定与系统安全等级相对应的基本安全要求;

c)依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。

2.3 实施过程

电子政务等级保护的实施过程包括三个阶段,分别为: a)定级阶段 b)规划与设计阶段

c)实施、等级评估与改进阶段

电子政务等级保护的基本流程如图2-2 所示:

第一阶段:定级

定级阶段主要包括两个步骤: a)系统识别与描述

清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政务系统分解为电子政务子系统,描述系统和子系统的组成及边界。

b)等级确定

完成电子政务系统总体定级和子系统的定级。

第二阶段:规划与设计

规划与设计阶段主要包括三个步骤,分别为: 系统分域保护框架建立

通过对电子政务系统进行安全域划分、保护对象分类,建立电子政务系统的分域保护框架。

b)选择和调整安全措施

根据电子政务系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定安全要求,选择和调整安全措施,确定出电子政务系统、子系统和各类保护对象的安全措施。

c)安全规划和方案设计

根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。

第三阶段:实施、等级评估与改进

实施、等级评估与改进阶段主要包括三个步骤,分别为: a)安全措施的实施

依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。

b)评估与验收

按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。

c)运行监控与改进

运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。

对于大型复杂电子政务系统,等级保护过程可以根据实际情况进一步加强和细化,以满足其复杂性的要求。附录B 给出了大型复杂电子政务系统等级保护实施过程的示例。

新建电子政务系统的等级保护工作与已经建成的电子政务系统之间,在等级保护工作的切入点方面是不相同的,它们各 13 自的切入点及其对应关系如图2-3 所示。

新建电子政务系统在启动时,应当按照等级保护的要求来建设。

a)系统规划阶段,应分析并确定所建电子政务系统的安全等级,并在项目建议书中对系统的安全等级进行论证。

b)系统设计阶段,要根据所确定的系统安全等级,设计系统的安全保护措施,并在可行性分析中论证安全保护措施;

c)系统实施阶段,要与信息系统建设同步进行信息安全等级保护体系的实施,之后进行等级评估和验收。

d)系统运行维护阶段,要按照所建立的等级保护体系的要求,进行安全维护与安全管理。

e)系统废弃阶段,要按照所建立的等级保护体系的要求,对废弃过程进行有效的安全管理。

对于已建的电子政务系统,由于在系统规划、设计和实施阶段没有考虑等级保护的要求,因此等级保护工作的切入点是系统运行维护阶段。

在确定要实施等级保护工作之后,应对系统进行安全现状分析,深入认识和理解机构所拥有的电子政务系统,对每个系统进行定级,之后进行等级保护的安全规划和方案设计,最

后进行实施、评估和验收。2.4 角色及职责

电子政务等级保护工作主要包括决策者、技术负责人、实施人员三类角色。

a)决策者

决策者是政务机构中对本单位实施电子政务信息安全等级保护工作的最终决策人。决策者在等级保护中的职责如下:

1)组织、协调和推动本单位电子政务等级保护工作; 2)负责最终确定本单位电子政务系统的安全等级; 3)领导和监督本单位电子政务等级保护体系的建设工作; 4)与本单位电子政务等级保护建设的上级主管部门进行沟通和协调,组织、配合等级评审与验收;

5)监督本单位电子政务等级保护体系的运行与改进。b)技术负责人

技术负责人是对本单位实施电子政务信息安全等级保护工作的决策支持者、技术决策人和实施管理者。技术负责人在等级保护中的职责如下:

1)协助决策者组织、协调和推动本单位电子政务等级保护的工作;

2)向决策者提供本单位电子政务系统安全定级的建议及依据;

3)组织实施本单位电子政务等级保护体系的建设; 4)组织和总结本单位等级保护的实施情况,配合上级主管部门进行等级评估和验收;

5)组织实施本单位电子政务等级保护体系的运行与改进。c)实施人员

实施人员是政务机构中实施信息安全等级保护的具体工作人员。实施人员在等级保护中的职责如下:

