第一篇:國(guó)家信息安全等級(jí)保護(hù)制度
《信息安全等級(jí)保護(hù)管理辦法》 四部委下發(fā)公通字[2007]43號(hào)文 《信息安全等級(jí)保護(hù)管理辦法》是為規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī)而制定的辦法。由四部委下發(fā),公通字200743號(hào)文。2 制定目的 規(guī)范信息安全等級(jí)保護(hù)管理。文號(hào)
公通字200743號(hào)文 第一章 總則 第一條
為規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等有關(guān)法律法規(guī),制定本辦法。第二條
國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。第三條
公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家保密工作部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國(guó)家密碼管理部門(mén)負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門(mén)管轄范圍的事項(xiàng),由有關(guān)職能部門(mén)依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的部門(mén)間協(xié)調(diào)。第四條
信息系統(tǒng)主管部門(mén)應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門(mén)或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。第五條
信息系統(tǒng)的運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依照本辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范,履行信息安全等級(jí)保護(hù)的義務(wù)和責(zé)任。
第二章 等級(jí)劃分與保護(hù) 第六條
國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第七條
信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造 1
成損害。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。第八條
信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù),國(guó)家有關(guān)信息安全監(jiān)管部門(mén)對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。
第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專(zhuān)門(mén)需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專(zhuān)門(mén)部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)監(jiān)督、檢查。第三章等級(jí)保護(hù)的實(shí)施與管理 第九條
信息系統(tǒng)運(yùn)營(yíng)、用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 具體實(shí)施等級(jí)保護(hù)工作。第十條
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門(mén)的,應(yīng)當(dāng)經(jīng)主管部門(mén)審核批準(zhǔn)。跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的,運(yùn)營(yíng)、使用單位或者主管部門(mén)應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù) 等級(jí)專(zhuān)家評(píng)審委員會(huì)評(píng)審。第十一條
信息系統(tǒng)的安全保護(hù)等級(jí)確定后,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國(guó)家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品,開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作。第十二條
在信息系統(tǒng)建設(shè)過(guò)程中,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。第十三條
運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范,制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。第十四條
信息系統(tǒng)建設(shè)完成后,運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。
第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng),第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每 半年至少進(jìn)行一次自查,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測(cè)評(píng)或者自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。第十五條
已運(yùn)營(yíng)(運(yùn)行)的第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30 日內(nèi),由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位,其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng),由主管部門(mén)向公安部辦理備案手續(xù)。跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。第十六條
辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí),應(yīng)當(dāng)填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》,第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料:
(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明;
(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;
(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷(xiāo)售許可證明;
(五)測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告;
(六)信息系統(tǒng)安全保護(hù)等級(jí)專(zhuān)家評(píng)審意見(jiàn);
(七)主管部門(mén)審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。
第十七條
信息系統(tǒng)備案后,公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核,對(duì)符合等級(jí)保護(hù)要求的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以 糾正;發(fā)現(xiàn)定級(jí)不準(zhǔn)的,應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營(yíng)、使用單位或者主管部門(mén)重新確定信息系統(tǒng)等級(jí)后,應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。第十八條
受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次,對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查,應(yīng)當(dāng)會(huì)同其主管部門(mén)進(jìn)行。對(duì)第五級(jí)信息系統(tǒng),應(yīng)當(dāng)由國(guó)家指定的專(zhuān)門(mén)部門(mén)進(jìn)行檢查。公安機(jī)關(guān)、國(guó)家指定的專(zhuān)門(mén)部門(mén)應(yīng)當(dāng)對(duì)下列事項(xiàng)進(jìn)行檢查:
(一)系統(tǒng)安全需求是否發(fā)生變化,原定保護(hù)等級(jí)是否準(zhǔn)確;
(二)運(yùn)營(yíng)、使用單位安全管理制度、措施的落實(shí)情況;
(三)運(yùn)營(yíng)、使用單位及其主管部門(mén)對(duì)信息系統(tǒng)安全狀況的檢查情況;
(四)系統(tǒng)安全等級(jí)測(cè)評(píng)是否符合要求;
(五)信息安全產(chǎn)品使用是否符合要求;
(六)對(duì)信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)的技術(shù)測(cè)評(píng)報(bào)告;
(七)信息安全產(chǎn)品使用的變更情況;
(八)信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報(bào)告;
(九)信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。
第二十條
