建立铁路行业信息安全等级保护测评机构必要性分析
开展等保测评情况汇报
开展等保测评情况汇报近期,我单位积极响应国家网络安全战略,加强信息系统等级保护工作,全面推进等保测评工作。
为了及时了解我单位等保测评情况,特向各位汇报如下:一、开展等保测评的背景和意义。
作为国家重点信息基础设施单位,我单位信息系统的安全性和稳定性对国家安全和经济发展具有重要意义。
开展等保测评,可以全面了解信息系统的安全状况,发现和解决安全隐患,提升信息系统的等级保护能力,确保信息系统的安全可靠运行。
二、等保测评的组织和实施情况。
我单位高度重视等保测评工作,成立了由信息安全、网络运维、业务系统等相关部门人员组成的等保测评工作组,负责统筹协调等保测评工作。
工作组根据国家相关标准和要求,制定了详细的工作方案和计划,明确了测评的范围、内容和方法,确保测评工作有序进行。
在实施过程中,工作组充分调动了各部门的积极性和配合度,对各类信息系统进行了全面的安全漏洞扫描和评估,发现了一些潜在的安全隐患,及时采取了相应的措施加以整改,确保了信息系统的安全性和稳定性。
三、等保测评的成果和问题。
经过一段时间的紧张工作,我单位取得了一定的成果。
首先,对信息系统的安全性进行了全面的评估,形成了详细的测评报告,为下一步的安全加固工作提供了重要依据。
其次,通过测评工作,发现了一些安全隐患并及时进行了整改,有效提升了信息系统的安全等级。
但同时也发现了一些问题,比如部分系统的安全防护措施不够完善,安全意识有待进一步加强等。
四、下一步工作计划。
针对等保测评中发现的问题和不足,我单位将进一步加强信息系统的安全防护措施,加强安全意识培训,提升全员的安全意识和防范能力。
同时,将继续加强对信息系统的监测和评估工作,定期开展安全漏洞扫描和评估,确保信息系统的安全等级得到有效维护。
以上就是我单位开展等保测评情况的汇报,希望各位领导和同事能够给予关注和支持,共同努力,确保信息系统的安全稳定运行。
信息安全等级保护测评体系建设与测评工作规范性文件.
依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a)在中华人民共和国境内注册成立(港澳台地区除外);
b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(具体要求参见8.2.1)
c)产权关系明晰,注册资金100万元以上;(具体要求参见8.2.2)
d)从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1)
e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体要求参见8.2.1)
f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;(具体要求参见6.1)
h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(具体要求参见4.5)
i)对国家安全、社会秩序、公共利益不构成威胁;
j)应当具备的其他条件。
4
4.1
说明:
1.测评机构管理者等级保护相关的政策法规,如《中华人民共和国计算机信息系统安全保护条例》(147号令)、《信息安全等级保护工作的实施意见》(66号文)、《信息安全等级保护管理办法》(43号文)、《信息安全等级保护测评工作管理规范》(公信安[2010]303号)等。
4.4
说明:
1.机构应以文件化的形式明确其岗位名称和职责。
2.应保证行政管理人员(如人力资源、财务等)的数量,并满足岗位能力要求。
4.5
说明:
1.各管理制度文档内容应覆盖相关要求。
2.各管理制度应按规范的审批流程在机构内发布、实施。
开展等级保护的必要性
一、开展等级保护必要性信息系统安全等级保护作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等。
随着国家越来越多重要业务工作通过信息化的平台开展,国家越来越重视重要的行业、政府机关的信息安全工作。
国家相关信息安全主管机关对等级保护工作已上升为国家的政策法规的高度,要求重要信息系统的安全建设需要达到相应的安全要求,并通过测评机构的测评、公安机关监督等行政法规督促等级保护工作的开展。
✧等级保护的地位1.是国家信息安全保障工作的基本制度、基本国策;2.是开展信息安全工作的基本方法;3.是促进信息化、维护国家信息安全的根本保障。
✧网络安全法要求《网络安全法》第二十一条、第三十一条,要求网络运营者实行网络安全等级保护制度。
而江阴电信提供公共通信和信息服务,属于关键信息基础设施,更应在网络安全等级保护制度的基础上,实行重点保护。
二、效益分析1、经济效益分析一、有利于提高信息化建设的投入产出比信息化的建设和实施是一个系统的、复杂的工程,引进信息系统等级保护体系,针对外事办信息系统的安全现状,提出一个切实可行、经济高效的解决方案,采取分期逐步推进的策略,可以使我们少走弯路,在较高的起点上以较小的资金和人员投入,取得更好的效果,在较短的时间内迅速提高信息系统的安全水准。
二、有利于从整体上降低信息化投入的资金按照等级保护标准进行建设整改,可以避免不同系统在信息安全上的重复建设,大大降低发生安全事件的可能性和损失,从整体上将降低信息安全建设运维的费用,同时也可以避免在某个系统或某个环节出现安全漏洞,导致整个网络存在着较大的安全风险。
面向铁路行业的信息安全测评体系的研究
摘
要 :针 对铁路 行 业主要 信 息 系统 面 临 的 日益增 加 的 安 全威 胁 ,在 已建 成 的 国 家 高速铁 路 核
心 系统检 测 业务 的基础 上 ,构建 铁路 核 心业 务 系统 的模 拟 仿 真 测 试 平 台 ,开展 对 测 评 实验 室体 系建设 、环境 建设 及 平 台建设方 案 的研 究 ,提 出 了一 个 面 向铁路 核 心 业务 系统 的信 息安 全测 评
YA0 n .e Ho g 1i
(nt ueo l to i n o uigT c n lg , hn a e f al a , e ig10 8 , hn ) Isi t f e rnc a dC mp t eh ooy C iaAcd myo i y B in 0 0 1C ia t E c s n R w j
Ab t a t F rt e d i n r a e e u t h e ti al y p ma y i fr t n s se ,a p o rm f sr c : o a l i c e s d s c r y tr a n r i h y i wa r r n o mai y tm i o rg a o r i y if r t n s c rs p o o e n b s f t e n t n hg —p e al n oma i e u t e t g e a u t e t r i r p s d o a e o h a o M ih s e d wa o i i o i
