等级保护与安全信息建设工作意义及必要性
一、信息系统安全等级保护建设的必要性
信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。
中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。
二、确定综合经营管理系统的保护级别
根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国
家安全造成损害,因此,将保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
三、建设目标
在今年的《信息系统安全等级保护基本要求(报批稿)》中的3级基本要求中明确规定需要建立“监控管理和安全管理中心”,这说明公司的等级保护平台建设走在了行业的前头,为相关行业的等级保护测评工作提供了宝贵的经验。
等级保护保护整改与安全建设工作重要性
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
启明星辰等级保护整改与安全建设过程
启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套
规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一) 等级保护差距分析
1. 等级保护风险评估
1) 评估目的
对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。
启明星辰通过专业的等级评估服务,协助用户完成以下的目标:
●了解信息系统的管理、网络和系统安全现状;
●确定可能对资产造成危害的威胁;
●确定威胁实施的可能性;
●对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
●对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;
●明确信息系统的已有安全措施的有效性;
●明晰信息系统的安全管理需求。
2) 评估内容
●资产识别与赋值
●主机安全性评估
●数据库安全性评估
●安全设备评估
现场风险评估用到的主要评估方法包括:
●漏洞扫描
●控制台审计
●技术访谈
3) 评估分析
根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。
2. 等保差距分析
通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项。
1) 准备差距分析表
项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。
在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求。
差距分析表包含以下内容:
●安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;
●安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
●系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
●物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
不同安全保护级别的系统所使用的差距分析表的内容也不同。
2) 现场差距分析
整改项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间的差距,确定不符合项。
现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
●查验文档资料
●人员访谈
●现场测试
3) 生成差距分析报告
完成现场差距分析之后,整改项目组归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《等级保护差距分析报告》。
(二) 等级保护整改建议方案
1. 整改目标沟通确认
通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商,启明星辰会依据风险评估和差距分析的结果,明确等级保护整改工作的工作目标,提出等级保护整改建议方案。
对暂时难以进行整改的部分内容,将在讨论后作为遗留问题,明确列在整改建议方案中。
2. 总体框架
根据等保安全要求,启明星辰提出如下的安全整改建议,其中PMOT体系是信
息安全保障总体框架模型。
图信息安全PMOT体系模型
启明星辰根据建议方案的设计原则,协助客户制定总体安全保障体系架构,包括制定安全策略,结合等级保护基本要求和安全保护特殊要求,来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系,具体内容包括:
●建立和完善安全策略:最高层次的安全策略文件,阐明安全工作的使命和意愿,定义信息安全工作的总体目标。
●安全技术体系:安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。
●建立和完善安全管理体系:建立安全管理制度,建立信息安全组织,规范人员管理和系统建议管理。
●安全运维体系:机房安全,资产及设备安全,网络与系统安全管理、监控和安全管理等。
展开后的等级保护整改与安全建设总体框架如下图所示,从信息安全整体策略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。
图4 等级保护整改与安全建设总体框架3. 方案说明
●信息安全策略
信息安全策略是最高管理层对信息安全的期望和承诺的表达,位于整个PMOT 信息安全体系的顶层,也是安全管理体系的最高指导方针,明确了信息安全工作总体目标,对技术和管理各方面的安全工作具有通用指导性。
●安全技术体系
启明星辰根据整改目标提出整改方案的安全技术保障体系,将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据,主要内容包括:网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。
●安全管理体系
为满足等保基本要求,应建立和完善安全管理体系,包括:完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。
●安全运维体系
为满足等保基本要求,应建立和完善安全运维体系,包括:环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。
(三) 等级保护整改实施
为了更好地协助客户落实等保的整改工作,启明星辰可以作为集成商、咨询方、或者监理方,协助客户落实整改实施方案,或协助进行整改实施方案的评审、招投标、项目监理等工作,以完成系统整改和安全建设工作。
1. 制定整改实施方案
在确定整改实施的承建单位后,启明星辰会提交相关的工程实施文档,包括参照整改建议方案而编制的项目实施技术规划等文档,其中涵盖安全建设阶段的各项实施细节,主要有:
●项目产品配置清单
●实施设计方案
●实施准备工作描述,实施工作步骤
●实施风险规避方案
●实施验证方案
●现场培训方案
工程实施文档应经客户方的项目负责人确认后,方可进行实施。
2. 整改建设实施
启明星辰承担项目实施的工作,确保落实客户信息系统的安全保护技术措施,建立健全信息安全管理制度,全面贯彻落实信息安全等级保护制度。
3. 整改实施项目验收
整改实施工作完成后,启明星辰提出验收申请和工程测试验收方案,由客户审批工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。
4. 等级保护运维
在整改建设与实施工作完成之后,启明星辰将协助用户完成安全运维策略的制定,协助用户培养专业人才,进行运行管理和控制、安全状态监控、安全事件处置和应急、安全检查和持续改进、等级保护测评和等级保护监督检查的工作。
信息安全等级保护建设方案
信息安全等级保护(二级)建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)
2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)
信息安全等级保护工作实施细则.doc
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
信息安全等级保护介绍
国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。
信息安全技术 信息系统安全等级保护测评要求.doc
信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
信息安全等级保护(三级)建设方案
信息安全等级保护(三级)建设方案
目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统(IPS) (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)
信息安全等级保护工作汇报
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
国家信息安全等级第二级保护制度
