第一篇:國家信息安全等級保護制度第三級要求
CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
1.1.1.4 防雷擊(G3)本項要求包括: a)機房建筑應設置避雷裝置;b)應設置防雷保安器,防止感應雷;c)機房應設置交流電源地線。7.1.1.5 防火(G3)本項要求包括: a)機房應設置火災自動消防系統,能夠自動檢測火情、自動報警,并自動滅火;b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料;c)機房應采取區域隔離防火措施,將重要設備與其他設備隔離開。1.1.1.6 防水和防潮(G3)本項要求包括: a)水管安裝,不得穿過機房屋頂和活動地板下;b)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;c)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透;d)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。1.1.1.7 防靜電(G3)本項要求包括: a)主要設備應采用必要的接地防靜電措施;b)機房應采用防靜電地板。1.1.1.8 溫濕度控制(G3)機房應設置溫、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。
1.1.1.9 電力供應(A3)本項要求包括: CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
1.1.2.2 訪問控制(G3)本項要求包括: a)應在網絡邊界部署訪問控制設備,啟用訪問控制功能;b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;c)應對進出網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3 等協議命令級的控制;d)應在會話處于非活躍一定時間或會話結束后終止網絡連接;e)應限制網絡最大流量數及網絡連接數;f)重要網段應采取技術手段防止地址欺騙;g)應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶;h)應限制具有撥號訪問權限的用戶數量。1.1.2.3 安全審計(G3)本項要求包括: a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;b)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;c)應能夠根據記錄數據進行分析,并生成審計報表;d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。1.1.2.4 邊界完整性檢查(S3)本項要求包括: a)應能夠對非授權設備私自聯到內部網絡的行為進行檢查,準確定出位置,并對其進行有效阻斷;b)應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查,準確定出位CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
本項要求包括: a)應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別;b)操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求并定期更換;c)應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;d)當對服務器進行遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;e)應為操作系統和數據庫系統的不同用戶分配不同的用戶名,確保用戶名具有唯一性。
f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。1.1.3.2 訪問控制(S3)本項要求包括: a)應啟用訪問控制功能,依據安全策略控制用戶對資源的訪問;b)應根據管理用戶的角色分配權限,實現管理用戶的權限分離,僅授予管理用戶所需的最小權限;c)應實現操作系統和數據庫系統特權用戶的權限分離;d)應嚴格限制默認帳戶的訪問權限,重命名系統默認帳戶,修改這些帳戶的默認口令;e)應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。f)應對重要信息資源設置敏感標記;g)應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作;7.1.3.3 安全審計(G3)本項要求包括: a)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
a)應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄;b)應根據安全策略設置登錄終端的操作超時鎖定;c)應對重要服務器進行監視,包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況;d)應限制單個用戶對系統資源的最大或最小使用限度;e)應能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。7.1.4 應用安全 7.1.4.1 身份鑒別(S3)本項要求包括: a)應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別;b)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別;c)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,保證應用系統中不存在重復用戶身份標識,身份鑒別信息不易被冒用;d)應提供登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;e)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據安全策略配置相關參數。
7.1.4.2 訪問控制(S3)本項要求包括: a)應提供訪問控制功能,依據安全策略控制用戶對文件、數據庫表等客體的訪問;b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作;c)應由授權主體配置訪問控制策略,并嚴格限制默認帳戶的訪問權限;d)應授予不同帳戶為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系。
e)應具有對重要信息資源設置敏感標記的功能;CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
