第一篇:信息系統等級保護建設思路(xiexiebang推薦)
信息系統等級保護建設思路
實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展。
《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號),明確指出將等級保護制度作為我國信息安全領域的一項基本制度。2010年發布的《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010] 303號)明確指出,“2011年底前完成第三級(含)以上信息系統的測評工作,2012年底之前完成第三級(含)以上信息系統的安全建設整改工作。”在制度保證的前提下,各企業和組織要明確信息系統等級保護建設思路,才能事半功倍,確實提升信息系統安全保障能力。
一、信息安全等級保護的情況介紹
實施信息安全等級保護,能夠有效地提高我國信息和信息系統安全建設的整體水平,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產業的發展。
國內信息安全等級保護工作的開展是一個隨著計算機技術的發展和業務對計算機系統依賴性逐漸增加,不斷發展和完善起來的。《國家信息化領導小組關于加強信息安全保障工作的意見》正式出臺,明確提出非涉密信息系統遵循等級保護思想進行信息安全建設。公安部網絡安全保衛局在全國開展等級保護工作試點,先后發布了信息系統定級、備案、整改建設、等級測評等各重要環節的有關文件,指導等級保護工作開展。其中2009年的公信安1429號文《關于開展信息安全等級保護安全建設整改工作的指導意見》明確提出2012年年底前完成已定級信息系統的整改工作。
等級保護的技術體系也基本成型,目前涉及到等級保護建設的技術標準和規范大約有30多個,主要包括了技術、管理、產品、建設流程等各方面的內容,如:定級指南、備案細則、實施指南、安全設計、基本要求、測評過程要求、測評指南,使得等級保護工作在各個環節都有具體的技術標準可以參考。
二、工作思路與建設原則
對于具有分支機構的大型企業組織來說,信息安全工作已經有等級保護的制度和技術體系做依托,更多的是在實踐中摸索出適合本企業組織信息系統安全建設的工作思路與建設原則。
統一規劃、統一標準、統籌協調
統一規劃:統一制訂規劃建設推進方案、等級保護工程建設方法,各信息系統均需要參照規劃方案實施,不能自行規劃。
統一標準:統一組織制訂等級保護建設的流程、步驟、技術和管理規范,確保上下銜接、互聯互通。
統籌協調:統籌全局,協調各分支機構或各業務系統之間的資源共享、業務協同,聯合推進等級保護建設。
分級建設、分步實施、分類指導
分級建設;統一組織等級保護項目建設;各分支機構在總體方案的指導下,負責信息系統在本區域范圍內的建設和安全運營維護。
分步實施根據目前等級保護項目建設基礎條件和特點,采用分批分期建設方式開展項目建設。
分類指導:對干不同的信息系統,采用不同的組織管理模式、工作機制和推進方式。
加強管理
加強管理:落實等級保護項目建設組織機構、責任部門,科學調度,加強項目過程管理,確保項目取得成功。
建設原則
法規遵循:應嚴格執行國家法律法規、相關主管部門的要求。
科學管理:嚴謹、先進的技術項目實施與科學、規范的項目實施管理手段相結合,以提高整體項目實施的效率,保證項目質量,縮短項目工期,降低項目成本。
平穩過渡項目包含子系統較多,且項目需要進行網絡改造,在項目實施時,采用分項,循序漸進的方式,保證系統改造不影響日常辦公的使用,平穩過渡。
適當先進:綜合考慮本單位實際情況,在結合實際的基礎上,確保建成的信息系統能夠符合當前網絡技術、信息技術發展的趨勢,具有一定的先進性,在未來5年內能滿足科研生產任務和國家法律法規相關要求的實際需要。
便于維護:系統應具有良好的可擴展性和可維護性,部署便利、使用簡便、維護集中,并可以實現服務和應用的靈活擴展。
重視培訓:系統是按計劃分步實施的,培訓也將隨著項目的各個階段分期進行,并根據培訓的效果做出相應的調整,以達到更好的培訓的效果。
三、信息安全保障體系總體框架
信息安全保障體系總體框架
在進行信息安全等級保護安全建設工作中,嚴格遵循國家等級保護有關規定和標準規范要求,堅持管理和技術并重的原則,將技術措施和管理措施有機結合,建立信息系統綜合防護體系,提高信息系統整體安全保護能力。非涉密信息系統總體安全框架如圖1所示。
點擊圖片查看大圖
圖1 信息安全保障體系總體框架
總體安全框架是將等級保護基本要求、技術設計要求與安全防護需求充分融合,采用“一個中心、兩大體系、三重防護”為企業組織提供體系化的防護能力,確保系統安全運行。
四、信息安全管理體系的建設
信息安全管理制度是信息安全領域各種規則的制度化的體現,在信息化相關活動中起著統一目標、規范流程、保障信息安全實施效果的重要作用。通過對信息安全制度規范的決策,首先從高層確保企業組織的信息安全工作“有法可依”,推動信息安全制度建設工作,營造一個積極的信息安全控制環境。
信息安全管理體系的建設,我們要考慮以下幾個方面:
一、安全管理制度框架、安全管理制度、規范、流程及表單;
二、信息安全管理機構、崗位;
三、人員安全管理;
四、系統建設管理;
五、系統運維管理。
六、合規性的電子化管理。
企業組織的等級保護工作也需要信息化的手段來進行約束。信息系統合規性監管系統就是將等級保護相關基本要求以及風險管理與控制體系建設方法及過程,按照以重要信息系統為基礎、以等級保護建設工作流為核心、以等級保護基本要求進行建模、加以等級保護控制措施進行分析,通過風險評估看清風險,通過體系建設制定任務,通過體系保障完整建設。從而規范等級保護建設管理與控制體系的建設過程,提升組織信息安全風險管理與控制體系的完備性及有效性。
五、信息安全技術體系的建設
信息安全技術體系規劃設計流程
信息安全技術體系規劃設計流程包括五個階段:系統調研階段、安全域規劃、系統定級、技術體系設計、技術手段落實。對應的輸出是:業務系統調研文檔、安全域規劃方案、業務系統定級方案、業務系統安全防護方案、初步設計文檔技術體系部分。
信息安全技術體系設計原則
設計信息系統技術安全解決方案時,應遵循以下原則:
風險(需求)、成本〔投入)及效果(收益)相平衡的原則
對任何一個信息系統來說,絕對安全是難以達到的。信息安全技術體系建設的最高原則是風險、成本及效果三原則相結合的結果。
綜合性、整體性、一致性原則
