等级保护安全咨询服务建设方案
医院信息安全等级保护体系建设方案
医院信息安全等级保护体系建设方案1. 确定信息安全等级保护目标:首先,医院需要确定不同级别的信息安全等级保护目标,并根据这些目标来建立相应的保护措施。
例如,对于患者的个人信息,可能需要设定更高的保护级别。
2. 建立信息安全保护团队:医院可以组建一支专门的信息安全保护团队,负责制定和执行信息安全策略和措施。
这支团队应该由专业的信息安全人员和技术人员组成。
3. 制定信息安全政策和流程:医院需要建立一套完善的信息安全政策和流程,确保所有员工都能够遵守相关的安全规定。
这包括对数据的采集、存储、传输和处理等方面的操作规范。
4. 实施信息安全技术措施:医院需要投入一定的资金和资源来购置和实施信息安全技术相关的设备和系统,如防火墙、入侵检测系统、数据加密技术等。
这些技术措施可以有效地保护医院的数据和系统免受攻击和破坏。
5. 加强信息安全培训:为了确保员工能够正确地操作和使用信息安全技术,医院需要定期对员工进行信息安全培训,并加强对信息安全意识和责任的教育。
6. 建立信息安全检测和监控机制:医院需要建立一套信息安全检测和监控机制,确保能够及时发现和应对潜在的安全隐患和威胁。
7. 配备紧急应对措施:在发生信息安全事件或者紧急情况时,医院需要有相应的紧急应对措施,以尽快控制和解决问题,减少损失。
总的来说,建立一个完善的信息安全等级保护体系需要医院从政策、技术、人员培训和紧急应对等多方面综合考虑,投入足够的资源和精力,并持续加强和改进。
只有这样,医院的数据和系统才能得到有效的保护,患者和医护人员的隐私和安全才能得到更好的保障。
医院作为一个大规模的医疗机构,其信息安全等级保护体系的建设是非常重要的。
下面我们将继续探讨医院信息安全等级保护体系的建设方案。
8. 建立灾难恢复和业务连续性计划:医院需要制定并实施有效的灾难恢复和业务连续性计划,以应对意外事件和灾难情况,确保医院的关键业务能够在最短时间内恢复正常运行,保障患者的安全和健康。
深信服等级保护(三级)建设方案--大学毕业设计论文
××项目等级保护(三级)建设方案深信服科技(深圳)有限公司2024年3月目录1项目概述 (5)2等级保护建设流程 (5)3方案参照标准 (7)4信息系统定级 (8)4.1.1定级流程 (8)4.1.2定级结果 (9)5系统现状分析 (11)5.1机房及配套设备现状分析 (11)5.2计算环境现状分析 (11)5.3区域边界现状分析 (11)5.4通信网络现状分析.................................................................................................................................................. 错误!未定义书签。
5.5安全管理中心现状分析 (11)6安全风险与差距分析 (11)6.1物理安全风险与差距分析 (11)6.2计算环境安全风险与差距分析 (12)6.3区域边界安全风险与差距分析 (14)6.4通信网络安全风险与差距分析 (15)6.5安全管理中心差距分析 (16)7技术体系方案设计 (17)7.1方案设计目标 (17)7.2方案设计框架 (17)7.3安全域的划分 (18)7.3.1安全域划分的依据 (18)7.3.2安全域划分与说明 (19)7.4安全技术体系设计 (20)7.4.1机房与配套设备安全设计 (20)7.4.2计算环境安全设计 (21)7.4.2.1身份鉴别 (21)7.4.2.2访问控制 (22)7.4.2.3系统安全审计 (22)7.4.2.4入侵防范 (23)7.4.2.5主机恶意代码防范 (24)7.4.2.6软件容错 (24)7.4.2.7数据完整性与保密性 (24)7.4.2.8备份与恢复 (26)7.4.2.9资源控制 (27)7.4.2.10客体安全重用 (28)7.4.2.11抗抵赖 (28)7.4.2.12不同等级业务系统的隔离与互通 (28)7.4.3区域边界安全设计 (29)7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (29)7.4.3.2流量控制 (30)7.4.3.3边界完整性检查 (32)7.4.3.4边界安全审计 (33)7.4.4通信网络安全设计 (34)7.4.4.1网络结构安全 (34)7.4.4.2网络安全审计 (35)7.4.4.3网络设备防护 (36)7.4.4.4通信完整性与保密性 (36)7.4.4.5网络可信接入 (37)7.4.5安全管理中心设计 (38)7.4.5.1系统管理 (38)7.4.5.2审计管理 (39)7.4.5.3监控管理 (40)8安全管理体系设计 (41)9系统集成设计 (42)9.1软硬件产品部署图 (42)9.2应用系统改造 (43)9.3采购设备清单.......................................................................................................................................................... 错误!未定义书签。
网络安全等级防护2.0建设方案
定期评估与调整
定期对安全运维管理体系进 行评估和调整,确保其适应 业务发展和安全需求的变化 。
05
技术保障措施部署
硬件设备选型原则和配置要求说明
选型原则
选择高性能、高可靠性、高扩展性的硬件设备,确保设备能够满足网络 安全等级保护的要求。
配置要求
设备配置需满足系统性能、安全、可扩展性等多方面的要求,包括但不 限于CPU、内存、硬盘、网络接口等。
软件产品选型依据及性能评估报告
选型依据
根据业务需求、系统架构、安全需求等多方 面因素,选择适合的软件产品。
性能评估报告
对选定的软件产品进行性能评估,包括处理 速度、稳定性、兼容性、安全性等方面的测 试,确保产品能够满足实际应用需求。
云计算服务提供商选择策略论述
服务商资质
选择具备相应资质和经验的云计算服务提供商,确保其能够提供安全、可靠的 云计算服务。
审计工具
选择合适的安全审计工具,如日志分析工具、漏洞扫描工 具等,提高审计效率和质量。
04
安全运维管理体系构建
日常安全管理流程梳理和规范化建设
安全管理流程梳理
对现有的安全管理流程进行全面梳 理,包括安全策略、标准、流程等
方面。
规范化建设
制定统一的安全管理规范,包括安 全配置、安全审计、风险评估等。
第三方服务商监管措施落实情况
01 服务商资质审查
对第三方服务商的资质进行审查,确保其具备提 供安全服务的能力。
02 服务协议签订
与第三方服务商签订服务协议,明确安全责任和 服务要求。
03 服务监督与评估
定期对第三方服务商的服务进行监督与评估,确 保其服务质量。
网络安全培训计划和实施效果评估
网络安全等级保护建设方案
网络安全等级保护建设方案一、引言网络安全是当今信息社会中不可忽视的重要问题。
随着互联网在各行各业的普及和应用,网络安全问题变得越来越突出和复杂。
为了保护网络系统的安全和稳定运行,国家和组织纷纷制定了一系列的安全标准和要求。
本文旨在提出一个网络安全等级保护(安全通用要求)的建设方案,以全面提升网络系统的安全性。
二、建设目标1.制定明确的网络安全等级保护目标,确保网络系统的安全性;2.实施网络安全等级保护措施,监测和预防网络攻击,保护重要信息资产;3.建立完善的网络安全管理机制,提高网络系统的抗攻击能力;4.培养和提高员工网络安全意识,加强员工的信息安全加密知识和技能。
三、建设步骤1.制定网络安全等级保护标准根据国家和组织的相关安全标准,制定明确的网络安全等级保护标准。
该标准应包括网络系统的安全等级划分和相应的安全控制措施。
安全等级划分应根据网络系统的重要程度和对安全性的要求进行分类,不同等级的网络系统要求有相应的安全防护措施。
2.实施网络安全等级保护措施根据网络安全等级保护标准,对网络系统进行安全等级保护措施的实施。
包括网络系统的身份识别、访问控制、加密传输、安全审计等。
同时,对网络设备和应用软件进行及时的漏洞修复和安全升级,确保网络系统的安全性。
3.建立网络安全风险评估与管理机制建立网络安全风险评估与管理机制,通过对网络系统进行定期的安全漏洞扫描和风险评估,及时发现和修复安全漏洞,降低网络安全风险。
同时,建立网络安全事件响应机制,定期进行网络安全演练,提高网络安全应急响应能力。
4.加强员工网络安全培训与教育加强员工的网络安全培训与教育,提高员工的网络安全意识和技能。
建立网络安全知识库,为员工提供相关的网络安全知识和技能培训。
定期组织网络安全知识测试和演练,及时发现和纠正员工在网络安全方面的问题,提高员工的安全意识和行为。
5.建立网络安全监测与预警系统建立网络安全监测与预警系统,实时监测网络系统的安全状态,及时发现和预警网络攻击事件。