7.1.4.8 軟件容錯(A3)本項要求包括: a)應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求;b)應提供自動保護功能,當故障發生時自動保護當前所有狀態,保證系統能夠進行恢復。
7.1.4.9 資源控制(A3)本項要求包括: a)當應用系統的通信雙方中的一方在一段時間內未作任何響應,另一方應能夠自動結束會話;b)應能夠對系統的最大并發會話連接數進行限制;c)應能夠對單個帳戶的多重并發會話進行限制;d)應能夠對一個時間段內可能的并發會話連接數進行限制;e)應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額;f)應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警;g)應提供服務優先級設定功能,并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級,根據優先級分配系統資源。
7.1.5 數據安全及備份恢復 7.1.5.1 數據完整性(S3)本項要求包括: a)應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施;b)應能夠檢測到系統管理數據、鑒別信息和重要業務數據在存儲過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施。
7.1.5.2 數據保密性(S3)本項要求包括: CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
c)應組織相關人員對制定的安全管理制度進行論證和審定;d)安全管理制度應通過正式、有效的方式發布;e)安全管理制度應注明發布范圍,并對收發文進行登記。7.2.1.3 評審和修訂(G3)本項要求包括: a)信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定;b)應定期或不定期對安全管理制度進行檢查和審定,對存在不足或需要改進的安全管理制度進行修訂。
7.2.2 安全管理機構 7.2.2.1 崗位設置(G3)本項要求包括: a)應設立信息安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責;b)應設立系統管理員、網絡管理員、安全管理員等崗位,并定義各個工作崗位的職責;c)應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權;d)應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。7.2.2.2 人員配備(G3)本項要求包括: a)應配備一定數量的系統管理員、網絡管理員、安全管理員等;b)應配備專職安全管理員,不可兼任;c)關鍵事務崗位應配備多人共同管理。7.2.2.3 授權和審批(G3)本項要求包括: a)應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等;CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
a)應指定或授權專門的部門或人員負責人員錄用;b)應嚴格規范人員錄用過程,對被錄用人的身份、背景、專業資格和資質等進行審查,對其所具有的技術技能進行考核;c)應簽署保密協議;d)應從內部人員中選拔從事關鍵崗位的人員,并簽署崗位安全協議。7.2.3.2 人員離崗(G3)本項要求包括: a)應嚴格規范人員離崗過程,及時終止離崗員工的所有訪問權限;b)應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備;c)應辦理嚴格的調離手續,關鍵崗位人員離崗須承諾調離后的保密義務后方可離開。
7.2.3.3 人員考核(G3)本項要求包括: a)應定期對各個崗位的人員進行安全技能及安全認知的考核;b)應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核;c)應對考核結果進行記錄并保存。7.2.3.4 安全意識教育和培訓(G3)本項要求包括: a)應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓;b)應對安全責任和懲戒措施進行書面規定并告知相關人員,對違反違背安全策略和規定的人員進行懲戒;c)應對定期安全教育和培訓進行書面規定,針對不同崗位制定不同的培訓計劃,對信息安全基礎知識、崗位操作規程等進行培訓;d)應對安全教育和培訓的情況和結果進行記錄并歸檔保存。7.2.3.5 外部人員訪問管理(G3)本項要求包括: a)應確保在外部人員訪問受控區域前先提出書面申請,批準后由專人全程CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
b)應確保密碼產品采購和使用符合國家密碼主管部門的要求;c)應指定或授權專門的部門負責產品的采購;d)應預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單。
7.2.4.4 自行軟件開發(G3)本項要求包括: a)應確保開發環境與實際運行環境物理分開,開發人員和測試人員分離,測試數據和測試結果受到控制;b)應制定軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則;c)應制定代碼編寫安全規范,要求開發人員參照規范編寫代碼;d)應確保提供軟件設計的相關文檔和使用指南,并由專人負責保管;e)應確保對程序資源庫的修改、更新、發布進行授權和批準。7.2.4.5 外包軟件開發(G3)本項要求包括: a)應根據開發需求檢測軟件質量;b)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼;c)應要求開發單位提供軟件設計的相關文檔和使用指南;d)應要求開發單位提供軟件源代碼,并審查軟件中可能存在的后門。7.2.4.6 工程實施(G3)本項要求包括: a)應指定或授權專門的部門或人員負責工程實施過程的管理;b)應制定詳細的工程實施方案控制實施過程,并要求工程實施單位能正式地執行安全工程過程;c)應制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
7.2.4.7 測試驗收(G3)CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
a)在系統運行過程中,應至少每年對系統進行一次等級測評,發現不符合相應等級保護標準要求的及時整改;b)應在系統發生變更時及時對系統進行等級測評,發現級別發生變化的及時調整級別并進行安全改造,發現不符合相應等級保護標準要求的及時整改;c)應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評;d)應指定或授權專門的部門或人員負責等級測評的管理。7.2.4.11 安全服務商選擇(G3)本項要求包括: a)應確保安全服務商的選擇符合國家的有關規定;b)應與選定的安全服務商簽訂與安全相關的協議,明確約定相關責任;c)應確保選定的安全服務商提供技術培訓和服務承諾,必要的與其簽訂服務合同。