一個組織的http://www.tmdps.cn網絡骨干區域、網絡接人區域。我們可以把它看成公共的基礎性區域,是企業各個應用系統出口的高速公路,是企業連續性要求的重要依托。我們強調的是結構化的安全、安全審計與網絡設備自身的防護。
終端接入安全防護設計
隨著企業和組織的業務發展,組網技術的發展,終端的定義越來越寬泛,接人的形式也越來越多樣化。信息安全問題直接延伸到企業人員使用的端點設備上。我們應重點強調身份鑒別、惡意代碼防范和用戶行為控制,同時也要意識到易用性與安全的平衡。
六、信息安全運維體系的建設
企業和組織的信息化過程已經從大規模建設階段逐步轉型為“建設和運維”并舉的階段。我們可以看到大多數的信息安全運維體系的服務水平處在一個被動的階段。主要表現在信息技術和設備的應用越來越多,但運維人員在信息系統出現安全事件的時候卻茫然不知所措。因此,行之有效的信息安全運維體系,是信息安全管理體系與信息安全技術體系落地的根本之道。
運維服務的發展趨勢與階段劃分
安全運維服務通常可以分為五個階段:混亂、被動、主動、服務和價值階段。”NSM一ITSM-}BSM”將是IT管理逐步提升的經典路線模型,反映了IT的運營作為一個新興的企業活動逐步成熟,持續提升。NSM(針對IT技術設施的網絡系統管理)、ITSM(針對流程、人員管理的IT服務管理),BSM(業務服務管理)這些目前己經被廣泛應用的理念,在IT管理的發展過程中,發揮了巨大的作用。
安全運維體系的構建
目前條件下的安全運維體系可以分三個階段構建:
第一階段從“被動響應”到“主動管理”,是采用NSM實現管理提升的階段。通過實現對技術元素的數據收集和分析,獲得從整個IT信息環境到每個計算實體元素的運行狀態信息,因此也能夠在故障發生時或者發生之前采取主動的管理操作,實現對工T技術設施的有效掌控和管理,有效提高IT環境的運行質量。建立安全運維監控中心實現第一階段目標
第二階段:從“主動管理”到“服務導向”,采用ITSM實現管理提升。在實現了對所有IT技術元素的全面監控以后,IT技術設施的運行質量有了明顯改善,但仍未從根本上解決“意外問題”的發生。全球范圍內的調查表明,IT問題的出現,除了和設備元素本身的可靠性、性能等密切相關以外,更多的問題(超過80%)是由于IT運維人員沒有按照規范的操作流程來進行日常的維護管理,缺乏有效的協同機制等造成的。也就是說,管理的缺位,而不是技術設施本身的問題阻礙了企業IT部門工作效率的提高。借鑒并融合ITIL(信息系統基礎設施庫)/ITSM(IT服務管理)建立安全運維事件響應中心,借助圖形化、可配置的工作流程管理系統,將運維管理工作以任務和工作單傳遞的方式,通過科學的、符合用戶運維管理規范的工作流程進行處置,處理過程電子化流轉、減少人工錯誤,實現對事件、問題處理過程中的各個環節的追蹤、監督和審計。
第三階段:從“服務管理”到“業務價值”,采用BSM實現管理提升。在信息時代,企業的發展和IT環境的成熟是一個互相驅動、交替上升的過程。商業社會中,企業作為一個經濟運行實體,其所有的活動和投人都是圍繞利益產出的目標進行的。在當前激烈的商業競爭環境中,企業正不斷地進行變革,以適應市場和用戶的需求。作為業務重要支撐元素的IT正面臨著越來越大的挑戰。如何充分利用已有的IT資源并持續優化資源配置,如何實現IT和業務目標相統一、持續推動業務發展、創造商業價值,己經成為眾多企業信息部門主管、CIO、甚至更高層管理人員的重要難題。建立以信息資產管理為核心的安全運維審核評估中心是這一階段的工作目標。能夠實現信息系統運行質量、服務水平、運維管理工作績效的綜合評估、考核、審計:能夠實現關鍵業務的配置管理、關鍵業務與基礎設施的關聯、關鍵業務的綜合運行態勢的把握。
七、結束語
在信息安全保障體系總體框架的指導下,注重信息安全管理體系、技術體系和運維體系的建設。充分意識到等級保護建設整改過程中的政策和技術發展的風險,注重安全技術手段的適用性,就可以有效地解決企業和組織面臨的安全問題,按照“明確重點、突出重點、保護重點”的原則,將有限的財力、物力、人力投人到重要信息系統的安全保護中,逐步推進企業信息系統安全保障水平。
第二篇:計算機信息系統等級保護二級基本要求
第二級基本要求 1.1 技術要求 1.1.1 物理安全
1.1.1.1 物理位置的選擇(G2)
機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內。1.1.1.2 物理訪問控制(G2)
本項要求包括:
a)機房出入口應安排專人值守,控制、鑒別和記錄進入的人員;
b)需進入機房的來訪人員應經過申請和審批流程,并限制和監控其活動范圍。1.1.1.3 防盜竊和防破壞(G2)
本項要求包括:
a)應將主要設備放置在機房內;
b)應將設備或主要部件進行固定,并設置明顯的不易除去的標記; c)應將通信線纜鋪設在隱蔽處,可鋪設在地下或管道中; d)應對介質分類標識,存儲在介質庫或檔案室中; e)主機房應安裝必要的防盜報警設施。1.1.1.4 防雷擊(G2)
本項要求包括:
a)機房建筑應設置避雷裝置; b)機房應設置交流電源地線。1.1.1.5 防火(G2)
機房應設置滅火設備和火災自動報警系統。1.1.1.6 防水和防潮(G2)
本項要求包括:
a)水管安裝,不得穿過機房屋頂和活動地板下; b)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透; c)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。1.1.1.7 防靜電(G2)
關鍵設備應采用必要的接地防靜電措施。1.1.1.8 溫濕度控制(G2)
機房應設置溫、濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。
1.1.1.9 電力供應(A2)
本項要求包括:
a)應在機房供電線路上配置穩壓器和過電壓防護設備;
b)應提供短期的備用電力供應,至少滿足關鍵設備在斷電情況下的正常運行要求。1.1.1.10 電磁防護(S2)電源線和通信線纜應隔離鋪設,避免互相干擾。1.1.2 網絡安全
1.1.2.1 結構安全(G2)
本項要求包括:
a)應保證關鍵網絡設備的業務處理能力具備冗余空間,滿足業務高峰期需要; b)應保證接入網絡和核心網絡的帶寬滿足業務高峰期需要; c)應繪制與當前運行情況相符的網絡拓撲結構圖;
d)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網或網段,并按照方便管理和控制的原則為各子網、網段分配地址段。