公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,應(yīng)當(dāng)向運(yùn)營(yíng)、使用單位發(fā)出整改通知。運(yùn)營(yíng)、使用單位應(yīng)當(dāng)根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后,應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時(shí),公安機(jī)關(guān)可以對(duì)整改情況組織檢查。
第二十一條
第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的,在中華人民 共和國(guó)境內(nèi)具有獨(dú)立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設(shè)置漏洞、后門(mén)、木馬等程序和功能;
(五)對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害;
(六)對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)。第二十二條
第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng):
(一)在中華人民共和國(guó)境內(nèi)注冊(cè)成立(港澳臺(tái)地區(qū)除外);
(二)由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資的企事業(yè)單位(港澳臺(tái)地區(qū)除外);
(三)從事相關(guān)檢測(cè)評(píng)估工作兩年以上,無(wú)違法記錄;
(四)工作人員僅限于中國(guó)公民;
(五)法人及主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄;
(六)使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求;
(七)具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;
(八)對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。第二十三條
從事信息系統(tǒng)安全等級(jí)測(cè)評(píng)的機(jī)構(gòu),應(yīng)當(dāng)履行下列義務(wù):
(一)遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù),保證測(cè)評(píng)的質(zhì)量和效果;
(二)保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私,防范測(cè)評(píng)風(fēng)險(xiǎn);
(三)對(duì)測(cè)評(píng)人員進(jìn)行安全保密教育,與其簽訂安全保密責(zé)任書(shū),規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實(shí)。第四章 涉密信息系統(tǒng)的分級(jí)保護(hù)管理
第二十四條
涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密工作部門(mén)有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。非涉密信息系統(tǒng)不得處理國(guó)家秘密信息。第二十五條
涉密信息系統(tǒng)按照所處理信息的最高密級(jí),由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確 定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng),各安全域可以分別確定保護(hù)等級(jí)。保密工作部門(mén)和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。第二十六條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)將涉密信息系統(tǒng)定級(jí)和建設(shè)使用情況,及時(shí)上報(bào)業(yè)務(wù)主管部門(mén)的保密工作機(jī)構(gòu)和負(fù)責(zé)系統(tǒng)審批的保密工作部門(mén)備案,并接受保密部門(mén)的監(jiān)督、檢查、指導(dǎo)。
第二十七條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)選擇具有涉密集成資質(zhì)的單位承擔(dān)或者參與涉密信息系統(tǒng)的設(shè)計(jì)與實(shí)施。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),按照秘密、機(jī)密、絕密三級(jí)的不同要求,結(jié)合系統(tǒng)實(shí)際進(jìn)行方案設(shè)計(jì),實(shí)施分級(jí)保護(hù),其保護(hù)水平
總體上不低于國(guó)家信息安全等級(jí)保護(hù)第三級(jí)、第四級(jí)、第五級(jí)的水平。第二十八條
涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國(guó)產(chǎn)品,并應(yīng)當(dāng)通過(guò)國(guó)家保密局授權(quán)的檢測(cè)機(jī)構(gòu)依據(jù)有關(guān)國(guó)家保密標(biāo)準(zhǔn)進(jìn)行的檢測(cè),通過(guò)檢測(cè)的產(chǎn)品由國(guó)家保密局審核發(fā)布目錄。
第二十九條
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實(shí)施結(jié)束后,應(yīng)當(dāng)向保密工作部門(mén)提出申請(qǐng),由國(guó)家保密局授權(quán)的系統(tǒng)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》,對(duì)涉密信息系統(tǒng)進(jìn)行安全保密測(cè)評(píng)。涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當(dāng)按照《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級(jí)以上保密工作部門(mén)申請(qǐng)進(jìn)行系統(tǒng)審批,涉密信息系統(tǒng)通過(guò)審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級(jí)保護(hù)要求完成系統(tǒng)整改后,應(yīng)當(dāng)向保密工作部門(mén)備案。
第三十條
涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí),應(yīng)當(dāng)提交以下材料:
(一)系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見(jiàn);
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告;
(四)系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告;
(五)系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況;
(六)其他有關(guān)材料。第三十一條
涉密信息系統(tǒng)發(fā)生涉密等級(jí)、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責(zé)任單位變更時(shí),其建設(shè)使用單位應(yīng)當(dāng)及時(shí)向負(fù)責(zé)審批的保密工作部門(mén)報(bào)告。保密工作部門(mén)應(yīng)當(dāng)根據(jù)實(shí)際情況,決定是否對(duì)其重新進(jìn)行測(cè)評(píng)和審批。第三十二條
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國(guó)家保密標(biāo)準(zhǔn)BMB20-2007《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》,加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密管理,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,消除泄密隱患和漏洞。第三十三條
國(guó)家和地方各級(jí)保密工作部門(mén)依法對(duì)各地區(qū)、各部門(mén)涉密信息系統(tǒng)分級(jí)保護(hù)工作實(shí)施監(jiān)督管理,并做好以下工作:
(一)指導(dǎo)、監(jiān)督和檢查分級(jí)保護(hù)工作的開(kāi)展;
(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護(hù)等級(jí);
(三)參與涉密信息系統(tǒng)分級(jí)保護(hù)方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計(jì);
(四)依法對(duì)涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行監(jiān)督管理;
(五)嚴(yán)格進(jìn)行系統(tǒng)測(cè)評(píng)和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級(jí)保護(hù)管理制度和技術(shù)措施的落實(shí)情況;
(六)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng),對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng);
(七)了解掌握各級(jí)各類(lèi)涉密信息系統(tǒng)的管理使用情況,及時(shí)發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。第五章
信息安全等級(jí)保護(hù)的密碼管理 第三十四條
國(guó)家密碼管理部門(mén)對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類(lèi)分級(jí)管理。