7.2.5 系統運維管理 7.2.5.1 環境管理(G3)本項要求包括: a)應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理;b)應指定部門負責機房安全,并配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理;c)應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理做出規定;d)應加強對辦公環境的保密性管理,規范辦公環境人員行為,包括工作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區接待來訪人員、工作人員離開座位應確保終端計算機退出登錄狀態和桌面上沒有包含敏感信息的紙檔文件等。
7.2.5.2 資產管理(G3)本項要求包括: a)應編制并保存與信息系統相關的資產清單,包括資產責任部門、重要程度和所處位置等內容;CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
d)應對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規范化管理,按操作規程實現主要設備(包括備份和冗余設備)的啟動/停止、加電/斷電等操作;e)應確保信息處理設備必須經過審批才能帶離機房或辦公地點。7.2.5.5 監控管理和安全管理中心(G3)本項要求包括: a)應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警,形成記錄并妥善保存;b)應組織相關人員定期對監測和報警記錄進行分析、評審,發現可疑行為,形成分析報告,并采取必要的應對措施;c)應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。
7.2.5.6 網絡安全管理(G3)本項要求包括: a)應指定專人對網絡進行管理,負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作;b)應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定;c)應根據廠家提供的軟件升級版本對網絡設備進行更新,并在更新前對現有的重要文件進行備份;d)應定期對網絡系統進行漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補;e)應實現設備的最小服務配置,并對配置文件進行定期離線備份;f)應保證所有與外部系統的連接均得到授權和批準;g)應依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入;h)應定期檢查違反規定撥號上網或其他違反網絡安全策略的行為。7.2.5.7 系統安全管理(G3)本項要求包括: CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
案經過評審、審批后方可實施變更,并在實施后將變更情況向相關人員通告;c)應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄;d)應建立中止變更并從失敗變更中恢復的文件化程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。
7.2.5.11 備份與恢復管理(G3)本項要求包括: a)應識別需要定期備份的重要業務信息、系統數據及軟件系統等;b)應建立備份與恢復管理相關的安全管理制度,對備份信息的備份方式、備份頻度、存儲介質和保存期等進行規范;c)應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份策略須指明備份數據的放置場所、文件命名規則、介質替換頻率和將數據離站運輸的方法;d)應建立控制數據備份和恢復過程的程序,對備份過程進行記錄,所有文件和記錄應妥善保存;e)應定期執行恢復程序,檢查和測試備份介質的有效性,確保可以在恢復程序規定的時間內完成備份的恢復。
7.2.5.12 安全事件處置(G3)本項要求包括: a)應報告所發現的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點;b)應制定安全事件報告和處置管理制度,明確安全事件的類型,規定安全事件的現場處理、事件報告和后期恢復的管理職責;c)應根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統產生的影響,對本系統計算機安全事件進行等級劃分;d)應制定安全事件報告和響應處理程序,確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等;e)應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓,制定防止再次發生的補救措施,過程形成的CHISC.NET-國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
所有文件和記錄均應妥善保存;f)對造成系統中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。
7.2.5.13 應急預案管理(G3)本項要求包括: a)應在統一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容;b)應從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障;c)應對系統相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次;d)應定期對應急預案進行演練,根據不同的應急恢復內容,確定演練的周期;e)應規定應急預案需要定期審查和根據實際情況更新的內容,并按照執行。
第二篇:國家信息安全等級保護制度
《信息安全等級保護管理辦法》 四部委下發公通字[2007]43號文 《信息安全等級保護管理辦法》是為規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規而制定的辦法。由四部委下發,公通字200743號文。2 制定目的 規范信息安全等級保護管理。文號
公通字200743號文 第一章 總則 第一條
為規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規,制定本辦法。第二條
國家通過制定統一的信息安全等級保護管理規范和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。第三條