1)分析本单位电子政务系统,收集定级理由和证据; 2)在技术负责人的领导下,具体组织和参与完成等级保护 各阶段的工作。

2.5 系统间互联互通的等级保护要求

不同安全等级的电子政务系统之间可以根据业务需要进行互联互通。不同安全等级的系统互联互通,要根据系统业务要求和安全保护要求,制定相应的互联互通安全策略,包括访问控制策略和数据交换策略等。要采取相应的边界保护、访问控制等安全措施,防止高等级系统的安全受低等级系统的影响。电子政务系统间的互联互通遵循以下要求:

a)同等级电子政务系统之间的互联互通

由系统的拥有单位参照该等级对访问控制的要求,协商确定边界防护措施和数据交换安全措施,保障电子政务系统间互联互通的安全。

b)不同等级电子政务系统间的互联互通

各系统在按照自身安全等级进行相应保护的基础上,协商对相互连接的保护。高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,采取有效措施进行控制。

c)涉密系统与其它系统的互联互通,按照国家保密部门的有关规定执行。

d)电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。

3 定级

电子政务系统定级可以采用以下两种方式进行: a)对系统总体定级

系统总体定级是在识别出政务机构所拥有的电子政务系统后,针对系统整体确定其安全等级。

b)将系统分解为子系统后分别定级

政务机构所拥有的电子政务系统如果规模庞大、系统复杂,则可以将系统分解为多层次的多个子系统后,对所分解的每个子系统分别确定其安全等级。

3.1 定级过程

定级阶段的主要目标是确定电子政务系统及其子系统的安全等级。定级结果是进行安全规划与设计的基础,定级结果应按照相关管理规定提交相关管理部门备案。

定级阶段工作主要包含两个过程: a)系统识别与描述

应准确识别并描述出整体的电子政务系统,以及系统可以分解的子系统。系统识别要确定系统的范围和边界,识别系统包含的信息和系统提供的服务,作为后续定级工作的输入。

b)等级确定

进行系统整体定级和子系统分别定级,形成系统的定级列表,作为后续阶段工作的基础。定级工作流程如图3-1 所示。

3.2 系统识别与描述 3.2.1 系统整体识别与描述

实施等级保护工作首先要求政务机构对其拥有的或拟建的电子政务系统进行深入的识别和描述,识别和描述的内容至少包括如下信息:

a)系统基本信息

系统名称,系统的简要描述,所在地点等。b)系统相关单位

负责定级的责任单位,系统所属单位,系统运营单位,主管部门,安全运营单位,安全主管部门等。c)系统范围和边界

描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等,并清晰描述出其边界。

d)系统提供的主要功能或服务

从整体层面描述系统所提供的主要功能或服务,即对公众、企业、相关政府机关、内部用户等提供的主要服务。

e)系统所包含的主要信息

描述系统所输入、处理、存储、输出的主要信息和数据。3.2.2 划分子系统的方法 3.2.2.1 划分原则

对政务机构所拥有的大型复杂电子政务系统,可以将其划分为若干子系统进行定级,子系统划分基于以下原则:

a)按照系统服务对象划分

电子政务系统的服务对象即目标用户,包括社会公众、企事业单位、机构内部人员、其它政务机构等。依据其所服务的目标用户可分为以下几类系统:

1)政务机构对公民的电子政务系统 2)政务机构对企业的电子政务系统 3)政务机构对政务机构的电子政务系统 4)政务机构对公务员的电子政务系统 b)按系统功能类型划分

根据系统的功能类型或提供的服务类型划分子系统。划分 时除了考虑到对外部用户(社会公众、企事业单位、其它政务机构)提供服务的对外业务系统,对内部用户(内部公务员、领导)提供服务的内部办公和管理系统外,还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统,如网络承载平台、网管系统、安全系统等。

c)按照网络区域划分

根据电子政务系统建设现状,系统可能运行在不同的电子政务网络范围内,不同的电子政务网络在涉密程度、隔离模式和管理模式上差异较大,所以可以按照电子政务系统运行的网络区域进行子系统划分。

d)按行政级别划分

按系统所处的行政级别,如中央、省部级、地市级、县区级等进行子系统划分。

3.2.2.2 子系统划分方法

在子系统划分时,应根据系统实际情况和管理模式,综合考虑子系统划分的四个原则,确定适用于各电子政务系统的子系统划分标准。划分时可以选择一个原则,也可以同时选用

多个原则作为划分标准,如以某一个或两个要素为主要划分标准,其余为辅助划分标准。对于规模庞大的系统,为了便于描述,一般应按照多个层次逐级进行划分。具体的划分方法可参考《附录B:大型复杂电子政务系统等级保护实施过程示例》。