根據(jù)被保護(hù)對(duì)象在國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)建設(shè)中的作用和重要程度,被保護(hù)對(duì)象的安全防護(hù)要求和涉密程度,被保護(hù)對(duì)象被破壞后的危害程度以及密碼使用部門(mén)的性質(zhì)等,確定密碼的等級(jí)保護(hù)準(zhǔn)則。信息系統(tǒng)運(yùn)營(yíng)、使用單位采用密碼進(jìn)行等級(jí)保護(hù)的,應(yīng)當(dāng)遵照《信息安全等級(jí)保護(hù)密碼管理辦法》、《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第三十五條
信息系統(tǒng)安全等級(jí)保護(hù)中密碼的配備、使用和管理等,應(yīng)當(dāng)嚴(yán)格執(zhí)行國(guó)家密碼管理的有關(guān)規(guī)定。
第三十六條
信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,應(yīng)報(bào)經(jīng)國(guó)家密碼管理局審批,密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等,應(yīng)當(dāng)按照國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行;采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的,須遵守《商用密碼管理?xiàng)l例》和密碼分類(lèi)分級(jí)保護(hù)有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn),其密碼的配備使用情況應(yīng)當(dāng)向國(guó)家密碼管理機(jī)構(gòu)備案。第三十七條
運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的,必須采用經(jīng)國(guó)家密碼管理部門(mén)批準(zhǔn)使用或者準(zhǔn)于銷(xiāo)售的密碼產(chǎn)品進(jìn)行安全保護(hù),不得采用國(guó)外引進(jìn)或者擅自研制的密碼產(chǎn)品;未經(jīng)批準(zhǔn)不得采用含有加密功能的進(jìn)口信息技術(shù)產(chǎn)品。第三十八條
信息系統(tǒng)中的密碼及密碼設(shè)備的測(cè)評(píng)工作由國(guó)家密碼管理局認(rèn)可的測(cè)評(píng)機(jī)構(gòu)承擔(dān),其他任何部門(mén)、單位和個(gè)人不得對(duì)密碼進(jìn)行評(píng)測(cè)和監(jiān)控。第三十九條
各級(jí)密碼管理部門(mén)可以定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測(cè)評(píng),對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每?jī)赡曛辽龠M(jìn)行一次檢查和測(cè)評(píng)。在監(jiān)督檢查過(guò)程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達(dá) 到密碼相關(guān)標(biāo)準(zhǔn)要求的,應(yīng)當(dāng)按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行處置。第六章 法律責(zé)任 第四十條
第三級(jí)以上信息系統(tǒng)運(yùn)營(yíng)、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機(jī)關(guān)、國(guó)家保密工作部門(mén)和國(guó)家密碼工作管理部門(mén)按照職責(zé)分工責(zé)令其限期改正;逾期不改正的,給予警告,并向其上級(jí)主管部門(mén)通報(bào)情況,建議對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員予以處理,并及時(shí)反饋處理結(jié)果:
(一)未按本辦法規(guī)定備案、審批的;
(二)未按本辦法規(guī)定落實(shí)安全管理制度、措施的;
(三)未按本辦法規(guī)定開(kāi)展系統(tǒng)安全狀況檢查的;
(四)未按本辦法規(guī)定開(kāi)展系統(tǒng)安全技術(shù)測(cè)評(píng)的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)的;
(七)未按本辦法規(guī)定如實(shí)提供有關(guān)文件和證明材料的;
(八)違反保密管理規(guī)定的;
(九)違反密碼管理規(guī)定的;
(十)違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴(yán)重?fù)p害的,由相關(guān)部門(mén)依照有關(guān)法律、法規(guī)予以處理。第四十一條
信息安全監(jiān)管部門(mén)及其工作人員在履行監(jiān)督管理職責(zé)中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責(zé)任。第七章 附則
第四十二條
已運(yùn)行信息系統(tǒng)的運(yùn)營(yíng)、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護(hù)等級(jí);新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。第四十三條本辦法所稱(chēng)“以上”包含本數(shù)(級(jí))。第四十四條本辦法自發(fā)布之日起施行,《信息安全等級(jí)保護(hù)管理辦法(試行)》(公通字[2006]7 7
號(hào))同時(shí)廢止。
第二篇:國(guó)家信息安全等級(jí)保護(hù)制度介紹
CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái) 的信息安全等級(jí)保護(hù)工作。各地級(jí)以上市參照成立相應(yīng)工作機(jī)制。重要信息系統(tǒng)運(yùn)營(yíng)使用單位成立信息安全等級(jí)保護(hù)工作組,負(fù)責(zé)組織本單位的信息系統(tǒng)安全等級(jí)保護(hù)工作。
四、信息安全等級(jí)保護(hù)等級(jí)劃分和監(jiān)管方式
(一)信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
(二)信息系統(tǒng)運(yùn)營(yíng)、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù),國(guó)家有關(guān)信息安全監(jiān)管部門(mén)對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督管理。
第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。
第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。
第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專(zhuān)門(mén)需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。
第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專(zhuān)門(mén)部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)監(jiān)督、檢查。
五、信息安全等級(jí)保護(hù)制度的原則
信息安全等級(jí)保護(hù)的核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。信息安 CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
(五)依法履行備案手續(xù)。信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后(新建系統(tǒng))或確定等級(jí)后(已運(yùn)營(yíng)的系統(tǒng))30日內(nèi)到公安機(jī)關(guān)辦理備案手續(xù);鼓勵(lì)第一級(jí)和第五級(jí)的信息系統(tǒng)到公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位,其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng),由主管部門(mén)向公安部辦理備案手續(xù)。跨地區(qū)或全省統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省級(jí)主管部門(mén)組織向省公安廳備案。跨地區(qū)、跨省或者全省、全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),向地級(jí)以上市公安局備案。涉密信息系統(tǒng)建設(shè)使用單位依據(jù)《管理辦法》和國(guó)家保密局的有關(guān)規(guī)定,到保密工作部門(mén)備案。
(六)加強(qiáng)安全監(jiān)督檢查。公安機(jī)關(guān)應(yīng)當(dāng)會(huì)同有關(guān)部門(mén)加強(qiáng)對(duì)信息系統(tǒng)的監(jiān)督檢查,對(duì)未依法履行定級(jí)、備案手續(xù)的單位,督促其限期改正。發(fā)現(xiàn)定級(jí)不準(zhǔn)的,應(yīng)當(dāng)通知運(yùn)營(yíng)使用單位或其主管部門(mén)重新審核確定。對(duì)安全措施不符合要求的,要指導(dǎo)其落實(shí)整改措施。各級(jí)保密工作部門(mén)加強(qiáng)對(duì)涉密信息系統(tǒng)安全等級(jí)保護(hù)工作的指導(dǎo)、監(jiān)督和檢查。國(guó)家密碼管理部門(mén)加強(qiáng)對(duì)信息安全等級(jí)保護(hù)密碼管理。