公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。第四條
信息系統主管部門應當依照本辦法及相關標準規范,督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。第五條
信息系統的運營、使用單位應當依照本辦法及其相關標準規范,履行信息安全等級保護的義務和責任。
第二章 等級劃分與保護 第六條
國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。第七條
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造 1
成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。第八條
信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。
第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。第三章等級保護的實施與管理 第九條
信息系統運營、用單位應當按照《信息系統安全等級保護實施指南》 具體實施等級保護工作。第十條
信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批準。跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護 等級專家評審委員會評審。第十一條
信息系統的安全保護等級確定后,運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。第十二條
在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準同步建設符合該等級要求的信息安全設施。第十三條
運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范,制定并落實符合本系統安全保護等級要求的安全管理制度。第十四條
信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。
第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查,第四級信息系統應當每 半年至少進行一次自查,第五級信息系統應當依據特殊安全需求進行自查。經測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。第十五條
已運營(運行)的第二級以上信息系統,應當在安全保護等級確定后30 日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統,應當在投入運行后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。第十六條
辦理信息系統安全保護等級備案手續時,應當填寫《信息系統安全等級保護備案表》,第三級以上信息系統應當同時提供以下材料:
(一)系統拓撲結構及說明;
(二)系統安全組織機構和管理制度;
(三)系統安全保護設施設計實施方案或者改建實施方案;
(四)系統使用的信息安全產品清單及其認證、銷售許可證明;
(五)測評后符合系統安全保護等級的技術檢測評估報告;
(六)信息系統安全保護等級專家評審意見;
(七)主管部門審核批準信息系統安全保護等級的意見。
第十七條
信息系統備案后,公安機關應當對信息系統的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明;發現不符合本辦法及有關標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以 糾正;發現定級不準的,應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統等級后,應當按照本辦法向公安機關重新備案。第十八條
受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次,對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查,應當會同其主管部門進行。對第五級信息系統,應當由國家指定的專門部門進行檢查。公安機關、國家指定的專門部門應當對下列事項進行檢查:
(一)系統安全需求是否發生變化,原定保護等級是否準確;
(二)運營、使用單位安全管理制度、措施的落實情況;
(三)運營、使用單位及其主管部門對信息系統安全狀況的檢查情況;
(四)系統安全等級測評是否符合要求;
(五)信息安全產品使用是否符合要求;
(六)對信息系統開展等級測評的技術測評報告;
(七)信息安全產品使用的變更情況;
(八)信息安全事件應急預案,信息安全事件應急處置結果報告;
(九)信息系統安全建設、整改結果報告。
第二十條
公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規范和技術標準的,應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改通知要求,按照管理規范和技術標準進行整改。整改完成后,應當將整改報告向公安機關備案。必要時,公安機關可以對整改情況組織檢查。
第二十一條
第三級以上信息系統應當選擇使用符合以下條件的信息安全產品:
(一)產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民 共和國境內具有獨立的法人資格;
(二)產品的核心技術、關鍵部件具有我國自主知識產權;
(三)產品研制、生產單位及其主要業務、技術人員無犯罪記錄;
(四)產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構成危害;
(六)對已列入信息安全產品認證目錄的,應當取得國家信息安全產品認證機構頒發的認證證書。第二十二條
第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評:
(一)在中華人民共和國境內注冊成立(港澳臺地區除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外);
(三)從事相關檢測評估工作兩年以上,無違法記錄;
(四)工作人員僅限于中國公民;
(五)法人及主要業務、技術人員無犯罪記錄;
(六)使用的技術裝備、設施應當符合本辦法對信息安全產品的要求;
(七)具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度;
(八)對國家安全、社會秩序、公共利益不構成威脅。第二十三條
從事信息系統安全等級測評的機構,應當履行下列義務:
(一)遵守國家有關法律法規和技術標準,提供安全、客觀、公正的檢測評估服務,保證測評的質量和效果;
(二)保守在測評活動中知悉的國家秘密、商業秘密和個人隱私,防范測評風險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。第四章 涉密信息系統的分級保護管理