安全服务-等级保护咨询服务方案
等级保护咨询服务方案一.概述1.1基本概念信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2服务发展情况信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
我国信息安全等级保护制度的发展大致经历了以下几个重要阶段:1994年2月国务院颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确提出国家计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年制定了信息系统安全等级保护的第一个国家强制标准GB17859--《计算机信息系统安全保护划分准则》,明确将信息系统划分为五个等级,从最低的第一级的用户自主保护级到最高的第五级的访问验证保护级。
2003年出台的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),明确提出了“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月,由公安部、国家保密局、国家密码管理局、国务院信息办四部委联合印发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),提出了计划用三年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度。
2007年6月四部委联合出台了《信息安全等级保护管理办法》(公通字[2007]43号),成为正式的信息安全等级保护管理办法。
43号文的出台,明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责和任务。
等保服务方案
等保服务方案第1篇等保服务方案一、方案背景随着信息技术的飞速发展,信息安全已成为我国经济社会发展的重要保障。
为提高我国信息安全保障能力,依据《中华人民共和国网络安全法》等相关法律法规,我国开展了网络安全等级保护工作。
本方案旨在为某单位提供一套合法合规的等保服务方案,确保其信息系统安全稳定运行。
二、方案目标1. 满足国家相关法律法规要求,确保信息系统安全合规。
2. 提高单位信息安全保障能力,降低安全风险。
3. 建立完善的等保服务体系,提升单位信息安全管理水平。
三、方案内容1. 等保建设(1)物理安全加强物理安全防护,确保信息系统运行环境安全。
具体措施如下:- 机房设施:按照国家标准建设机房,配备防火、防盗、防潮、防静电等设施。
- 供电保障:采用双路供电,配备不间断电源,确保信息系统稳定运行。
- 网络安全:采用物理隔离、防火墙等技术手段,确保网络边界安全。
(2)网络安全加强网络安全防护,保障信息系统安全稳定运行。
具体措施如下:- 网络架构:采用分层、分区的设计原则,提高网络的安全性和可扩展性。
- 访问控制:实施严格的访问控制策略,防止非法访问、控制、泄露、篡改等安全风险。
- 安全审计:建立安全审计制度,对网络设备、系统和用户行为进行审计,确保合规性。
(3)主机安全加强主机安全防护,防止恶意攻击和病毒感染。
具体措施如下:- 系统安全:定期更新操作系统、数据库等软件,修复安全漏洞。
- 权限管理:实施最小权限原则,限制用户对系统资源的访问。
- 防病毒:部署防病毒软件,定期更新病毒库,防止病毒感染。
(4)应用安全加强应用安全防护,确保应用系统的安全稳定运行。
具体措施如下:- 安全编码:遵循安全编码规范,提高应用系统安全性。
- 应用审计:对应用系统进行安全审计,发现并修复安全漏洞。
- 数据保护:采用加密、脱敏等技术手段,保护用户数据安全。
2. 等保运维(1)人员管理- 设立专门的等保运维团队,负责信息系统等保工作。
三级等保服务实施方案
三级等保服务实施方案一、引言三级等保是指在国家信息安全等级保护制度中,属于最高级别安全保护的等级。
为了确保信息系统的安全性,本文档旨在提供三级等保服务的实施方案。
二、目标和原则2.1 目标本方案的目标是确保信息系统达到三级等保标准,并提供一系列安全保障措施,以保护系统和数据的安全。
2.2 原则本方案的实施遵循以下原则:- 合规性:确保符合国家的相关法律法规和标准要求。
- 完整性:提供全面的安全保护,包括网络安全、数据安全和应用安全等方面。