1.1.2.2 訪問控制(G2)
本項要求包括:
a)應在網絡邊界部署訪問控制設備,啟用訪問控制功能;
b)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為網段級。
c)應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度為單個用戶;
d)應限制具有撥號訪問權限的用戶數量。1.1.2.3 安全審計(G2)
本項要求包括:
a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄; b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
1.1.2.4 邊界完整性檢查(S2)
應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。1.1.2.5 入侵防范(G2)
應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。1.1.2.6 網絡設備防護(G2)
本項要求包括:
a)應對登錄網絡設備的用戶進行身份鑒別; b)應對網絡設備的管理員登錄地址進行限制; c)網絡設備用戶的標識應唯一;
d)身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換; e)應具有登錄失敗處理功能,可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施;
f)當對網絡設備進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。
1.1.3 主機安全 1.1.3.1 身份鑒別(S2)
本項要求包括:
a)應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別;
b)操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求并定期更換;
c)應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;
d)當對服務器進行遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;
e)應為操作系統和數據庫系統的不同用戶分配不同的用戶名,確保用戶名具有唯一性。
1.1.3.2 訪問控制(S2)
本項要求包括:
a)應啟用訪問控制功能,依據安全策略控制用戶對資源的訪問; b)應實現操作系統和數據庫系統特權用戶的權限分離;
c)應限制默認帳戶的訪問權限,重命名系統默認帳戶,修改這些帳戶的默認口令; d)應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。1.1.3.3 安全審計(G2)
本項要求包括:
a)審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;
b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;
c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等; d)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。1.1.3.4 入侵防范(G2)
操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序,并通過設置升級服務器等方式保持系統補丁及時得到更新。1.1.3.5 惡意代碼防范(G2)
本項要求包括:
a)應安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫; b)應支持防惡意代碼軟件的統一管理。1.1.3.6 資源控制(A2)
本項要求包括:
a)應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄; b)應根據安全策略設置登錄終端的操作超時鎖定; c)應限制單個用戶對系統資源的最大或最小使用限度。1.1.4 應用安全
1.1.4.1 身份鑒別(S2)本項要求包括:
a)應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別;
b)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,保證應用系統中不存在重復用戶身份標識,身份鑒別信息不易被冒用;
c)應提供登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施; d)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,并根據安全策略配置相關參數。
1.1.4.2 訪問控制(S2)
本項要求包括:
a)應提供訪問控制功能,依據安全策略控制用戶對文件、數據庫表等客體的訪問; b)訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作; c)應由授權主體配置訪問控制策略,并嚴格限制默認帳戶的訪問權限;
d)應授予不同帳戶為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系。
1.1.4.3 安全審計(G2)
本項要求包括:
a)應提供覆蓋到每個用戶的安全審計功能,對應用系統重要安全事件進行審計; b)應保證無法刪除、修改或覆蓋審計記錄;
c)審計記錄的內容至少應包括事件日期、時間、發起者信息、類型、描述和結果等。1.1.4.4 通信完整性(S2)
應采用校驗碼技術保證通信過程中數據的完整性。1.1.4.5 通信保密性(S2)
本項要求包括:
a)在通信雙方建立連接之前,應用系統應利用密碼技術進行會話初始化驗證; b)應對通信過程中的敏感信息字段進行加密。1.1.4.6 軟件容錯(A2)
本項要求包括:
a)應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求;