第二十四條
涉密信息系統應當依據國家信息安全等級保護的基本要求,按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準,結合系統實際情況進行保護。非涉密信息系統不得處理國家秘密信息。第二十五條
涉密信息系統按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。涉密信息系統建設使用單位應當在信息規范定密的基礎上,依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確 定系統等級。對于包含多個安全域的涉密信息系統,各安全域可以分別確定保護等級。保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。第二十六條
涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況,及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案,并接受保密部門的監督、檢查、指導。
第二十七條
涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準,按照秘密、機密、絕密三級的不同要求,結合系統實際進行方案設計,實施分級保護,其保護水平
總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。第二十八條
涉密信息系統使用的信息安全保密產品原則上應當選用國產品,并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測,通過檢測的產品由國家保密局審核發布目錄。
第二十九條
涉密信息系統建設使用單位在系統工程實施結束后,應當向保密工作部門提出申請,由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》,對涉密信息系統進行安全保密測評。涉密信息系統建設使用單位在系統投入使用前,應當按照《涉及國家秘密的信息系統審批管理規定》,向設區的市級以上保密工作部門申請進行系統審批,涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統,其建設使用單位在按照分級保護要求完成系統整改后,應當向保密工作部門備案。
第三十條
涉密信息系統建設使用單位在申請系統審批或者備案時,應當提交以下材料:
(一)系統設計、實施方案及審查論證意見;
(二)系統承建單位資質證明材料;
(三)系統建設和工程監理情況報告;
(四)系統安全保密檢測評估報告;
(五)系統安全保密組織機構和管理制度情況;
(六)其他有關材料。第三十一條
涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時,其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況,決定是否對其重新進行測評和審批。第三十二條
涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》,加強涉密信息系統運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。第三十三條
國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理,并做好以下工作:
(一)指導、監督和檢查分級保護工作的開展;
(二)指導涉密信息系統建設使用單位規范信息定密,合理確定系統保護等級;
(三)參與涉密信息系統分級保護方案論證,指導建設使用單位做好保密設施的同步規劃設計;
(四)依法對涉密信息系統集成資質單位進行監督管理;
(五)嚴格進行系統測評和審批工作,監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況;
(六)加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評,對絕密級信息系統每年至少進行一次保密檢查或者系統測評;
(七)了解掌握各級各類涉密信息系統的管理使用情況,及時發現和查處各種違規違法行為和泄密事件。第五章
信息安全等級保護的密碼管理 第三十四條
國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。
根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質等,確定密碼的等級保護準則。信息系統運營、使用單位采用密碼進行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。第三十五條
信息系統安全等級保護中密碼的配備、使用和管理等,應當嚴格執行國家密碼管理的有關規定。
第三十六條
信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的,應報經國家密碼管理局審批,密碼的設計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關規定和相關標準執行;采用密碼對不涉及國家秘密的信息和信息系統進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準,其密碼的配備使用情況應當向國家密碼管理機構備案。第三十七條
運用密碼技術對信息系統進行系統等級保護建設和整改的,必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護,不得采用國外引進或者擅自研制的密碼產品;未經批準不得采用含有加密功能的進口信息技術產品。第三十八條
信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔,其他任何部門、單位和個人不得對密碼進行評測和監控。第三十九條
各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中,發現存在安全隱患或者違反密碼管理相關規定或者未達 到密碼相關標準要求的,應當按照國家密碼管理的相關規定進行處置。第六章 法律責任 第四十條
第三級以上信息系統運營、使用單位違反本辦法規定,有下列行為之一的,由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結果:
(一)未按本辦法規定備案、審批的;
(二)未按本辦法規定落實安全管理制度、措施的;
(三)未按本辦法規定開展系統安全狀況檢查的;
(四)未按本辦法規定開展系統安全技術測評的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規定選擇使用信息安全產品和測評機構的;
(七)未按本辦法規定如實提供有關文件和證明材料的;
(八)違反保密管理規定的;