- 可靠性:确保安全保障措施的可靠性和有效性。
- 灵活性:能够根据实际情况进行调整和改进。
三、实施步骤3.1 初步准备在实施三级等保服务之前,需要进行一些初步准备工作,包括:- 成立项目组,明确项目的组织架构和职责。
- 制定项目计划,包括工作分解、里程碑和时间进度。
- 分析现有信息系统的安全状态,确定需要采取的措施。
3.2 安全评估和风险评估对现有信息系统进行安全评估和风险评估,确定系统存在的安全风险和弱点,并制定相应的修复和改进计划。
3.3 安全设计和实施在安全评估和风险评估的基础上,进行安全设计和实施工作,包括:- 网络安全:建设安全防护体系,限制网络访问和加强边界安全防护。
- 数据安全:加密重要数据,建立备份和恢复机制,确保数据的完整性和可用性。
- 应用安全:加强应用程序的访问权限控制,防止未授权访问和操作。
3.4 安全运维和监控建立安全运维和监控机制,包括:- 安全事件的快速响应和处理。
- 定期进行安全测试和演练。
- 监控系统的安全状态和异常行为。
3.5 安全培训和意识提升针对员工进行安全培训,提高员工的信息安全意识和能力,包括:- 安全政策和规程的宣传和培训。
- 员工的安全知识和技能培训。
- 不定期进行安全意识测试和考核。
四、评估和改进在实施三级等保服务的过程中,需要进行评估和改进工作,包括:- 定期评估信息系统的安全状态和效果。
- 根据评估结果,对安全措施进行改进和完善。
网络安全等级保护等保03级建设内容设计方案
网络安全等级保护等保03级建设内容设计方案网络安全等级保护(等保)是指在国家网络安全监管体系的指导下,根据一定的安全等级要求,采取相关保护措施,建立和完善信息系统的安全保护机制,以保障信息系统及其内部的信息安全。
等保03级为较高级别的安全等级标准,要求对信息系统进行全面覆盖的安全保护。
下面是一个1200字以上的网络安全等级保护等保03级建设内容设计方案:一、安全管理体系建设1.建立完善的信息安全管理体系,并确保其与企业整体管理体系相衔接。
2.制定并实施信息安全管理制度和相关操作指南,规范员工的信息安全行为。
3.建立安全意识培训和教育制度,对员工进行定期的信息安全培训,提高员工的安全意识和技能。
4.建立定期的安全审计和安全检查机制,及时发现和解决安全隐患。
5.建立有效的应急预案和演练制度,确保在安全事件发生时能够迅速应对和处理。
二、安全架构设计和实施1.制定信息系统安全设计方案,包括网络架构、系统架构、安全设备等相关内容。
2.根据建设方案,进行安全设备和系统的采购、配置和部署,确保其适应等保03级的要求。
3.加强网络边界的保护,建立安全的防火墙、入侵检测和入侵防御系统,监控网络流量并及时发现异常活动。
4.加强对重要数据的安全保护,建立数据备份、灾备和恢复机制,防止数据丢失和泄露。
5.加强对用户身份验证和访问控制的管理,采用多因素认证和权限控制等措施,防止未经授权的访问和操作。
三、安全监测和响应能力建设1.建立安全事件监测和响应系统,对网络流量、日志、异常行为等进行实时监控和分析。
2.建立威胁情报收集和分析机制,及时获取最新的安全威胁信息,并进行相应的防护措施。
3.建立安全事件响应和处置机制,制定详细的事件响应流程和处置方案,确保对安全事件进行及时处理。
4.建立安全事件的报告和通知机制,及时向上级主管部门和相关部门汇报重大安全事件。
5.建立安全漏洞管理制度,及时修复系统和应用程序的安全漏洞,防止黑客利用漏洞进行攻击。
网络安全等级保护设计方案(三级)-运营体系设计
网络安全等级保护设计方案(三级)-运营体系设计XXX科技有限公司20XX年XX月XX日目录一运营体系概述 (3)二漏洞管理服务 (4)三安全评估服务 (5)四渗透测试服务 (6)五应急响应服务 (8)六应急演练服务 (9)七威胁监测与主动响应服务 (10)八网络安全培训服务 (11)九系统设计亮点 (11)9.1 价值主张 (11)9.2 安全可视能力 (11)9.3 持续检测能力 (13)一运营体系概述等级保护2.0标准所规定的技术要求并不只是通过产品来落地的;等保的管理要求也不只是体现在文档上。
要保证持续的践行等级保护的各项要求,还需要对安全产品和安全管理制度持续运营。
通过运营将等保2.0中的技术要求和管理要求有效落地。
安全运营工作即可以用户自己做,也可以由厂商提供安全服务,来帮助用户实现持续的安全运营。
安全运营体系保障等保2.0技术和管理落地系统自身的漏洞、来自内外部的威胁,是管理的基本要素。