(七)建設(shè)技術(shù)支撐體系。省公安廳會(huì)同有關(guān)部門(mén)根據(jù)《管理辦法》建立健全管理制度,向社會(huì)推薦一批符合要求的安全專(zhuān)用產(chǎn)品、安全測(cè)評(píng)機(jī)構(gòu)。組織開(kāi)展繼續(xù)教育工作,加強(qiáng)對(duì)安全專(zhuān)業(yè)技術(shù)人員的培訓(xùn),提高信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)以及安全專(zhuān)用產(chǎn)品研發(fā)機(jī)構(gòu)、安全服務(wù)機(jī)構(gòu)安全專(zhuān)業(yè)技術(shù)人員的技術(shù)和法律知識(shí)水平。
(八)健全長(zhǎng)效工作機(jī)制。在信息安全等級(jí)保護(hù)職能部門(mén)、信息系統(tǒng)主管部門(mén)、運(yùn)營(yíng)使用單位間建立暢通的聯(lián)絡(luò)機(jī)制。落實(shí)信息系統(tǒng)主管部門(mén)對(duì)運(yùn)營(yíng)使用單位的監(jiān)督指導(dǎo)責(zé)任,建立職能部門(mén)、主管部門(mén)對(duì)信息系統(tǒng)的定期監(jiān)督檢查機(jī)制。爭(zhēng)取省人大和省政府法制辦公室支持,制訂《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》及實(shí)施細(xì)則,使信息安全等級(jí)保護(hù)工作獲得地方立法的支撐。
第三篇:國(guó)家信息安全等級(jí)保護(hù)制度第三級(jí)要求
CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
1.1.1.4 防雷擊(G3)本項(xiàng)要求包括: a)機(jī)房建筑應(yīng)設(shè)置避雷裝置;b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷;c)機(jī)房應(yīng)設(shè)置交流電源地線。7.1.1.5 防火(G3)本項(xiàng)要求包括: a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火;b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料;c)機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開(kāi)。1.1.1.6 防水和防潮(G3)本項(xiàng)要求包括: a)水管安裝,不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下;b)應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶(hù)、屋頂和墻壁滲透;c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。1.1.1.7 防靜電(G3)本項(xiàng)要求包括: a)主要設(shè)備應(yīng)采用必要的接地防靜電措施;b)機(jī)房應(yīng)采用防靜電地板。1.1.1.8 溫濕度控制(G3)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。
1.1.1.9 電力供應(yīng)(A3)本項(xiàng)要求包括: CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
1.1.2.2 訪問(wèn)控制(G3)本項(xiàng)要求包括: a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能;b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力,控制粒度為端口級(jí);c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3 等協(xié)議命令級(jí)的控制;d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接;e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;g)應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則,決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn),控制粒度為單個(gè)用戶(hù);h)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)量。1.1.2.3 安全審計(jì)(G3)本項(xiàng)要求包括: a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄;b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息;c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。1.1.2.4 邊界完整性檢查(S3)本項(xiàng)要求包括: a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷;b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
本項(xiàng)要求包括: a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別;b)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;c)應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng);e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名,確保用戶(hù)名具有唯一性。
f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。1.1.3.2 訪問(wèn)控制(S3)本項(xiàng)要求包括: a)應(yīng)啟用訪問(wèn)控制功能,依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn);b)應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限,實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離,僅授予管理用戶(hù)所需的最小權(quán)限;c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離;d)應(yīng)嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶(hù),修改這些帳戶(hù)的默認(rèn)口令;e)應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù),避免共享帳戶(hù)的存在。f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記;g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作;7.1.3.3 安全審計(jì)(G3)本項(xiàng)要求包括: a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù);b)審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
a)應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;d)應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度;e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。7.1.4 應(yīng)用安全 7.1.4.1 身份鑒別(S3)本項(xiàng)要求包括: a)應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別;b)應(yīng)對(duì)同一用戶(hù)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶(hù)身份鑒別;c)應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶(hù)身份標(biāo)識(shí),身份鑒別信息不易被冒用;d)應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;e)應(yīng)啟用身份鑒別、用戶(hù)身份標(biāo)識(shí)唯一性檢查、用戶(hù)身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。
7.1.4.2 訪問(wèn)控制(S3)本項(xiàng)要求包括: a)應(yīng)提供訪問(wèn)控制功能,依據(jù)安全策略控制用戶(hù)對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn);b)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作;c)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,并嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限;d)應(yīng)授予不同帳戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。
e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能;CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
7.1.4.8 軟件容錯(cuò)(A3)本項(xiàng)要求包括: a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求;b)應(yīng)提供自動(dòng)保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。