(九)違反密碼管理規定的;
(十)違反本辦法其他規定的。
違反前款規定,造成嚴重損害的,由相關部門依照有關法律、法規予以處理。第四十一條
信息安全監管部門及其工作人員在履行監督管理職責中,玩忽職守、濫用職權、徇私舞弊的,依法給予行政處分;構成犯罪的,依法追究刑事責任。第七章 附則
第四十二條
已運行信息系統的運營、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級;新建信息系統在設計、規劃階段確定安全保護等級。第四十三條本辦法所稱“以上”包含本數(級)。第四十四條本辦法自發布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7 7
號)同時廢止。
第三篇:國家信息安全等級保護制度介紹
CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺 的信息安全等級保護工作。各地級以上市參照成立相應工作機制。重要信息系統運營使用單位成立信息安全等級保護工作組,負責組織本單位的信息系統安全等級保護工作。
四、信息安全等級保護等級劃分和監管方式
(一)信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
(二)信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護,國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。
第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。
第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。
第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。
第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。
第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。
五、信息安全等級保護制度的原則
信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監督。信息安 CHISC.NET國內第一醫療信息化網站 ,為業內人士提供最強大的交流共享平臺
(五)依法履行備案手續。信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門應當在系統投入運行后(新建系統)或確定等級后(已運營的系統)30日內到公安機關辦理備案手續;鼓勵第一級和第五級的信息系統到公安機關辦理備案手續。隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續。跨地區或全省統一聯網運行的信息系統由省級主管部門組織向省公安廳備案。跨地區、跨省或者全省、全國統一聯網運行的信息系統在各地運行、應用的分支系統,向地級以上市公安局備案。涉密信息系統建設使用單位依據《管理辦法》和國家保密局的有關規定,到保密工作部門備案。
(六)加強安全監督檢查。公安機關應當會同有關部門加強對信息系統的監督檢查,對未依法履行定級、備案手續的單位,督促其限期改正。發現定級不準的,應當通知運營使用單位或其主管部門重新審核確定。對安全措施不符合要求的,要指導其落實整改措施。各級保密工作部門加強對涉密信息系統安全等級保護工作的指導、監督和檢查。國家密碼管理部門加強對信息安全等級保護密碼管理。
(七)建設技術支撐體系。省公安廳會同有關部門根據《管理辦法》建立健全管理制度,向社會推薦一批符合要求的安全專用產品、安全測評機構。組織開展繼續教育工作,加強對安全專業技術人員的培訓,提高信息系統運營使用單位和主管部門以及安全專用產品研發機構、安全服務機構安全專業技術人員的技術和法律知識水平。
(八)健全長效工作機制。在信息安全等級保護職能部門、信息系統主管部門、運營使用單位間建立暢通的聯絡機制。落實信息系統主管部門對運營使用單位的監督指導責任,建立職能部門、主管部門對信息系統的定期監督檢查機制。爭取省人大和省政府法制辦公室支持,制訂《廣東省計算機信息系統安全保護條例》及實施細則,使信息安全等級保護工作獲得地方立法的支撐。
第四篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統要求,藍色字體為第三級系統等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(三級明確要求);電子門禁系統有驗收文檔或產品安全認證資質,電子門禁系統運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質有分類標識;介質分類存放在介質庫或檔案室內,磁介質、紙介質等分類存放
6、應具有攝像、傳感等監控報警系統;機房防盜報警設施的安全資質材料、安裝測試和驗收報告;機房防盜報警系統的運行記錄、定期檢查和維護記錄;
7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告;機房監控報警系統的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質的防雷保安器;具有防雷檢測資質的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統;自動消防系統的運行記錄、檢查和定期維護記錄;消防產品有效期合格;自動消防系統是經消防檢測部門檢測合格的產品
11、應具有除濕裝置;空調機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調節設施;溫濕度自動調節設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(如備用發電機);備用供電系統運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規程,如系統維護手冊和用戶操作規程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發布制度具有統一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發登記記錄,收發應通過正式、有效的方式(如正式發文、領導簽署和單位蓋章等)----安全管理制度應注明發布范圍,并對收發文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位(分工明確,各司其職),數量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統活動進行審批(如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯單位聯系列表)