以漏洞和威胁为基础,把技术和管理体系融合,帮助用户建立安全运营体系。
安全运营体系二漏洞管理服务漏洞管理服务有现场服务、云端服务两种不同的服务方式,满足不用用户场景下的需求。
漏洞管理服务服务内容:三安全评估服务根据用户网络安全实际需求,为用户提供资产梳理、漏洞扫描、基线核查、安全加固建议等一体化的安全评估服务。
资产梳理:安全访谈和调研,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案。
脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。
防御能力评估:通过模拟黑客进行信息收集、应用及系统入侵,验证防御体系的安全防御能力。
失陷检查:通过人工或工具产品检测主机系统上的恶意文件和网络行为,判断主机失陷状态。
安全整改建议:基于安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。
四渗透测试服务目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析,缺少灵活性,而渗透测试却能够在可控的前提下进行最贴近于真实情况的漏洞发掘,弥补了仅仅使用安全产品对系统分析的不足,通过渗透测试可以以攻击者的角度发现一些隐性存在的安全漏洞和风险点,有助于后续的网络安全建设。
信息安全等级保护建设方案
信息安全等级保护建设方案在信息安全的日益重要的今天,等级保护建设显得尤为关键。
就像建房子一样,基础打得稳,房子才能屹立不倒。
首先,我们得弄清楚什么是信息安全等级保护。
简单来说,就是为保护我们的信息资产,按照一定标准进行分级管理。
这就像给不同的东西贴上不同的标签,重要的要更小心对待。
接下来,先说说这个建设的方向。
我们可以从几个方面深入探讨。
第一,制度建设。
一个好的制度就像是一个强有力的护盾,能有效抵挡外来的攻击。
制度不仅仅是条文,更要落到实处。
公司得定期检查,确保大家都明白这些规则,不能光说不练。
再者,技术手段是保障信息安全的重要支柱。
比如,采用加密技术,可以让数据即便被盗也难以被破解。
这种技术,就像给你的秘密上了把锁,让人无法随意窥探。
再说说网络监控,及时发现异常活动,简直是防火墙中的“火眼金睛”。
技术跟上,才能不被黑客牵着鼻子走。
然后就是人员培训,这个可不能忽视。
人是系统中最弱的一环,不了解安全知识,就像一个无头苍蝇,随时可能出问题。
定期的安全培训,让大家都有个底,遇到问题能从容应对。
这样一来,企业的信息安全意识就像春风化雨,潜移默化。
说到这里,咱们再聊聊评估和审计。
信息安全的评估就像医生给身体做检查,发现隐患,及时处理。
企业要定期进行安全评估,看看哪些地方需要加强。
审计则是复查,确保之前的措施没有走过场。
没有检查,就像不见棱角的冰山,潜在的危险随时可能浮出水面。
接下来,技术方案的实施也至关重要。
制定好计划后,得一步一步落实。
比如,搭建完善的网络架构,确保数据传输安全。
使用防火墙、入侵检测系统等工具,这些都是防护的第一道关卡。
只有把这些都做到位,才能安心睡个好觉。
还有,要跟上技术的发展。
信息安全技术更新换代快,要时刻关注新技术的出现。
比如,人工智能的应用,可以有效提高安全防护的效率。
利用智能分析,及时发现潜在的安全威胁,简直是如虎添翼。
当然,外部合作也是不可或缺的一环。
跟专业的安全公司合作,获取他们的经验和技术支持。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX平台等级保护安全咨询服务建设方案目录 (2)第 1 章系统概述 (3)1.1建设背景 (3)1.2建设目标 (4)1.3实施流程 (4)1.4指导思想 (8)第 2 章等级保护安全评估与服务 (10)2.1等级保护安全评估 (10)2.1.1概述 (10)2.1.2信息系统调查 (11)2.1.3系统定级分析 (11)2.1.4评估方案制订 (13)2.1.5现场评估 (13)2.1.6资产评估 (13)2.1.7威胁分析 (14)2.1.8漏洞分析 (15)2.1.9风险分析 (17)2.1.10评估实施 (18)2.1.11等级化安全评估报告 (20)2.1.12安全规划 (20)2.1.13输出文档 (20)2.1.14等级保护测评 (21)2.2安全保障服务 (21)第 3 章项目实施方案 (23)3.1项目组织结构及职责 (23)3.2项目组织结构 (23)3.3项目分工界面 (27)3.4项目进度及计划安排 (27)3.4.1实施计划表 (27)3.4.2实施进度说明 (28)第 4 章服务清单 (29)4.1服务方式 (29)1.1建设背景信息安全等级保护制度是国家信息安全保障工作的基本制度。