3.2.3 子系统识别与描述

子系统的识别与描述可参照3.2.1 系统整体识别与描述。3.3 等级确定

3.3.1 电子政务安全属性描述

电子政务安全等级主要依据系统的信息安全属性被破坏后所造成的影响来确定。电子政务信息安全属性包括三个方面:保密性、完整性、可用性。

a)保密性

确保电子政务系统中的信息只能被授权的人员访问。保密性破坏是指电子政务系统中各类信息的未授权泄漏。电子政务系统中的信息依据其保密程度分为以下类别:

1)涉及国家秘密的信息,包括绝密级、机密级和秘密级信息;

2)敏感信息,指不涉及国家秘密,但在政务工作过程中需要一定范围保密,不对 社会公众开放的信息;

3)公开信息,指对社会公众开放的信息。b)完整性

确保电子政务系统中信息及信息处理方法的准确性和完备性。完整性破坏是指对电

子政务系统中信息和系统的未授权修改和破坏。电子政务完整 22 性目标包括两个方面:

1)电子政务系统中存储、传输和处理的信息完整性保护;

2)电子政务系统本身的完整性保护。系统完整性保护涉及从物理环境、基础网络、操作系统、数据库系统、电子政务应用系统等信息系统的每一个组成部分的完整性保护。

c)可用性

确保已授权用户在需要时可以访问电子政务系统中的信息和相关资产。可用性破坏是指电子政务系统所提供服务的中断,授权人员无法访问电子政务系统和信息。可用性目标是保证授权用户能及时可靠地访问信息、服务和系统资源,不因人为或 自然的原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏或被拒绝达到不能容忍的程度。电子政务可用性目标保护包括两个方面:

1)电子政务系统所提供的服务的可用性;

2)电子政务系统中存储、传输和处理的信息的可用性。3.3.2 定级原则

电子政务系统的安全等级可从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来确定。

a)安全等级第一级

对电子政务信息和信息系统安全属性的破坏会对政务机构 23 履行其政务职能、机构财产、人员造成较小的负面影响,包括:

1)对政务机构运行带来较小的负面影响,政务机构还可以履行其基本的政务职能,但效率有较小程度的降低;

2)对政务机构、相关单位、人员造成较小经济损失; 3)对政务机构、相关单位、人员的形象或名誉造成较小影响;

4)不会造成人身伤害。b)安全等级第二级

对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响,包括:

1)对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务

职能,但效率有较大程度的降低;

2)对政务机构、相关单位、人员造成一定程度的经济损失;

3)对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响;

4)造成轻微的人身伤害。c)安全等级第三级

对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害,包括: 1)对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履 行;

2)对政务机构、相关单位、人员造成较大经济损失; 3)对政务机构、相关单位、人员的形象或名誉造成较大的负面影响;

4)导致严重的人身伤害。d)安全等级第四级

对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害,包括:

1)对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并

在省级行政区域范围内造成严重影响;

2)对国家造成严重的经济损失; 3)对国家形象造成严重影响; 4)导致较多的人员伤亡;

5)导致危害国家安全的犯罪行为。e)安全等级第五级

对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害,包括:

1)对政务机构运行带来极其严重的负面影响,中央政务 机构的一项或多项政务职能无法履行,并在全国范围内造成极其严重的影响;

2)对国家造成极大的经济损失; 3)对国家形象造成极大影响; 4)导致大量人员伤亡;