7.1.4.9 資源控制(A3)本項(xiàng)要求包括: a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話;b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制;c)應(yīng)能夠?qū)蝹€(gè)帳戶(hù)的多重并發(fā)會(huì)話進(jìn)行限制;d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制;e)應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶(hù)或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額;f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警;g)應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能,并在安裝后根據(jù)安全策略設(shè)定訪問(wèn)帳戶(hù)或請(qǐng)求進(jìn)程的優(yōu)先級(jí),根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。
7.1.5 數(shù)據(jù)安全及備份恢復(fù) 7.1.5.1 數(shù)據(jù)完整性(S3)本項(xiàng)要求包括: a)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施;b)應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。
7.1.5.2 數(shù)據(jù)保密性(S3)本項(xiàng)要求包括: CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
c)應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定;d)安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布;e)安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。7.2.1.3 評(píng)審和修訂(G3)本項(xiàng)要求包括: a)信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定;b)應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定,對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。
7.2.2 安全管理機(jī)構(gòu) 7.2.2.1 崗位設(shè)置(G3)本項(xiàng)要求包括: a)應(yīng)設(shè)立信息安全管理工作的職能部門(mén),設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位,并定義各個(gè)工作崗位的職責(zé);c)應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán);d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。7.2.2.2 人員配備(G3)本項(xiàng)要求包括: a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;b)應(yīng)配備專(zhuān)職安全管理員,不可兼任;c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。7.2.2.3 授權(quán)和審批(G3)本項(xiàng)要求包括: a)應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等;CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
a)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用;b)應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程,對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核;c)應(yīng)簽署保密協(xié)議;d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。7.2.3.2 人員離崗(G3)本項(xiàng)要求包括: a)應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程,及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限;b)應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。
7.2.3.3 人員考核(G3)本項(xiàng)要求包括: a)應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核;b)應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核;c)應(yīng)對(duì)考核結(jié)果進(jìn)行記錄并保存。7.2.3.4 安全意識(shí)教育和培訓(xùn)(G3)本項(xiàng)要求包括: a)應(yīng)對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)人員,對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒;c)應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定,針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn);d)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。7.2.3.5 外部人員訪問(wèn)管理(G3)本項(xiàng)要求包括: a)應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng),批準(zhǔn)后由專(zhuān)人全程CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
b)應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求;c)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu);d)應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。
7.2.4.4 自行軟件開(kāi)發(fā)(G3)本項(xiàng)要求包括: a)應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi),開(kāi)發(fā)人員和測(cè)試人員分離,測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制;b)應(yīng)制定軟件開(kāi)發(fā)管理制度,明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則;c)應(yīng)制定代碼編寫(xiě)安全規(guī)范,要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼;d)應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專(zhuān)人負(fù)責(zé)保管;e)應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。7.2.4.5 外包軟件開(kāi)發(fā)(G3)本項(xiàng)要求包括: a)應(yīng)根據(jù)開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量;b)應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;c)應(yīng)要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南;d)應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門(mén)。7.2.4.6 工程實(shí)施(G3)本項(xiàng)要求包括: a)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理;b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程,并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程;c)應(yīng)制定工程實(shí)施方面的管理制度,明確說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則。
7.2.4.7 測(cè)試驗(yàn)收(G3)CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
a)在系統(tǒng)運(yùn)行過(guò)程中,應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;b)應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng),發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;c)應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng);d)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。7.2.4.11 安全服務(wù)商選擇(G3)本項(xiàng)要求包括: a)應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定;b)應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議,明確約定相關(guān)責(zé)任;c)應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾,必要的與其簽訂服務(wù)合同。