开展信息安全等级保护制度,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。
根据国家相关政策和标准,各基础信息网络和重要信息系统,应当按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。
“信息安全等级保护管理办法(43号文)”对等级保护的实施与落实做出了规定,明确指出:对违反管理办法规定的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果;造成严重损害的,由相关部门依照有关法律、法规予以处理。
同时有关文件强调,涉及工作秘密的信息系统不属于涉密信息系统,不能将涉密信息系统扩大化。
当信息系统难以认定是否属于涉密信息系统时,可以由信息系统运营使用单位、公安机关、国家保密工作部门共同认定。
信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为网络与信息安全体系的建设提供了法律、政策、标准依据。
《中华人民共和国计算机信息系统安全防护条例》(国务院令第147 号)明确规定我国“计算机信息系统实行安全等级保护”。
依据国务院147 号令的要求而制订发布的强制性国家标准《计算机信息系统安全防护等级划分准则》(GB17859-1999)为计算机信息系统安全防护等级的划分奠定了技术基础。
⏹《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
⏹《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43 号)确定了实施信息安全等级保护制度的原则工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。
⏹《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号)明确要求各部门在信息安全等级保护定级工作基础上,力争在2012 年底前完成已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作。
1.2建设目标为了进一步贯彻落实国家信息安全等级保护有关政策和标准,将全面部署开展XX 平台信息系统安全等级保护定级与安全建设整改工作,以提高XX平台信息系统的安全保障能力和防护能力,确保XX平台信息系统的安全运行,促进XX平台信息化建设进程。
1.3实施流程根据《信息系统安全保护等级实施指南》,信息系统实施等级保护的基本流程如下:信息系统安全等级保护实施的流程定级与备案根据公安部《信息安全等级保护备案工作实施细则》等级保护定级备案应当按照如下要求:第六条信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。
第九条接收备案材料后,公安机关公共信息网络安全监察部门应当对下列内容进行审核:(一)备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致;(二)信息系统所定安全保护等级是否准确。
第十一条《备案表》中表一、表二、表三内容经审核合格的,公安机关公共信息网络安全监察部门应当出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。
《备案证明》由公安部统一监制。
等级保护安全规划、安全设计与整改实施对于安全措施不符合定级要求的,需要进行整改。
根据《信息系统安全保护等级实施指南》,信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
整改实施整体流程整改技术实施流程等级保护测评对XX平台等级保护平台进行等级保护二级测评。
信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评。