国家信息安全等级保护制度 (二级) 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 (1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案; (2)应批准进入机房的来访人员,限制和监控其活动范围。 1.3 防盗窃和防破坏 (1)应将主要设备放置在物理受限的范围内; (2)应对设备或主要部件进行固定,并设置明显的不易除去的标记; (3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等; (4)应对介质分类标识,存储在介质库或档案室中; (5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。 1.4 防雷击 (1)机房建筑应设置避雷装置; (2)应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 (1)水管安装,不得穿过屋顶和活动地板下; (2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管; (3)应采取措施防止雨水通过屋顶和墙壁渗透; (4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 (1)计算机系统供电应与其他供电分开;
(2)应设置稳压器和过电压防护设备; (3)应提供短期的备用电力供应(如UPS设备)。 1.10 电磁防护 (1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; (2)电源线和通信线缆应隔离,避免互相干扰。 2、网络安全 2.1结构安全与网段划分 (1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要; (2)应设计和绘制与当前运行情况相符的网络拓扑结构图; (3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽; (4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径; (5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; (6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。 2.2 访问控制 (1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。 (2)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户; (3)应限制具有拨号访问权限的用户数量。 2.3 安全审计 (1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录; (2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息 2.4 边界完整性检查
某单位信息安全等级保护建设方案
xxxxxx 信息安全等级保护(三级)建设项目 设计方案 二〇一八年二月
文档控制 文档名称: xxxxxx 信息安全等保保护建设(三级)设计方案 版本信息
本文档版权归xxxxxx股份有限公司所有,未经xxxx有限公司允许,本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准,文档或任何类似的资讯都不允许被发布。
目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (6) 1.2.1法律要求 (6) 1.2.2政策要求 (8) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (9) 第二章现状与差距分析 (10) 现状概述 (10) 2.1.1信息系统现状 (10) 现状与差距分析 (12) 2.2.1物理安全现状与差距分析 (12) 2.2.2网络安全现状与差距分析 (21) 2.2.3主机安全现状与差距分析 (34) 2.2.4应用安全现状与差距分析 (46) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (61) 综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (81)
v1.0 可编辑可修改 第三章安全建设目标 (83) 第四章安全整体规划 (85) 建设指导 (85) 4.1.1指导原则 (85) 4.1.2安全防护体系设计整体架构 (86) 安全技术规划 (88) 4.2.1安全建设规划拓朴图 (88) 4.2.2安全设备功能 (89) 建设目标规划 (95) 第五章工程建设 (97) 工程一期建设 (97) 5.1.1区域划分 (97) 5.1.2网络环境改造 (97) 5.1.3网络边界安全加固 (98) 5.1.4网络及安全设备部署 (99) 5.1.5安全管理体系建设服务 (132) 5.1.6安全加固服务 (149) 5.1.7应急预案和应急演练 (157) 5.1.8安全等保认证协助服务 (157) 工程二期建设 (159) 5.2.1安全运维管理平台(soc) (159) 5.2.2APT高级威胁分析平台 (163) 产品清单 (165)
信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
信息安全等级保护工作历程
信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试
信息安全等级保护工作流程介绍
信息安全等级保护工作流程介绍 导语 信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。 解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为: 一是定级。信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。 二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到
省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。备案的时候带上定级资料去网安部门,一般两份纸质文档,一份电子档,纸质的首页加盖单位公章。 三是系统安全建设。信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。 四是等级测评。信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然符合基本是不可能的,那是理想状态。 五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运
信息安全等级保护各级对比表
目录 1概述 (2) 1.1 背景介绍 (2) 1.2 主要作用及特点 (2) 1.3 与其他标准的关系 (3) 1.4 框架结构 (3) 2描述模型 (4) 2.1 总体描述 (4) 2.2 保护对象 (5) 2.3 安全保护能力 (5) 2.4 安全要求 (7) 3逐级增强的特点 (8) 3.1 增强原则 (8) 3.2 总体描述 (9) 3.3 控制点增加 (10) 3.4 要求项增加 (10) 3.5 控制强度增强 (11) 4各级安全要求 (12) 4.1 技术要求 (12) 4.1.1 物理安全 (12) 4.1.2 网络安全 (18) 4.1.3 主机安全 (23) 4.1.4 应用安全 (28) 4.1.5 数据安全及备份恢复 (34) 4.2 管理要求 (37) 4.2.1 安全管理制度 (37) 4.2.2 安全管理机构 (39) 4.2.3 人员安全管理 (42) 4.2.4 系统建设管理 (46) 4.2.5 系统运维管理 (51)
本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。 1概述 1.1背景介绍 2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求,《基本要求》列入了首批需完成的6个标准之一。 1.2主要作用及特点 1.主要作用 《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种: a)为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。 b)为测评机构提供评估依据 《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。 c)为职能监管部门提供监督检查依据 《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。 2.主要特点 《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时,《基本要求》强调的是“要求”,而不是具体实施方案
信息安全等级保护安全建设项目方案
信息系统安全等级保护安全建设项目 技术方案
目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)
4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)
信息安全等级保护工作计划
竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务
《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全 2集成等业务; (十)应具备的其他条件。 第七条申请时,申请单位应向等保办提交以下材料:(一)《信息安全等级保护测评机构申请表》; (二)从事信息系统安全相关工作情况; (三)检测评估工作所需软硬件及其他服务保障设施配备情况; (四)有关管理制度建设情况; (五)申请单位及其测评人员基本情况; (六)应提交的其他材料。 等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。