7.2.5 系統(tǒng)運(yùn)維管理 7.2.5.1 環(huán)境管理(G3)本項(xiàng)要求包括: a)應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理;b)應(yīng)指定部門(mén)負(fù)責(zé)機(jī)房安全,并配備機(jī)房安全管理人員,對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理;c)應(yīng)建立機(jī)房安全管理制度,對(duì)有關(guān)機(jī)房物理訪問(wèn),物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理做出規(guī)定;d)應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理,規(guī)范辦公環(huán)境人員行為,包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員、工作人員離開(kāi)座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息的紙檔文件等。
7.2.5.2 資產(chǎn)管理(G3)本項(xiàng)要求包括: a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容;CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
d)應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實(shí)現(xiàn)主要設(shè)備(包括備份和冗余設(shè)備)的啟動(dòng)/停止、加電/斷電等操作;e)應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。7.2.5.5 監(jiān)控管理和安全管理中心(G3)本項(xiàng)要求包括: a)應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警,形成記錄并妥善保存;b)應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)行分析、評(píng)審,發(fā)現(xiàn)可疑行為,形成分析報(bào)告,并采取必要的應(yīng)對(duì)措施;c)應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。
7.2.5.6 網(wǎng)絡(luò)安全管理(G3)本項(xiàng)要求包括: a)應(yīng)指定專(zhuān)人對(duì)網(wǎng)絡(luò)進(jìn)行管理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;b)應(yīng)建立網(wǎng)絡(luò)安全管理制度,對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定;c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新,并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份;d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ);e)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置,并對(duì)配置文件進(jìn)行定期離線備份;f)應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn);g)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入;h)應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。7.2.5.7 系統(tǒng)安全管理(G3)本項(xiàng)要求包括: CHISC.NET國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施變更,并在實(shí)施后將變更情況向相關(guān)人員通告;c)應(yīng)建立變更控制的申報(bào)和審批文件化程序,對(duì)變更影響進(jìn)行分析并文檔化,記錄變更實(shí)施過(guò)程,并妥善保存所有文檔和記錄;d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序,明確過(guò)程控制方法和人員職責(zé),必要時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演練。
7.2.5.11 備份與恢復(fù)管理(G3)本項(xiàng)要求包括: a)應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;b)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度,對(duì)備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范;c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過(guò)程的程序,對(duì)備份過(guò)程進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存;e)應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性,確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。
7.2.5.12 安全事件處置(G3)本項(xiàng)要求包括: a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件,但任何情況下用戶(hù)均不應(yīng)嘗試驗(yàn)證弱點(diǎn);b)應(yīng)制定安全事件報(bào)告和處置管理制度,明確安全事件的類(lèi)型,規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé);c)應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響,對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分;d)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序,確定事件的報(bào)告流程,響應(yīng)和處置的范圍、程度,以及處理方法等;e)應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù),記錄處理過(guò)程,總結(jié)經(jīng)驗(yàn)教訓(xùn),制定防止再次發(fā)生的補(bǔ)救措施,過(guò)程形成的CHISC.NET-國(guó)內(nèi)第一醫(yī)療信息化網(wǎng)站 ,為業(yè)內(nèi)人士提供最強(qiáng)大的交流共享平臺(tái)
所有文件和記錄均應(yīng)妥善保存;f)對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。
7.2.5.13 應(yīng)急預(yù)案管理(G3)本項(xiàng)要求包括: a)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;b)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障;c)應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次;d)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練,根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容,確定演練的周期;e)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容,并按照?qǐng)?zhí)行。
第四篇:信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注:其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求,藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。
一、物理安全
1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔(機(jī)房場(chǎng)地的選址說(shuō)明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施)
2、應(yīng)具有有來(lái)訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄;來(lái)訪人員進(jìn)入機(jī)房的登記記錄
3、應(yīng)配置電子門(mén)禁系統(tǒng)(三級(jí)明確要求);電子門(mén)禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì),電子門(mén)禁系統(tǒng)運(yùn)行和維護(hù)記錄
4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記
5、介質(zhì)有分類(lèi)標(biāo)識(shí);介質(zhì)分類(lèi)存放在介質(zhì)庫(kù)或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類(lèi)存放
6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng);機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄;