12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統進行安全檢查(查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格,安全檢查報告,檢查結果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業資格和資質進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協議(協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內部人員中選拔,是否要求其簽署崗位安全協議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調離手續,是否要求關鍵崗位調離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調離手續的記錄,調離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監督等)
13、應具有外部人員訪問重要區域的書面申請
14、應具有外部人員訪問重要區域的登記記錄(記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等)
五、系統建設管理
1、應明確信息系統的邊界和安全保護等級(具有定級文檔,明確信息系統安全保護等級)
2、應具有系統建設/整改方案
3、應授權專門的部門對信息系統的安全建設進行總體規劃,由何部門/何人負責
4、應具有系統的安全建設工作計劃(系統安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規定進行采購和使用系統信息安全產品
9、安全產品的相關憑證,如銷售許可等,應使用符合國家有關規定產品
10、應具有專門的部門負責產品的采購
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統運維管理
1、應指定專人或部門對機房的基本設施(如空調、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調、溫濕度控制等機房設施定期維護保養的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產清單(覆蓋資產責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產管理的責任部門或人員
7、應依據資產的重要程度對資產進行標識
8、介質存放于何種環境中,應對存放環境實施專人管理(介質存放在安全的環境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質使用管理記錄,應記錄介質歸檔和使用等情況(介質存放、使用管理記錄)
10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制
11、應對介質的使用情況進行登記管理,并定期盤點(介質歸檔和查詢的記錄、存檔介質定期盤點的記錄)
12、對送出維修或銷毀的介質如何管理,銷毀前應對數據進行凈化處理。(對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質實行異地存儲,異地存儲環境是否與本地環境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或專門部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經過審批流程,由何人審批(審批記錄)
18、應監控主機、網絡設備和應用系統的運行狀況等
19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警
20、應具有日常運維的監控日志記錄和運維交接日志記錄
21、應定期對監控記錄進行分析、評審
22、應具有異常現象的現場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網絡安全管理工作
25、應對網絡設備進行過升級,更新前應對現有的重要文件是否進行備份(網絡設備運維維護工作記錄)
26、應對網絡進行過漏洞掃描,并對發現的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網絡設備配置數據的離線備份)
28、系統網絡的外聯種類(互聯網、合作伙伴企業網、上級部門網絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規聯網的行為。
29、對便攜式和移動式設備的網絡接入應進行限制管理
30、應具有內部網絡外聯的授權批準書,應具有網絡違規行為(如撥號上網等)的檢查手段和工具。
31、在安裝系統補丁程序前應經過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統補丁安裝操作記錄
33、應對系統管理員用戶進行分類(比如:劃分不同的管理角色,系統管理權限與安全審計權限分離等)
34、審計員應定期對系統審計日志進行分析(有定期對系統運行日志和審計數據的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統的變更申請書,應具有主管領導的批準
42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統(備份文件記錄)
43、應定期執行恢復程序,檢查和測試備份介質的有效性
44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執行所需資金應做過預算并能夠落實。
48、應對系統相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
第五篇:信息安全等級保護的各個環節以及相關要求
一、信息安全等級保護的各個環節
一、基本環節
(一)組織開展調查摸底
(二)合理確定保護等級
(三)開展安全建設整改
(四)組織系統安全測評
(五)依法履行備案手續
(六)加強日常測評自查
(七)加強安全監督檢查
二、主要環節
定級-安全建設-安全測評-備案
二、定級
一、等級劃分
計算機信息系統安全保護等級根據計算機信息系統在國家安全、經濟建設、社會生活中的重要程度,計算機信息系統受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定,分為五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
二、定級程序
信息系統運營、使用單位應當依據《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批準。
跨省或者全國統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。