b)在故障發生時,應用系統應能夠繼續提供一部分功能,確保能夠實施必要的措施。1.1.4.7 資源控制(A2)
本項要求包括:
a)當應用系統的通信雙方中的一方在一段時間內未作任何響應,另一方應能夠自動結束會話;
b)應能夠對應用系統的最大并發會話連接數進行限制; c)應能夠對單個帳戶的多重并發會話進行限制。1.1.5 數據安全及備份恢復 1.1.5.1 數據完整性(S2)應能夠檢測到鑒別信息和重要業務數據在傳輸過程中完整性受到破壞。1.1.5.2 數據保密性(S2)
應采用加密或其他保護措施實現鑒別信息的存儲保密性。1.1.5.3 備份和恢復(A2)
本項要求包括:
a)應能夠對重要信息進行備份和恢復;
b)應提供關鍵網絡設備、通信線路和數據處理系統的硬件冗余,保證系統的可用性。1.2 管理要求 1.2.1 安全管理制度 1.2.1.1 管理制度(G2)
本項要求包括:
a)應制定信息安全工作的總體方針和安全策略,說明機構安全工作的總體目標、范圍、原則和安全框架等;
b)應對安全管理活動中重要的管理內容建立安全管理制度;
c)應對安全管理人員或操作人員執行的重要管理操作建立操作規程。1.2.1.2 制定和發布(G2)
本項要求包括:
a)應指定或授權專門的部門或人員負責安全管理制度的制定; b)應組織相關人員對制定的安全管理制度進行論證和審定; c)應將安全管理制度以某種方式發布到相關人員手中。1.2.1.3 評審和修訂(G2)
應定期對安全管理制度進行評審,對存在不足或需要改進的安全管理制度進行修訂。1.2.2 安全管理機構 1.2.2.1 崗位設置(G2)
本項要求包括:
a)應設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責; b)應設立系統管理員、網絡管理員、安全管理員等崗位,并定義各個工作崗位的職責。1.2.2.2 人員配備(G2)
本項要求包括:
a)應配備一定數量的系統管理員、網絡管理員、安全管理員等; b)安全管理員不能兼任網絡管理員、系統管理員、數據庫管理員等。1.2.2.3 授權和審批(G2)
本項要求包括:
a)應根據各個部門和崗位的職責明確授權審批部門及批準人,對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批; b)應針對關鍵活動建立審批流程,并由批準人簽字確認。1.2.2.4 溝通和合作(G2)
本項要求包括: a)應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通;
b)應加強與兄弟單位、公安機關、電信公司的合作與溝通。1.2.2.5 審核和檢查(G2)
安全管理員應負責定期進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況。1.2.3 人員安全管理 1.2.3.1 人員錄用(G2)
本項要求包括:
a)應指定或授權專門的部門或人員負責人員錄用;
b)應規范人員錄用過程,對被錄用人員的身份、背景和專業資格等進行審查,對其所具有的技術技能進行考核;
c)應與從事關鍵崗位的人員簽署保密協議。1.2.3.2 人員離崗(G2)
本項要求包括:
a)應規范人員離崗過程,及時終止離崗員工的所有訪問權限; b)應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備; c)應辦理嚴格的調離手續。1.2.3.3 人員考核(G2)
應定期對各個崗位的人員進行安全技能及安全認知的考核。1.2.3.4 安全意識教育和培訓(G2)
本項要求包括:
a)應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓; b)應告知人員相關的安全責任和懲戒措施,并對違反違背安全策略和規定的人員進行懲戒;
c)應制定安全教育和培訓計劃,對信息安全基礎知識、崗位操作規程等進行培訓。1.2.3.5 外部人員訪問管理(G2)
應確保在外部人員訪問受控區域前得到授權或審批,批準后由專人全程陪同或監督,并登記備案。1.2.4 系統建設管理 1.2.4.1 系統定級(G2)
本項要求包括:
a)應明確信息系統的邊界和安全保護等級;
b)應以書面的形式說明信息系統確定為某個安全保護等級的方法和理由; c)應確保信息系統的定級結果經過相關部門的批準。1.2.4.2 安全方案設計(G2)
本項要求包括: a)應根據系統的安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施;
b)應以書面形式描述對系統的安全保護要求、策略和措施等內容,形成系統的安全方案;
c)應對安全方案進行細化,形成能指導安全系統建設、安全產品采購和使用的詳細設計方案;
d)應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施。
1.2.4.3 產品采購和使用(G2)
本項要求包括:
a)應確保安全產品采購和使用符合國家的有關規定;
b)應確保密碼產品采購和使用符合國家密碼主管部門的要求; c)應指定或授權專門的部門負責產品的采購。1.2.4.4 自行軟件開發(G2)
本項要求包括:
a)應確保開發環境與實際運行環境物理分開;
b)應制定軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則; c)應確保提供軟件設計的相關文檔和使用指南,并由專人負責保管。1.2.4.5 外包軟件開發(G2)
本項要求包括:
a)應根據開發要求檢測軟件質量;
b)應確保提供軟件設計的相關文檔和使用指南; c)應在軟件安裝之前檢測軟件包中可能存在的惡意代碼;
d)應要求開發單位提供軟件源代碼,并審查軟件中可能存在的后門。1.2.4.6 工程實施(G2)
本項要求包括:
a)應指定或授權專門的部門或人員負責工程實施過程的管理; b)應制定詳細的工程實施方案,控制工程實施過程。1.2.4.7 測試驗收(G2)
本項要求包括:
a)應對系統進行安全性測試驗收;
b)在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案,在測試驗收過程中應詳細記錄測試驗收結果,并形成測試驗收報告;
c)應組織相關部門和相關人員對系統測試驗收報告進行審定,并簽字確認。1.2.4.8 系統交付(G2)
本項要求包括:
a)應制定系統交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點; b)應對負責系統運行維護的技術人員進行相應的技能培訓; c)應確保提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔。1.2.4.9 安全服務商選擇(G2)
本項要求包括:
a)應確保安全服務商的選擇符合國家的有關規定;
b)應與選定的安全服務商簽訂與安全相關的協議,明確約定相關責任;
c)應確保選定的安全服務商提供技術支持和服務承諾,必要的與其簽訂服務合同。1.2.5 系統運維管理 1.2.5.1 環境管理(G2)
本項要求包括:
a)應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理;
b)應配備機房安全管理人員,對機房的出入、服務器的開機或關機等工作進行管理; c)應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理作出規定;
d)應加強對辦公環境的保密性管理,包括工作人員調離辦公室應立即交還該辦公室鑰匙和不在辦公區接待來訪人員等。
1.2.5.2 資產管理(G2)
本項要求包括:
a)應編制與信息系統相關的資產清單,包括資產責任部門、重要程度和所處位置等內容;
b)應建立資產安全管理制度,規定信息系統資產管理的責任人員或責任部門,并規范資產管理和使用的行為。
1.2.5.3 介質管理(G2)
本項要求包括:
a)應確保介質存放在安全的環境中,對各類介質進行控制和保護,并實行存儲環境專人管理;
b)應對介質歸檔和查詢等過程進行記錄,并根據存檔介質的目錄清單定期盤點; c)應對需要送出維修或銷毀的介質,首先清除其中的敏感數據,防止信息的非法泄漏;
d)應根據所承載數據和軟件的重要程度對介質進行分類和標識管理。1.2.5.4 設備管理(G2)
本項要求包括:
a)應對信息系統相關的各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理;
b)應建立基于申報、審批和專人負責的設備安全管理制度,對信息系統的各種軟硬件設備的選型、采購、發放和領用等過程進行規范化管理; c)應對終端計算機、工作站、便攜機、系統和網絡等設備的操作和使用進行規范化管理,按操作規程實現關鍵設備(包括備份和冗余設備)的啟動/停止、加電/斷電等操作;
d)應確保信息處理設備必須經過審批才能帶離機房或辦公地點。1.2.5.5 網絡安全管理(G2)
本項要求包括:
a)應指定人員對網絡進行管理,負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作;
b)應建立網絡安全管理制度,對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定;
c)應根據廠家提供的軟件升級版本對網絡設備進行更新,并在更新前對現有的重要文件進行備份;
d)應定期對網絡系統進行漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補; e)應對網絡設備的配置文件進行定期備份; f)應保證所有與外部系統的連接均得到授權和批準。1.2.5.6 系統安全管理(G2)
本項要求包括:
a)應根據業務需求和系統安全分析確定系統的訪問控制策略; b)應定期進行漏洞掃描,對發現的系統安全漏洞及時進行修補;
c)應安裝系統的最新補丁程序,在安裝系統補丁前,應首先在測試環境中測試通過,并對重要文件進行備份后,方可實施系統補丁程序的安裝;
d)應建立系統安全管理制度,對系統安全策略、安全配置、日志管理和日常操作流程等方面作出規定;
e)應依據操作手冊對系統進行維護,詳細記錄操作日志,包括重要的日常操作、運行維護記錄、參數的設置和修改等內容,嚴禁進行未經授權的操作; f)應定期對運行日志和審計數據進行分析,以便及時發現異常行為。1.2.5.7 惡意代碼防范管理(G2)
本項要求包括:
a)應提高所有用戶的防病毒意識,告知及時升級防病毒軟件,在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前,先進行病毒檢查,對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查;
b)應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄;
c)應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確規定。1.2.5.8 密碼管理(G2)
應使用符合國家密碼管理規定的密碼技術和產品。1.2.5.9 變更管理(G2)
本項要求包括:
a)應確認系統中要發生的重要變更,并制定相應的變更方案; b)系統發生重要變更前,應向主管領導申請,審批后方可實施變更,并在實施后向相關人員通告。
1.2.5.10 備份與恢復管理(G2)
本項要求包括:
a)應識別需要定期備份的重要業務信息、系統數據及軟件系統等; b)應規定備份信息的備份方式、備份頻度、存儲介質、保存期等;
c)應根據數據的重要性及其對系統運行的影響,制定數據的備份策略和恢復策略,備份策略指明備份數據的放置場所、文件命名規則、介質替換頻率和數據離站運輸方法。
1.2.5.11 安全事件處置(G2)
本項要求包括:
a)應報告所發現的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點; b)應制定安全事件報告和處置管理制度,明確安全事件類型,規定安全事件的現場處理、事件報告和后期恢復的管理職責;
c)應根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統產生的影響,對本系統計算機安全事件進行等級劃分;
d)應記錄并保存所有報告的安全弱點和可疑事件,分析事件原因,監督事態發展,采取措施避免安全事件發生。
1.2.5.12 應急預案管理(G2)
本項要求包括:
a)應在統一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容; b)應對系統相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次。
第三篇:某區關于開展信息系統等級保護檢查工作自查報告
***區關于開展信息系統等級保護檢查工作自
查報告