5)导致危害国家安全的严重犯罪行为。

电子政务五个安全等级在保密性、完整性和可用性三个安全属性方面的描述如表3-1 所示。

3.3.3 定级方法

确定电子政务安全等级的基本方法是:通过确定系统保密 性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。定级方法适用于电子政务系统整体定级和各子系统定级。对大型复杂系统,可以引入业务系统等级确定方法,具体方法可以参照《附录B:大型复杂电子政务系统等级保护实施过程示例》。

系统定级主要考虑两个方面:一是系统中所存储、处理、传输的主要信息,二是系统所提供的主要服务。通过对每一类信息和服务安全等级的分析,最终确定系统的安全等级。系 统安全等级是系统中各类信息和服务安全等级的最大值,并且可以根据系统整体实际情况进行调整,确定系统最终的安全等级。某个电子政务系统(假设其名称为A)的安全等级可以表示为:安全等级(A)=Max{(系统保密性等级),(系统完整性等级),(系统可用性等级)}其中:

系统保密性等级=Max {(各信息或服务的保密性等级)} 系统完整性等级=Max {(各信息或服务的完整性等级)} 系统可用性等级=Max {(各信息或服务的可用性等级)} 电子政务系统A 最终的安全等级为系统保密性等级、系统完整性等级、系统可用性等级中的最大值。

举例:某个政务机构招标采购系统进行定级,系统中包含两类信息和一种服务,一类信息为开标前各投标单位的投标信息,另一类信息为系统管理信息,系统提供的服务为招标服 务。投标信息的保密性等级为3,完整性等级为2,可用性等级为2;系统管理信息的保密性等级为1,完整性等级为1,可用 性等级为1;招标服务的保密性等级为1,完整性等级为1,可用性等级为2。通过比较两类信息各安全属性等级的最大值,得到系统在三个安全属性方面的等级:

系统保密性等级=Max {(投标信息保密性等级:3),(系统管理信息保密性等级:

1),(招标服务保密性等级:1)}=3 系统完整性等级=Max {(投标信息完整性等级:2),(系统管理信息完整性等级:1),(招标服务完整性等级:1)}=2,系统可用性等级=Max {(投标信息可用性等级:2),(系统管理信息可用性等级:1),标服务可用性等级:2)}=2,得到该政务机构招标采购系统的安全等级为:安全等级(投标采购系统)= Max {(保密性等级:3),(完整性等级:2),(可用性等级:2)}=3该政务机构招标采购系统的最终安全等级确定为3。

3.3.4 复杂系统定级方法

对于包括多个子系统的复杂电子政务系统,定级可以包括系统总体安全等级和各子系统的安全等级。系统总体定级和各子系统定级可以分别采用自上向下的定级方式和自下向上的

定级方式,也可以综合两种方式进行。3.3.4.1 自上向下的定级方式

自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。首先依据系统的整体情况,根据定级规则对电子政务系统进行总体定级,然后根据系统总体安全等级,对子

系统采用同一等级或适当降低等级,从而确定子系统等级。自上向下定级方式是从整体系统的属性出发,向下细分,通过考虑整体系统的使命、整体业务框架、业务特性、安全要求、系统在国家层面的定位等,来把握系统整体的安全等级。自上向下的定级方式包含如下步骤:

a)确定整体系统的等级,即总体定级

1)对整体系统识别的主要信息或服务分别分析其保密性、完整性和可用性的等级,得到一个列表;

2)按照系统定级规则,计算得到整体系统的保密性、完整性和可用性的初始安全等级,和初始的总体定级;

3)对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审,评审时要考虑系统在政务机构履行其职能中所起的作用、系统的使命、整体业务框架、系统在国家层面的定位,以及本系统的外部环境等因素。对于等级不合适的部分进行调整,最后确定系统的最终安全等级。

b)确定各子系统的等级

1)从总体等级出发,对子系统采用相同等级或适当降低等级,从而确定子系统等级;

2)也可以对各子系统识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,按照系统定级规则确定各子系统等级;