7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄
8、應(yīng)具有機(jī)房建筑的避雷裝置;通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè);
9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器;具有防雷檢測(cè)資質(zhì)的檢測(cè)部門(mén)對(duì)防雷裝置的檢測(cè)報(bào)告
10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng);自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄;消防產(chǎn)品有效期合格;自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門(mén)檢測(cè)合格的產(chǎn)品
11、應(yīng)具有除濕裝置;空調(diào)機(jī)和加濕器;溫濕度定期檢查和維護(hù)記錄
12、應(yīng)具有水敏感的檢測(cè)儀表或元件;對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警;防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄
13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施;溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄
14、應(yīng)具有短期備用電力供應(yīng)設(shè)備(如UPS);短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄
15、應(yīng)具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應(yīng)具有備用供電系統(tǒng)(如備用發(fā)電機(jī));備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄
二、安全管理制度
1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程,如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程
2、應(yīng)具有安全管理制度的制定程序:
3、應(yīng)具有專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進(jìn)行版本控制)
4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定,論證和審定方式如何(如召開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等),應(yīng)具有管理制度評(píng)審記錄
5、應(yīng)具有安全管理制度的收發(fā)登記記錄,收發(fā)應(yīng)通過(guò)正式、有效的方式(如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等)----安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。
6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定,審定周期多長(zhǎng)。(安全管理制度體系的評(píng)審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查,對(duì)需要改進(jìn)的制度進(jìn)行修訂。(應(yīng)具有安全管理制度修訂記錄)
三、安全管理機(jī)構(gòu)
1、應(yīng)設(shè)立信息安全管理工作的職能部門(mén)
2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人
3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表)
4、安全管理員應(yīng)是專(zhuān)職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組(最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任)
7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批(如系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問(wèn)等),審批部門(mén)是何部門(mén),審批人是何人。審批程序:
8、應(yīng)與其它部門(mén)之間及內(nèi)部各部門(mén)管理人員定期進(jìn)行溝通(信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開(kāi)會(huì)議)
9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄,定期:
10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄(如會(huì)議記錄/紀(jì)要,信息安全工作決策文檔等)
11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應(yīng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。
13、聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn)(具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄)
14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應(yīng)定期進(jìn)行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報(bào)告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門(mén)/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作(錄用過(guò)程)
2、應(yīng)對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)進(jìn)行審查,對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核,技能考核文檔或記錄
3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容)
4、應(yīng)設(shè)定關(guān)鍵崗位,對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限(離崗人員所有訪問(wèn)權(quán)限終止的記錄)
6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應(yīng)辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(kāi)(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識(shí)、安全技能等。
9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。
10、應(yīng)對(duì)各類(lèi)人員(普通用戶(hù)、運(yùn)維人員、單位領(lǐng)導(dǎo)等)進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。
11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)(安全教育和培訓(xùn)的結(jié)果記錄,記錄應(yīng)與培訓(xùn)計(jì)劃一致)
12、外部人員進(jìn)入條件(對(duì)哪些重要區(qū)域的訪問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入),外部人員進(jìn)入的訪問(wèn)控制(由專(zhuān)人全程陪同或監(jiān)督等)
13、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的書(shū)面申請(qǐng)
14、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的登記記錄(記錄描述了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)(具有定級(jí)文檔,明確信息系統(tǒng)安全保護(hù)等級(jí))
2、應(yīng)具有系統(tǒng)建設(shè)/整改方案
3、應(yīng)授權(quán)專(zhuān)門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,由何部門(mén)/何人負(fù)責(zé)
4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃(系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃)
5、應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定(配套文件的論證評(píng)審記錄或文檔)
6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂
7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本
8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷(xiāo)售許可等,應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品
10、應(yīng)具有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)