為進一步推進信息安全等級保護工作,提高基礎信息網絡和重要信息系統安全保障能力,保障黨的十八大勝利召開,根據市衛生局《關于開展信息系統等級保護檢查工作的通知》文件精神和要求,我區高度重視,及時召開信息系統安全等級保護工作領導小組會議,積極部署工作、明確責任、具體落實,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,認真對照信息安全等級保護自查項目表,對我區醫療單位信息安全等級保護工作進行了一次摸底調查,現將此項工作自查情況匯報如下:
一、等級防護工作的組織部署和實施情況
成立了區衛生系統信息系統安全等級保護工作領導小組,落實了信息安全責任制;對等級保護責任部門和崗位人員進行了確定,確保專人落實;制定了等級保護工作的文件及相關工作方案;嚴格按照國家等級保護政策、標準規范和行業主管部門的要求,組織開展各項工作;及時召開了信息系統安全等級保護工作領導小組工作會議;區主管衛生的副區(局)長對等級保護工作作出了重要批示,并在工作會議上提出了工作點要求。
二、信息系統安全等級保護定級備案情況
我區衛生系統目前的信息系統所承載的業務、服務范圍、安全需求暫時未發生變化;各單位重要信息系統的重要性均有清楚的認識。
三、信息技術產品和信息系統安全產品使用情況
我區各衛生系統計算機、公文處理軟件和信息系統安全產品均為國產產品,包括使用360、金山安全衛士、金山毒霸、卡巴
斯基等安全軟件。公文處理軟件使用了MicrosoftOffice系統。各單位使用的業務系統、數據傳輸平臺系統、數據庫等應用軟件均為省衛生廳,統一指定的產品系統。重點信息系統使用的服務器、路由器、交換機等均為國產產品。
四、信息系統安全檢查存在的主要問題及整改情況
1、信息系統安全工作的水平還有待提高。各單位的信息系統工作人員均為兼職人員,非專業人員,對信息系統安全的管護水平低,還需要加強專業學習培訓,提高信息系統安全管理和管護工作的水平。
2、信息系統安全工作機制還有待完善。信息系統安全相關工作機制制度、應急預案等還不健全,還要完善信息系統安全工作機制,建立完善信息系統安全應急響應機制,以提高網絡信息工作的運行效率,促進醫療、辦公秩序的進一步規范,防范風險。
五、對信息系統安全檢查工作的意見和建議
1、進一步加大對信息系統安全工作人員的業務培訓。由于很多部門的信息系統安全工作人員均為兼職,均是“半路出家”,非專業人員,沒有專業的技能和知識,希望上級相關部門組織培訓班進一步加強對計算機信息系統安全管理工作的業務操作培訓,發放一些信息網絡安全管理方面的業務知識材料。
2、加強分類指導。由于各單位、部門的工作性質不同,信息系統安全的防護級別也不同。希望結合各單位、部門工作實際,對重點信息系統安全單位、部門和非重點信息系統安全單位、部門進行分類指導。
*****衛生局
二〇一二年九月五日
第四篇:武漢國土局信息系統等級保護應用實踐
武漢國土局信息系統等級保護應用實踐
來源:公安部信息安全等級保護評估中心 作者:admin 日期:2011年2月17日
為了推動等級標準的實際執行與實施,對計算機信息系統安全等級保護評估工具進行實際使用與測試,驗證安全等級保護評估方法與思路,公安部啟動了計算機系統安全保護等級評估試點。選擇了四個省和兩個部委的6個單位和行業進行試點。武漢市規劃國土資源管理局(以下簡稱武漢市規劃國土局)被確定為湖北省的試點單位。武漢市土地管理信息中心與公安部計算機信息系統安全產品質量監督檢驗中心一起對武漢市規劃國土局內部網進行了全面的安全評估。依據《計算機信息系統安全等級保護評估準則》及相關等級標準,就評估結果對內部網的安全狀況進行了分析和總結。
工作思路與評估方法
《計算機信息系統安全保護等級劃分準則》將我國的計算機信息系統安全確定為5個等級,由低到高依次是“用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級”,對每一等級的計算機信息系統在物理安全、運行安全、信息安全等安全功能要素和安全保證等方面提出了具體技術要求。信息系統安全等級保護就是采用“調查—測試—評估—分析—改進”的工作步驟,對信息系統依照安全保護等級進行評估,確定信息系統的重點保護對象和保護等級,找出安全隱患,提出改進方案,提升系統安全保護措施,保障系統安全。
因為信息系統用戶主要通過應用服務的方式訪問被保護的重點對象,所以在評估過程中,以應用服務的訪問途徑為切入點,選取相應的路徑進行安全要素的評測與分析。信息系統安全等級評估的技術部分主要包括以下兩個方面:
安全要素評估:需要評估的安全要素包括:身份鑒別、自主訪問控制、客體重用、完整性、審計。通過如下幾種方式評估安全要素的實現狀況:
對應用服務的工作流程、流程中所傳輸的數據內容、所經過的傳輸環節(客戶終端、路由器、交換機、中心服務器節點)對數據采取的保護措施、應用服務支撐平臺(如SQL Server 2000等)的安全狀況、應用服務流程中各組件自身的安全狀況進行調查。
根據驗證方案,現場操作人員協助評估工程師完成一次全過程的應用服務。評估工程師根據此過程中所采取或所能采取的安全保護措施,確定安全要素在訪問路徑上的實現狀況實施現場驗證。
根據評估的結果,總結系統安全要素的實現狀況,確定信息系統所達到的安全等級,提出可行的安全建議,并撰寫完善的安全評估報告。
安全保證要求評估:安全保證要求評估主要以與協助人員交流,查閱并分析系統開發過程中相關的文檔資料為主。考察的內容包括信息系統安全功能自身安全保護、密碼支持、生命周期支持、配置管理、開發、測試、指導性文檔、脆弱性分析、交付與運行等。
武漢市規劃國土局信息系統網絡拓撲結構一共劃分為四個VLAN區域。其中VLAN14區域為武漢市規劃國土資源管理局的各個分局和局屬院所,VLAN10、VLAN11、VLAN12屬于市局內網部分。根據對信息系統的調查分析,確定將NAS服務和辦公自動化應用服務作為評估的切入點,將信息系統劃分為四個實體層面進行評價,即物理層面、計算機網絡層面、系統層面、應用層面。物理安全體現為環境安全、設備安全、媒體安全。計算機網絡層面主要包括交換機(cisco3500、cisco9300、cisco2950)和路由器。系統層面主要指服務器上的操作系統(Windows 2000 Server)與數據庫系統(SQL2000 Server)。應用層面指實現應用服務的應用軟件,包括NAS應用軟件、辦公自動化應用軟件。
評估結果統計分析與評價