体 系建设 方案 ,为保 障铁 路核 心业 务 信 息 系统 的安 全 、稳 定运 行 ,为 铁路 核 心业 务 系统信 息安
全等级保护的整改和信息安全防护体 系的建设提供参考依据。 关键词 : 信息安全 ;测评体系;等级保护
开展等级保护的必要性
一、开展等级保护必要性信息系统安全等级保护作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等。
随着国家越来越多重要业务工作通过信息化的平台开展,国家越来越重视重要的行业、政府机关的信息安全工作。
国家相关信息安全主管机关对等级保护工作已上升为国家的政策法规的高度,要求重要信息系统的安全建设需要达到相应的安全要求,并通过测评机构的测评、公安机关监督等行政法规督促等级保护工作的开展。
✧等级保护的地位1.是国家信息安全保障工作的基本制度、基本国策;2.是开展信息安全工作的基本方法;3.是促进信息化、维护国家信息安全的根本保障。
✧网络安全法要求《网络安全法》第二十一条、第三十一条,要求网络运营者实行网络安全等级保护制度。
而江阴电信提供公共通信和信息服务,属于关键信息基础设施,更应在网络安全等级保护制度的基础上,实行重点保护。
二、效益分析1、经济效益分析一、有利于提高信息化建设的投入产出比信息化的建设和实施是一个系统的、复杂的工程,引进信息系统等级保护体系,针对外事办信息系统的安全现状,提出一个切实可行、经济高效的解决方案,采取分期逐步推进的策略,可以使我们少走弯路,在较高的起点上以较小的资金和人员投入,取得更好的效果,在较短的时间内迅速提高信息系统的安全水准。
二、有利于从整体上降低信息化投入的资金按照等级保护标准进行建设整改,可以避免不同系统在信息安全上的重复建设,大大降低发生安全事件的可能性和损失,从整体上将降低信息安全建设运维的费用,同时也可以避免在某个系统或某个环节出现安全漏洞,导致整个网络存在着较大的安全风险。
国家信息安全等级保护制度介绍
信息安全等级保护制度介绍一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
二、信息安全等级保护相关法律和文件1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。
2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。
三、工作分工和组织协调(一)工作分工。
公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
信息安全等级保护等级测评实施细则doc信息安全等级测评
信息安全等级保护等级测评实施细则doc信息安全等级测评第一章总则第一条【目的】为加强信息安全等级测评机构建设与管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员与测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构根据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范与技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定与统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构与测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息与个人隐私等。
第七条【管理体制】测评机构应当同意各级信息安全等级保护协调(领导)小组与公安网安部门的监督管理,并同意有关部门的业务管理与技术指导。
第二章测评机构第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理与行业管理相结合的原则进行建设与管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设与管理工作,指导行业等级测评机构的建设与管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(下列简称申请单位)应当具备下列基本条件:(一)在中华人民共与国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估有关工作两年以上;(五)单位法人及要紧工作人员仅限于中华人民共与国境内的中国公民,且无犯罪记录;(六)具有胜任等级测评工作的专业技术人员与管理人员,大学本科(含)以上学历所占比例不低于80%。
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安[2010]303号各省、自治区、直辖市公安厅、局网络安全保卫(公共信息网络安全监察、网络警察)总队(处)、新疆生产建设兵团公安局公共信息网络安全监察处:为进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)精神,加快信息安全等级保护测评体系建设,提高测评机构能力,规范测评活动,确保信息安全等级保护安全建设整改工作顺利进行,满足信息安全等级保护工作的迫切需要,我局决定在全国部署开展信息安全等级保护测评体系建设和等级测评工作。
现将有关事项通知如下:一、工作目标(一)通过广泛宣传和正确引导,鼓励更多的有关企事业单位从事信息安全等级保护测评工作,满足信息安全等级保护测评工作的迫切需要。
(二)通过对测评机构进行统一的能力评估和严格审核,保证测评机构的水平和能力达到有关标准规范要求。
(三)加强对测评机构的安全监督,规范其测评活动,保证为备案单位提供客观、公正和安全的测评服务。
(四)督促备案单位开展等级测评工作,为开展等级保护安全建设整改工作奠定基础,使信息系统安全保护状况逐步达到等级保护要求。
二、工作内容各地要按照《关于开展信息安全等级保护安全建设整改工作的指导意见》要求,结合本地实际组织开展以下工作:(一)统筹规划,正确引导,积极稳妥地推动等级测评机构建设。
结合本地已定级备案信息系统数量和分布情况,从满足等级测评工作的实际需要出发,统筹规划、合理布局测评机构的规模和数量,积极引导本地符合规定条件、有良好信誉的企事业单位从事等级测评工作,按照成熟一个发展一个的原则,有计划、积极稳妥地推动测评机构建设。
(二)规范流程,严格把关,确保测评机构的水平和能力符合测评工作要求。
依据《信息安全等级保护测评工作管理规范(试行)》(见附件一),对申请成为测评机构的单位严格把关,按照申请受理、测评能力评估、审核、推荐的流程,认真开展测评机构评审和推荐工作。