對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
三、定級注意事項
一級信息系統:適用于鄉鎮所屬信息系統、縣級某些單位中不重要的信息系統。小型個體、私營企業中的信息系統。中小學中的信息系統。
二級信息系統:適用于地市級以上國家機關、企業、事業單位內部一般的信息系統。例如小的局域網,非涉及秘密、敏感信息的辦公系統等。
三級信息系統:適用于地市級以上國家機關、企業、事業單位內部重要的信息系統;重要領域、重要部門跨省、跨市或全國(省)聯網運行的信息系統;跨省或全國聯網運行重要信息系統在省、地市的分支系統;各部委官方網站;跨省(市)聯接的信息網絡等。四級信息系統:適用于重要領域、重要部門三級信息系統中的部分重要系統。例如全國鐵路、民航、電力等調度系統,銀行、證券、保險、稅務、海關等部門中的核心系統。
三、備案
一、總體要求
新建第二級以上信息系統,應當在投入運行后30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。
二、備案管轄
(一)管轄原則。
備案管轄分工采取級別管轄和屬地管轄相結合。
(二)中央在京單位。
隸屬于中央的在京單位,其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統,由公安部公共信息網絡安全監察局受理備案,其他信息系統由北京市公安局公共信息網絡安全監察部門(簡稱網監部門,下同)受理備案。
(三)中央駐粵及省直國有單位。
隸屬中央或省的駐穗國有單位的信息系統,由省公安廳網警總隊受理備案。上述單位在各地運行、維護的分支系統由其在各地的分支機構報所在地地級以上市公安機關網監部門備案。
(四)其他單位。
其他單位的信息系統由所在地地級以上市公安機關網監部門備案。
三、備案流程
(一)備案時限。
信息系統運營、使用單位或者其主管部門(以下簡稱“備案單位”)應當在信息系統設計階段確定信息系統安全保護等級,并在安全保護等級確定后30日內,到公安機關網監部門辦理備案手續。
(二)備案申請。
辦理備案手續,應當到公安機關指定網址下載信息安全等級保護備案軟件,利用該軟件填寫生成《信息系統安全等級保護備案表》(簡稱《備案表》,下同)表
一、表
二、表三紙質WORD格式文檔一式兩份和電子數據(RAR格式),并準備好相關附件(一式兩份),向公安機關網監部門提出備案申請。第三級以上信息系統應當同時提供以下材料:
1.系統拓撲結構及說明; 2.系統安全組織機構和管理制度;
3.系統安全保護設施設計實施方案或者改建實施方案; 4.系統使用的信息安全產品清單及其認證、銷售許可證明; 5.測評后符合系統安全保護等級的技術檢測評估報告; 6.信息系統安全保護等級專家評審意見;
7.主管部門審核批準信息系統安全保護等級的意見。
四、備案審核
公安機關網監部門收到申請材料后,應當在10個工作日內進行審查。對符合要求的,公安機關網監部門應當在《備案表》加蓋公共信息網絡安全監察專用章并將其中一份反饋備案單位,并出具《信息系統安全等級保護備案證明》(以下簡稱《備案證明》)。《備案證明》由公安部統一監制。對不符合要求的,公安網監部門應當出具《信息系統安全等級保護備案審核結果通知》,通知備案單位進行整改。其中,對定級不準的備案單位,在通知整改的同時,應當建議備案單位重新定級。
五、變更備案
《備案表》所載事項發生變更,備案單位應當自變更之日起30日內重新填寫《備案表》報公安機關網監部門備案。其中,變更事項涉及《備案證明》的,公機關網監部門應當重新頒布《備案證明》。
六、重新備案
運營、使用單位或者主管部門重新確定信息系統等級后,應當按照本辦法向公安機關重新備案。
四、安全建設和整改
計算機信息系統規劃、設計、建設和維護應當同步落實相應的安全措施。運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準,使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品,開展信息系統安全建設或者改建工作。
在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)、《信息安全技術 網絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術 操作系統安全技術要求》(GB/T20272-2006)、《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)、《信息安全技術 服務器技術要求》、《信息安全技術 終端計算機系統安全等級技術要求》(GA/T671-2006)等技術標準同步建設符合該等級要求的信息安全設施。
運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范,制定并落實符合本系統安全保護等級要求的安全管理制度。
五、信息安全等級測評
信息系統建設完成后,二級以上的信息系統的運營使用單位應當選擇符合國家規定的測評機構進行測評合格方可投入使用。已投入運行信息系統在完成系統整改后也應當進行測評。經測評,信息系統安全狀況未達到安全保護等級要求的,運營使用單位應當制定方案進行整改。
一、測評程序
計算機信息系統運營、使用單位委托安全測評機構測評,應當提交下列資料:
(一)安全測評委托書;
(二)計算機信息系統應用需求、系統結構拓撲及說明、系統安全組織結構和管理制度、安全保護設施設計實施方案或者改建實施方案、系統軟件硬件和信息安全產品清單。安全測評機構在收到委托材料后,應當與委托方協商制訂安全測評計劃,開展安全測評工作,并出具安全測評報告。
經測評,計算機信息系統安全狀況未達到國家有關規定和標準的要求的,委托單位應當根據測評報告的建議,完善計算機信息系統安全建設,并重新提出安全測評委托。
二、測評監督
測評機構對計算機信息系統進行使用前安全測評,應當預先報告地級以上市公安機關公共信息網絡安全監察部門。安全測評報告由計算機信息系統運營、使用單位報地級以上市公安機關公共信息網絡安全監察部門。
三、日常測評
計算機信息系統投入使用后,存在下列情形之一的,應當進行安全自查,同時委托安全測評機構進行安全測評:
(一)變更關鍵部件;
(二)安全測評時間滿一年;
(三)發生危害計算機信系統安全的案件或安全事故;
(四)公安機關公共信息網絡安全監察部門根據應急處置工作的需要認為應當進行安全測評;
(五)其他應當進行安全自查和安全測評的情形。
第三級計算機信息系統應當每年至少進行一次安全自查和安全測評,第四級計算機信息系統應當每半年至少進行一次安全自查和安全測評,第五級計算機信息系統應當依據特殊安全要求進行安全自查和安全測評。自查報告連同測評報告應當由計算機信息系統運營、使用單位報地級以上市公安機關公共信息網絡安全監察部門。
四、測評爭議解決
申請單位認為安全測評報告的合法性和真實性存在重大問題的,可以向本單位所在地公安機關公共信息網絡安全監察部門提出申訴,提交異議申訴書及有關證明材料。公安機關公共信息網絡安全監察部門應當在收到申訴材料后30個工作日內進行核查,作出異議處理決定。
點擊咨詢 