依據相關標準《GB17859-1999計算機信息系統安全保護等級劃分準則》和《GA/T391-2002計算機信息系統安全等級保護管理要求》,按照管理要求第一級和第二級的評估標準的80項管理要求,武漢市規劃國土局信息系統的安全管理評估結果中,滿足要求的共計30項,部分滿足要求的共計30項,沒有滿足要求的共計20項,對沒有滿足的管理要求,按照不適用、技術、預算、時間、文化、環境、其它等7個方面的原因進行了分析歸類,其中不適用指評估原則不適用本系統;技術指由于安全管理技術不全面而沒有考慮到的原因;預算指出于經費考慮沒有實施的原因;時間指項目已列入計劃,實施只是時間問題。
根據計算機信息系統安全等級保護管理的第一和第二級要求,武漢市規劃國土局較好地實施了對其信息系統的基本管理,也基本實現了操作規程管理(分別對應于安全保護等級中的用戶自主保護級和系統審計保護級)。評價具體如下:
管理目標和范圍方面:有統一的安全管理機構以及較完整的安全管理計劃,但計劃還不全面,如安全管理計劃并沒有涉及風險管理的內容。安全目標和安全范圍具體,有詳細的安全管理文檔描述和說明,對信息系統的網絡、物理設備以及自主開發應用系統實施了生命周期的全程管理,制定了設備購買及其安全操作方面的操作規程,但安全操作規程尚不完善。
人員與職責要求方面:安全管理機構符合要求,任命了安全管理員,并賦予其相應的安全管理權限。安全管理員都有一定的專業技術水平,安全負責人在安全工作方面具有相應的經驗和技能,并且都基本履行了相應的職責,但在風險分析和安全性評估方面的工作有所欠缺。
物理安全管理要求方面:信息中心建立了物理安全區,機房是專用機房,還為服務器建立一個單獨的隔離機房。而且此機房的物理安全防護措施在防火、溫度控制、防盜、出入監控方面較完備,但對一些必備的物理安全措施沒有很好實現,如濕度控制,物理安全管理工作由幾個相關部門協同負責完成,而且也具有物理安全管理規章制度,并據此制定了相應的物理設施的操作流程。對所有設備建檔立卷,實現了對物理設施的分類編目以及嚴格的登記制度。
系統安全管理要求方面:系統安全管理方面的工作主要由信息中心網絡室工作人員負責,其對操作系統和數據庫系統進行了日常的安全管理。具有對操作系統和數據庫的安全配置和備份方面的安全管理規章制度,操作系統和數據庫系統及其信息資源實際也得到了安全的備份,但沒有針對操作系統和數據庫系統的配置和備份等方面的操作規程,且經實地驗證,操作系統和數據庫系統均為默認安裝配置,存在安全隱患。系統授權用戶使用唯一的用戶名和口令訪問系統資源,但沒有對用戶口令復雜度的規定,實際存在較多弱口令。采取一定的措施,如統一分發系統工具和拆卸光驅,對系統進行授權管理和變更控制。系統管理員開展了一定的系統安全性維護工作,但經漏洞掃描驗證有服務器存在安全配置方面的漏洞。
網絡安全管理要求方面:由網絡管理室工作人員負責網絡環境安全管理工作,網絡管理員具體履行對網絡安全措施的日常管理,對網絡連接和網絡安全措施等方面實施安全性檢查。具有關于網絡配置和網絡接入方面的安全管理規定,但沒有制定網絡使用和網絡服務方面的策略。利用授權制度和機制實現用戶對網絡的安全訪問控制,實現對網絡配置的變更控制,但經實地驗證,網絡交換機和路由器的口令為空口令,存在嚴重的安全隱患,同時也沒有對網絡訪問和網絡安全事件等進行安全審計,也缺乏網絡安全事件報告流程,以及相應的應急計劃。網絡設施實施了必要的備份。每年對網絡用戶實施安全教育和培訓。
應用安全管理要求方面:網絡管理室工作人員負責應用系統的安全管理,對應用系統進行安全配置和備份,維護工作由系統開發室負責完成,但都沒有制定相關的規章制度。數據庫應用軟件自主開發,有配套的技術和操作文檔,經驗證管理人員基本據此實施對應用系統的管理。依據部門劃分對應用系統數據和信息進行分類管理,并利用授權和訪問控制機制保證信息的安全共享和發布,但沒有與授權用戶簽署授權許可以及安全協議。經驗證對應用系統及數據實施了有效地備份,但缺乏明確的備份計劃和應急計劃。
運行安全管理要求方面:制定了信息中心安全生產管理規定,并制定了部分管理制度,但沒有對這些規定和制度進行完善。確保運行安全而采取的方法和措施有物理監控、備份、容錯以及病毒檢測和防護,經驗證均運轉正常,但信息系統感染病毒情況較多。信息中心實行網絡值班制,負責對信息中心運行安全的監督和檢查。經驗證每年舉辦安全方面的培訓,但沒有制定特別明確的計劃。經驗證明確了系統安全管理員和普通用戶的訪問權限以及其對各類資源的責任,并有相應的管理。對應用軟件的采購、安裝和使用等方面實施批準和授權制度。對外部服務方訪問信息系統實施人員監督,但沒有簽署安全保密合同,也沒有對其可能帶來的安全性問題進行安全性評估。實現了良好的自動化備份,且有專人負責,但備份制度還有待于完善。
系統安全建議
對照計算機信息系統安全等級保護的要求,要滿足第一級要求,必須在一些方面進行改進,如:制定整體全面的安全管理計劃,以進一步明確安全目標和范圍;建立和健全對物理、系統、網絡、應用和運行制定安全規章制度,并不斷修訂和完善;充分考慮到對安全管理員作安全管理的職責規定和實際履行要求;根據分類編號對物理設備加上識別標簽;加強出入管理保證運行安全,建議被測單位信息中心工作人員佩戴識別標志(比如胸牌等標志)等。
要達到計算機信息系統安全等級保護管理第二級安全要求,還應該進行這樣一些改進:制定針對物理安全、網絡安全、系統安全、應用系統安全和運行安全幾方面的具體安全操作規程,內容可涉及安全使用、安全配置、變更控制、安全分析、安全事件處理、以及安全培訓等;制定安全策略,特別在網絡安全管理方面要制定網絡使用和網絡服務的策略要求。網絡安全管理要求、應用系統安全管理要求以及運行安全管理要求方面開展相應的風險分析和安全性評估等風險管理;建立網絡安全事件報告流程及相應應急計劃,實施對信息系統的應急響應,不斷對其可行性進行驗證;更換服務器和網絡設備的弱口令及其默認配置。操作系統自身默認的簡單審計功能不能滿足多方面的審計要求,要對操作系統、數據庫應用系統以及網絡的使用、訪問、配置和變更作安全方面的審計,并指定專人負責此方面的工作;嚴格取消內網Modem與外網的連接,并進一步嚴格控制光驅的安裝,以防病毒侵入以及黑客攻擊;豐富和完善病毒防護體系的使用管理規定。對應用系統關鍵崗位的工作人員實施資質管理;與應用系統的授權用戶簽署授權許可書和安全協議,并且在制定外部服務方訪問被測單位信息系統的安全制度時,包括并實施與外部服務方簽署安全保密協議或合同這一項的內容;建立嚴格的運行過程管理文檔,并保證所有文檔的一致性。
第五篇:信息系統運營使用單位等級保護工作情況