3)把上述的两种定级结果进行比较,最终确定各子系统的等级。3.3.4.2 自下向上的定级方式

自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性,根据定级规则对各子系统进行定级,然后以各子系统的安全等级为基础,综合考虑,得到系统总体的安全等级。自下向上的定级方式从各个子系统的属性出发,通过考虑各个子系统的实际情况、所处的环境、之间的差异性来确定各子系统的安全等级。自下向上的定级方式包含如下步骤:

a)确定各子系统的等级

1)对各子系统已识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,得到一系列的列表;

2)针对每个子系统,按照系统定级规则得到各子系统安全等级。

b)确定整体系统的等级,即总体定级对各子系统等级进行总结和分析,确定整体系统的等级。总体安全等级的确定可以选用最高的子系统等级,但对于只有比例极少的子系统是最高等级的情况下,可以调低一级。安全规划与设计

电子政务系统在完成定级之后,等级保护工作的第二个阶段就是要进行安全规划与设计,包括系统分域保护框架建立,选择和调整安全措施,安全规划与方案设计三个部分。其主要工作内容与输入输出如图4-1 所示:

4.1 系统分域保护框架建立 4.1.1 安全域划分

安全域划分是将电子政务系统划分为不同安全区域,分别进行安全保护的过程。

4.1.1.1 安全域划分方式

安全域划分可以采用以下两种方式实现: a)对政务机构整体进行安全域划分

在政务机构所管辖的范围内对其所拥有的所有电子政务系统统一进行安全域划分,将整个政务机构的所有系统分为若干个安全区域。

b)在每个电子政务系统内进行安全域划分

在每个电子政务系统内部,划分为若干个安全区域。4.1.1.2 安全域划分原则

电子政务安全区域的划分主要依据电子政务系统的政务应用功能、资产价值、资产所面临的风险,划分原则如下:

a)系统功能和应用相似性原则

安全区域的划分要以服务电子政务应用为基本原则,根据政务应用的功能和应用内容划分不同的安全区域。

b)资产价值相似性原则

同一安全区域内的信息资产应具有相近的资产价值,重要电子政务应用与一般的电子政务应用分成不同区域。

c)安全要求相似性原则

在信息安全的三个基本属性方面,同一安全区域内的信息资产应具有相似的机密性要求、完整性要求和可用性要求。

d)威胁相似性原则

同一安全区域内的信息资产应处在相似的风险环境中,面临相似的威胁。

4.1.2 保护对象分类

保护对象是信息系统内具有相似安全保护需求的一组信息资产的组合,是从安全角度对信息系统的描述。依据电子政务系统的功能特性、安全价值以及面临威胁的相似性,电子政务保护对象可分为计算区域、区域边界、网络基础设施三类。

a)计算区域

计算区域是指由相同功能集合在一起,安全价值相近,且面临相似威胁的一组信息系统组成。计算区域的信息资产包括:

主机资产、平台资产、应用软件资产和政务数据资产等。涉及区域内的物理层、网络层、系统层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、数据安全和业务流程安全等。计算区域可以从安全域划分的结果得到。

b)区域边界

区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象,不与具体资产对应,边界是一组功能集合,包括边界访问控制,边界入侵检测和审计等。设计系统分域保护框架时区域边界可以作为计算区域的一个属性进行处理。通过对各安全区域之间的连接状况分析,可以得到某个安全区域与其它区域之间的边界。

c)网络基础设施

网络基础设施是指由相同功能集合在一起,安全价值相近,且面临相似威胁来源的一组网络系统组成,包括由路由器、交换机和防火墙等构成的局域网或广域网,一般指区域边界之间的连接网络。某一个安全区域或多个安全区域网络支撑平台构成了该区域的网络基础实施。电子政务保护对象及所包括信息资产如图4-2 所示:

各类信息资产描述如下: a)物理环境

是指支撑电子政务系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设备,包括机房、门禁、监控、电源、空调等。

b)人员资产

指与电子政务系统直接相关的人员,包括各级安全组织、安全人员、各级管理人员、网管员、系统管理员、业务操作人员和第三方人员等。

c)网络资产

是指电子政务系统网络传输环境的设备,软件和通信介质。

网络资产包括路由器、交换机、防火墙、网管、网络设备控制台等。

d)主机资产

是指电子政务系统中承载业务系统和软件的计算机系统、外围系统(不含网络设备)及其操作系统。这里的主机资产包括大型机、中型机、小型机、磁盘阵列、Unix 服务器、Windows 服务器、工作站和终端等。

e)平台资产

主要是指电子政务系统的软件平台系统,包括数据库、中间件、群件、邮件、Web服务器、集成开发环境和工具软件等。

f)应用软件资产

是指为政务业务和管理应用而开发的各类应用软件及其提供的服务。

g)数据资产

是电子政务系统所存储、传输、处理的数据对象,是电子政务系统的核心资产。

4.1.3 系统分域保护框架

系统分域保护框架是从安全角度出发,通过对各保护对象进行组合来对信息系统进行结构化处理的方法。结构化是指通过特定的结构将问题拆分成子问题的迭代过程,其目标是更

好地体现信息系统的安全特性和安全要求。进行结构化处理要遵循以下几条基本原则:

a)充分覆盖

所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题的方法就可能出现遗漏,严重影响方法的可行性。

b)互不重叠

同一级别的所有子问题都不允许出现重复,类似以下的情况不应出现在一个框架中:

1)两个不同的子问题其实是同一个子问题的两种表述; 2)某一个子问题其实是同一级别的另外两个子问题或多个子问题的合集。

c)不需再细分

所有子问题都必须细分到不需再细分,或不可再细分的程度。当一个问题经过框架分析后,所有不可再细分的子问题组合构成了一个“框架”。以安全域划分和保护对象分类为基础,经过结构化的分解,可以将电子政务系统分解为不同类别的保护对象,形成系统分域保护框架。

图4-3 描述了某个电子政务系统的系统分域保护框架的示例,包括了系统所划分出的计算区域、区域边界、网络基础设施等各类保护对象。示例中的计算区域包括两个层面,细分为7 个计算区域。第一层区域包括政务专网区域和政务外网区域。政务专网区域又分为核心数据区、业务服务器区、办公服务器区、网络管理区和机关办公区;政务外网区域分为WEB 服务区和机关工作区。示例中的网络基础设施包括政务专网网络基础设施、政务外网网络基础设施。

示例中的区域边界包括:政务专网与其它政务专网系统的边界、政务专网与政务外网的边界、政务外网与互联网的边界,以及内部各计算区域之间的边界。

系统分域保护框架是设计解决方案的基础。大型复杂系统的分域保护框架见附录B。

4.2 选择和调整安全措施

电子政务系统或子系统的安全等级确定后,需要以分域保护框架为基础确定具体的安全保护措施(包括技术措施和管理措施)。确定安全措施的过程如图4-4 所示:

确定安全措施首先是根据电子政务系统的安全等级选择适用等级的基本安全要求,如电子政务系统A 的安全等级为3 级,应选择3 级基本安全要求。在确定了基本安全要求的基

础上,再针对每个系统特定安全要求、面临风险的状况,并考虑安全措施的成本进行安全措施的选择和调整,以得到针对特定系统的安全保护措施。对安全措施的调整基于以下原则:

a)根据电子政务系统特定安全要求进行调整

1)如果电子政务系统的保密性等级、完整性等级、可用性等级之中的一项或两项

低于系统的安全等级,则可以降低该等级安全措施中对应的控制项的等级;

2)如果电子政务系统的某些特定安全要求在基本安全要求中没有相应的控制项,则可以添加与特定安全要求相适应的安全措施。b)根据风险评估的结果进行调整

1)如果电子政务系统(或其保护对象)不存在五个等级基本安全要求中某个控制项所要控制的安全风险,或其控制项不适用,则该控制项可以进行删减;

2)如果风险评估中识别的某个风险,在五个等级基本安全要求中没有相应的控制项,则可以增加此类控制项;

3)如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较低,则可以降低控制项的强度等级;