等级保护定级、等级保护实施、备案及测评关系1.4指导思想⏹《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)⏹《计算机信息系统安全保护等级划分准则》(GB 17859—1999)⏹《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)⏹《信息安全等级保护管理办法》(公通字[2007]43号)⏹《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)⏹《信息系统安全保护等级实施指南》⏹《信息系统安全等级保护测评准则》⏹《信息系统安全保障评估框架》(GB/T 20274—2006)⏹《关于信息安全等级保护工作的实施意见》(公通字 [2004] 66号)⏹《互联网安全保护技术措施规定》(公安部第82号令)⏹《关于开展全国重要信息系统安全等级保护定级工作的通知》(861号文)⏹《中华人民共和国计算机信息系统安全保护条例》⏹《计算机信息系统安全保护划分准则》(GB17859-1999)⏹《信息安全技术信息系统安全等级保护定级指南》GB/T 22240-2008⏹《信息安全技术信息系统安全管理要求》(GB/T20269-2006)⏹《信息安全技术网络基础安全技术要求》(GB/T20270-2006)⏹《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)⏹《信息安全技术操作系统安全技术要求》(GB/T20272-2006)⏹《信息安全技术数据库管理系统安全技术要求(GB/T20273-2006)⏹《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)⏹《信息安全技术服务器技术要求》(GB/T 21028-2007)⏹《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)⏹《信息技术安全技术信息技术安全性评估准则第1部分: 简介和一般模型》GB/T 18336.1-2001⏹《信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求》GB/T 18336.2-2001⏹《信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求》GB/T 18336.3-20012.1等级保护安全评估2.1.1概述安全评估是制订安全策略、安全规范和确定安全需求的基础,可以帮助实现更为精确的等级保护安全建设方案。
在等级保护安全建设方案花费和安全提升带来的资产收益之间取得平衡。
一般来说,安全水平的提升和相应的开销不是线性的关系:在较高的安全水平上面,获得微小的提高可能需要的巨大开销,甚至开销超出了所保护资产的价值。
经过精细的资产评估和风险评估,企业就可以在投资提升安全、承受风险、投资保险转移风险等做出正确的选择。
但是,风险的量化是一件非常复杂的工作,风险的来源、表现形式、造成的后果、出现的概率千差万别,需要非常精细的考虑和数学模型。
一般来说,一个资产(评估对象)可能有多个系统或组件构成,每个系统组件存在各种各样的多个风险,每个风险具有多个不同的属性值(例如威胁的可能性、损失以及弱点等,参见后面的描述),这些属性值可能存在复杂的依赖关系,可能与时间有关,可能与资产的配置环境密切相关(例如安全控制、策略和实际的运行情况等)。
所以,将所有这些因素综合考虑在一起,科学地反映资产当前面临的实际风险是一件非常复杂的工作。
接下来的我们将描述、定义我们的理论和使用的模型。
本方案中将分别从风险过程和关系,描述风险评估的标准规范流程;从安全风险的所有要素:资产、影响、威胁、漏洞、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响;在安全风险计算模型中详细具体地提供了风险计算的方法,通过两个因素:威胁级别、威胁发生的概率,通过风险评估得出安全风险。
同时,按照信息系统安全等级保护标准(《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评指南》),对XX平台信息系统进行系统定级和安全评估,建立符合信息系统安全等级保护标准的安全管理体系,编写符合信息系统安全等级保护标准要求的完整文档体系。
等级保护安全评估主要工作内容包括但不限于下述所列范围。
2.1.2信息系统调查针对XX平台的资产状况、信息系统的业务状况、信息系统的组织状况进行调查,形成相关报告,并依据信息系统所有相关文档和现场调查结果形成资产汇总报告。