二、信息系統運營使用單位等級保護工作情況
1、單位信息安全等級保護工作的組織領導情況
重點包括:單位網絡安全領導機構或信息安全等級保護工作領導機構成立情況;單位網絡安全或信息安全等級保護工作的職責部門和具體職能情況;單位信息安全等級保護工作部署情況等。
結合我單位實際情況,成立了網絡安全領導小組,由網絡安全工作領導和日常巡視人員組成;安全小組職責部門為技術部,主要負責網絡安全工作的領導、監督、實施等;我單位結合公司實際情況制定了安全等級保護相關的日程安排,定期或
2、單位對信息安全等級保護工作的重視情況
重點包括:單位網絡信息安全等級保護工作考核情況;單位組織開展網絡安全自查情況;單位網絡安全工作經費是否納入預算?單位網絡安全工作的經費約占單位信息化建設經費的百分比情況等。
我單位網絡安全工作考核已納入到考核指標;單位嚴格落實有關網絡信息安全保密方面的各項規定,采取多種自查措施防范網絡安全事故,總體上我單位網絡信息安全工作做得比較扎實;單位嚴格落實網絡安全經費預算,保證網絡安全工作的經費投入,經費約占信息化建設經費的XX%。
3、單位網絡安全責任追究制度執行情況
重點包括:是否建立了單位網絡安全責任追究制度?是否依據責任追究制度對單位發生的網絡事件進行追責等情況。
我單位建立了網絡安全責任追究制度,主管領導負總責,具體管理人員負主責;本單位尚未發生網絡安全事件。如遇網絡安全事件,會依據責任追究制度對相關人員進行追責。
4、單位信息系統定級備案工作情況。
重點包括:單位信息系統是否全部定級備案?單位系統調整是否及時進行備案變更?單位新建信息系統是否落實定級備案等工作。
我單位依據信息安全等級保護有關政策和標準,已于20XX年X月完成單位信息系統定級備案工作。
5、單位信息系統安全測評和安全建設整改工作情況
重點包括:單位信息系統安全檢測和整改經費落實情況;單位信息系統惡意代碼掃描、滲透性測試、等級測評和風險評估的安全檢測情況;信息系統安全建設整改方案制定和實施情況;單位網絡安全保護狀況的了解掌握等情況。我單位嚴格落實網絡安全經費預算和投入,保證信息系統的安全檢測和整改工作的順利實施;經檢測,我單位信息系統總體安全保護狀況較好,但也發現了服務器上存在的漏洞和網絡防范方面的風險;針對安全等級保護測評得出的各項風險,單位組織制定了信息安全建設整改方案,修補了服務器漏洞、加強了網絡權限管理,使我單位信息系統安全隱患明顯減少;通過全方位的安全測評,了解掌握了我單位信息系統的基本情況和今后需要加強的安全薄弱環節。
6、單位網絡安全管理制度的制定和實施情況
重點包括:單位信息系統建設和網絡安全“同步規劃、同步建設、同步運行”措施的落實情況;單位人員管理、信息系統機房管理、設備管理、介質管理、網絡安全建設管理、運維管理、服務外包等管理制度的建設情況;管理制度的監督保障和運行情況等。
我單位制定了相關工作規范和有效的技術方案,確保本單位信息系統建設和網絡安全能夠“同步規劃、同步建設、同步運行”;為保障網絡安全工作的實施,建立了《人員管理制度》、《運維、機房管理制度》、《信息系統設備管理制度》、《介質管理制度》、《外包管理》等管理制度;我單位對工作人員嚴格要求,對違反制度的人員進行嚴肅處理,保證制度的有效實施。
7、單位重要數據的保護情況
重點包括:單位數據中心建設情況;單位重要數據存儲和安全保護情況;單位重要數據備份恢復情況,單位重要數據存儲和應用是否由社會第三方提供?提供服務單位的具體情況等。
我單位的數據中心服務器為XXX,均為雙機熱備工作方式,并配置了XX備份;本單位數據中心所有數據均設置為本地實時雙機熱備、XX備份的方式;我單位數據存儲和應用均由本單位提供。
8、單位網絡安全監測和預警情況
重點包括:單位開展日程網絡安全監測情況;單位網絡安全監測技術手段建設情況;單位網絡安全預警工作情況等。
我單位定期或不定期進行網絡安全監測,掌握網絡最新安全運行情況;網絡安全監測的主要手段有網絡設備的報警檢查、服務器的日志檢查、服務器安全策略配置、安全漏洞掃描、物理機房安全檢查等;我單位結合多種技術手段進行網絡安全監測,對網絡安全事件進行及時的預警,極大的降低了信息系統網絡安全風險。
9、單位網絡安全應急預案和演練情況
重點包括:是否制定了單位網絡安全預案?單位網絡安全預案是否進行了演練?是否根據演練情況對預案進行了修改完善等情況。我單位制定了單位網絡安全應急預案;并組織公司相關部門人員進行了演練;事后對應急處理流程、系統恢復重建方面進行評估和修改,總結經驗教訓,完善單位網絡應急處理預案。
10、單位網絡安全事件(事故)的處置情況?
重點包括:是否明確了單位網絡安全事件發生、報告和處置流程?年內是否發生重大網絡安全事件?是否與相關部門建立了網絡安全應急處置機制等情況。我單位制定了網絡安全處理方案,明確了網絡安全事件(事故)的逐層上報機制、事件(事故)處理流程和災備的啟用流程等;我單位年內未發生重大網絡安全事件;我單位根據不同的網絡事件(事故)類型與各相關部門進行了交底,與其建立了相關的應急處置機制。
11、單位信息技術產品、服務國產化情況
重點包括:單位操作系統、服務器、數據庫、交換機等核心信息技術產品的國產化比率情況;單位網絡安全設備的國產化比率情況;單位信息技術產品國產化替換工作計劃情況樓單位新建信息系統是否采用國產化設備;單位信息安全服務情況等。
我單位信息系統采用XX的數據庫和服務器、XXXX操作系統、XX和XX的交換機,核心信息技術產品的國產化比率為12.5%;網絡安全設備采用XXNIPS、XXX、XXX;國產化比率為66%;單位認真研究制定信息系統“國產化”規劃,新建的信息系統情況;單位網絡安全設備的國產化比率情況;單位信息技術產品國產化替換工作計劃情況樓單位新建信息系統是否采用國產化設備;單位信息安全服務情況等。
我單位信息系統采用XX的數據庫和服務器、XXXX操作系統、XX和XX的交換機,核心信息技術產品的國產化比率為12.5%;網絡安全設備采用XXNIPS、XXX、XXX;國產化比率為66%;單位認真研究制定信息系統“國產化”規劃,新建的信息系統會優先考慮國產設備進行部署,積極推進新建信息系統的“國產化”進程。
12、單位網絡安全宣傳培訓情況
重點包括:單位組織開展網絡安全宣傳教育情況;單位組織開展網絡安全崗位培訓和網絡安全員培訓等情況。
我單位通過各種方式定期或不定期的開展網絡安全的知識講座和培訓,宣傳網絡安全知識,強化網絡安全意識;并組織網絡安全員進行網絡安全法規的學習和網絡安全知識技術的培訓。
點擊咨詢 