4)如果风险评估的结果显示,与五个等级基本安全要求提供的某个安全措施的安全强度相比,风险较高,则可以提高控制项的强度等级。

c)根据安全措施的成本进行调整在安全措施的调整过程中,安全措施的成本也是一个重要的考虑因素,各机构要根

据实际情况,基于合理成本选择和调整安全措施。如果某些安全措施的成本太高,机构无法承受,可以通过其他措施进行弥补。如果无法找到其他措施进行弥补,则需要改变机构的业务流程、运作方式或管理模式。

4.3 安全规划与方案设计

安全规划与方案设计阶段的目的是提出科学实施安全措施的方案,规划综合防范的安全保障体系,实现整体安全。安全规划与方案设计包括安全需求分析、安全项目规划、安全工作规划、安全方案设计等几个步骤。

4.3.1 安全需求分析

通过对现有安全措施的评估明确系统的安全现状,通过对比系统将要达到的安全等级的安全要求,得到现状和要求间的差距,即为安全需求。如图4-5 所示:

4.3.2 安全项目规划

安全项目规划是通过对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析,确定实施的先后顺序。安全项目规划主要包括:

a)将安全措施依据相关性,打包成一个或多个的安全项目

b)进行项目分析

1)对项目进行支持或依赖等相关性分析; 2)对项目进行紧迫性分析; 3)对项目进行实施难易程度分析;

4)对项目进行预期效果分析。

c)综合项目分析结果,形成项目实施先后顺序的列表

4.3.3 安全工作规划

我们在安全规划中,不仅要做项目建设的规划,还要做安全工作方面的规划,以此来让等级保护的建设实施和运行能够融入到日常的安全管理和运维工作当中去,来确保等级保护

工作落到实处。安全工作规划需要确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作,并分析潜在的风险和障碍、所需的资源和预算,从而进行实施策略选择,确定当年的安全工作计划和等级保护项目建设计划。

4.3.4 安全方案设计

在解决方案设计阶段,将对安全规划中所提到的近期应实现的安全措施和项目进行分析,编制系列的技术解决方案和管理解决方案。实施、等级评估与运行 5.1 安全措施的实施

安全措施的实施是在完成等级保护的安全规划与设计之后,依据安全解决方案进行安全管理措施和安全技术措施建设。

安全措施的实施应依据国家有关规定和标准执行。在工程实施过程中应充分考虑施工对业务系统可能造成的影响,做好应急预案,保障业务系统正常运转。应与第三方实施单位签订保密协议和服务质量协议,同时要加强对第三方履行保密协议和服务质量协议的监督。工程实施过程中应避免因第三方人员进场带来新的安全风险。

5.2 等级评估与验收

完成电子政务系统定级、安全措施选择与实施之后,应启动等级评估与验收工作,以便评估电子政务系统是否满足信息安全等级保护的要求,并由电子政务系统的拥有单位或主管 单位组织验收。

电子政务等级保护工作的等级评估可以采取以下三种方式:

a)自评估

自评估是由电子政务系统的拥有单位组织单位内部人员,评估本单位的电子政务系统是否满足电子政务信息安全等级保

护的要求。

b)检查评估

检查评估是由信息安全主管机关或业务主管机关发起,依据已经颁布的电子政务等级保护的法规或标准进行的评估活动。

c)委托评估

委托评估指信息系统拥有单位委托具有风险评估能力的专业评估机构(包括国家建立的测评认证机构或安全企业)实施的评估活动。电子政务系统的拥有单位应根据系统的安全等级选择一种或多种评估模式。等级评估结束后,应由电子政务系统的拥有单位或主管单位主持验收工作,确定完成等级保护建设工作的电子政务系统是否达到相应的安全等级,以及是否可以投入运行。

5.3 运行监控与改进

电子政务等级保护在完成实施、评估与验收工作之后,则进入了安全运行与改进阶段。这一阶段的主要工作是对系统的安全风险和等级保护体系的运行状况进行持续监控,确保在

系统发生变化、系统的安全风险发生变化的情况下,能够及时调整系统的安全措施,并在系统或系统的安全风险发生重大变化时,进行系统的重新定级和安全措施的调整,以确保系统得到相应的保护。等级保护的运行改进过程如图5-2 所示。

附录A 术语与定义 a)信息资产

对组织具有价值的信息资源,是安全策略保护的对象。资产价值是资产的属性,也是进行资产识别的主要内容。

b)服务

信息系统通过提供某些功能来满足用户需求的过程。

c)信息系统生命周期

信息系统生命周期是某一信息系统从无到有,再到废弃的整个过程,包括规划、设计、实施、运维和废弃五个阶段。

d)威胁

可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。

e)脆弱性

可能被威胁利用对资产造成损害的薄弱环节。

f)影响

信息安全事件造成的后果。g)风险

风险是指人为或自然的威胁利用系统存在的脆弱性,导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。

h)信息安全风险评估

依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

i)风险管理

组织中识别风险、分析风险和控制风险的活动。j)安全措施

保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。

附录B 大型复杂电子政务系统等级保护实施过程示例 B.1 大型复杂电子政务系统描述

大型复杂电子政务系统主要是指涉及多个行政级别、多种网络以及各类繁杂的信息系统等特征的系统,一般具有以下特点:

a)覆盖多级行政级别,涉及的部门多、范围和地域广; b)信息系统种类繁多、应用众多、服务类型多并且结构复杂;

c)网络建设涉及涉密政务内网、涉密和非涉密政务专网、政务外网以及互联网。大型复杂电子政务系统信息安全建设保障工作目前存在的主要困难包括:

1)信息安全涵盖内容极为广泛,从物理安全,网络安全,系统安全一直到应用安全,数据安全,安全管理,安全组织等等,凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题;

2)安全保障是个系统化的工程,各个要素之间存在紧密联系,互相依赖,牵一发而动全身;

3)安全保障是个长期性的工作,伴随信息系统的整个生命周期,是一个不断实施、检查和改进的过程;

4)不同行业、不同信息化发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性;

5)安全保障除了耗费人力财力,还会损失易用性,降 48 低效率,所以应该考虑信息安全要求与资金人力投入的平衡,控制安全的成本。

B.2 等级保护实施过程描述

大型复杂电子政务系统的等级保护实施过程应符合等级保护的整体实施过程,但对于这类电子政务系统由于存在系统复杂、庞大、行政级别多以及涉及范围广等特点,因此建议在 各阶段增加以下相关工作和实施方法:

第一阶段:定级阶段

本阶段主要的三个步骤包括系统识别与描述、子系统划分以及对于系统总体和子系统进行定级,对于大型复杂电子政务系统建议在进行系统识别和子系统划分的过程中结合“系统分域保护框架”的设计思路进行不同层次划分,可以从整体的角度出发,根据适合的划分方法进行整体性划分(例如行政级别、行政区域以及网络等要素),也可以从各个子系统的角度出发,总结和归类进行合并,最终形成多个层次的保护对象。每个 层次的保护对象都能够对应相应的等级,形成“等级系统分域保护框架”。这里建议从整体角度出发进行划分,从子系统的角度出发进行验证,形成从下到上和从上到下的统一和平衡。

第二阶段:规划与设计阶段

本阶段主要的三个步骤包括系统分域保护框架建立、选择

和调整五个等级基本安全要求、安全规划和方案设计。对于大型复杂电子政务系统在选择和调整安全措施等级时建议首先根据行业背景、政府职能特征以及相对应的安全特性整体进行安全措施指标的选择,制定相关行业和政务机构的五个等级整体的基本安全要求,在这个基础上相关的各级部门和政务机构可以根据已经选择的安全等级指标进行进一步的修订和细化,这样可以确保从整体性出发安全措施的有效性和可控性;在进行安全规划与方案设计的过程时,不仅要根据不同安全等级系统选择不同安全措施进行规划和方案设计,这里建议采用“体系化”设计的方法,既能够从整体上进行统一规划,又能够通过安全解决方案解决现有安全问题,同时覆盖安全的各个层面,实现了等级化和体系化的相互结合,最终形成等级化的安全体系。

第三阶段:实施阶段

上一篇:在全县非公制企业党建工作座谈会上的讲话下一篇:学校办公oa管理办法