11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測(cè)試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專(zhuān)人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊(cè)
14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)
17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼(該軟件包的惡意代碼檢測(cè)報(bào)告),檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔
20、應(yīng)指定專(zhuān)門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試(第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告)
23、應(yīng)具有工程測(cè)試驗(yàn)收方案(測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告
25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作(具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn))
26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書(shū))以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。
29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)
11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測(cè)試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專(zhuān)人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊(cè)
14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)
17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼(該軟件包的惡意代碼檢測(cè)報(bào)告),檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔
20、應(yīng)指定專(zhuān)門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試(第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告)
23、應(yīng)具有工程測(cè)試驗(yàn)收方案(測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告
25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作(具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn))
26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書(shū))以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。
29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)
六、系統(tǒng)運(yùn)維管理
1、應(yīng)指定專(zhuān)人或部門(mén)對(duì)機(jī)房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進(jìn)行定期維護(hù),由何部門(mén)/何人負(fù)責(zé)。
2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄,空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄
3、應(yīng)指定部門(mén)和人員負(fù)責(zé)機(jī)房安全管理工作
4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理(工作人員離開(kāi)座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件)
5、應(yīng)具有資產(chǎn)清單(覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門(mén)等方面)
6、應(yīng)指定資產(chǎn)管理的責(zé)任部門(mén)或人員
7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)
8、介質(zhì)存放于何種環(huán)境中,應(yīng)對(duì)存放環(huán)境實(shí)施專(zhuān)人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專(zhuān)用存儲(chǔ)空間))
9、應(yīng)具有介質(zhì)使用管理記錄,應(yīng)記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制
11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理,并定期盤(pán)點(diǎn)(介質(zhì)歸檔和查詢(xún)的記錄、存檔介質(zhì)定期盤(pán)點(diǎn)的記錄)
12、對(duì)送出維修或銷(xiāo)毀的介質(zhì)如何管理,銷(xiāo)毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。(對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷(xiāo)毀前是否有領(lǐng)導(dǎo)批準(zhǔn))(送修記錄、帶出記錄、銷(xiāo)毀記錄)
13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ),異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專(zhuān)用存儲(chǔ)空間)
14、介質(zhì)上應(yīng)具有分類(lèi)的標(biāo)識(shí)或標(biāo)簽
15、應(yīng)對(duì)各類(lèi)設(shè)施、設(shè)備指定專(zhuān)人或?qū)iT(mén)部門(mén)進(jìn)行定期維護(hù)。
16、應(yīng)具有設(shè)備操作手冊(cè)
17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程,由何人審批(審批記錄)
18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等
19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警
20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄
21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審
22、應(yīng)具有異常現(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告
23、應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理
24、應(yīng)指定專(zhuān)人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作
25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí),更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份(網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄)
26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描,并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。
27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則,應(yīng)對(duì)配置文件進(jìn)行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(lèi)(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門(mén)網(wǎng)絡(luò)等)應(yīng)都得到授權(quán)與批準(zhǔn),由何人/何部門(mén)批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理
30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書(shū),應(yīng)具有網(wǎng)絡(luò)違規(guī)行為(如撥號(hào)上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試,并對(duì)重要文件進(jìn)行備份。
32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄
33、應(yīng)對(duì)系統(tǒng)管理員用戶(hù)進(jìn)行分類(lèi)(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等)
34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析(有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告)
35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育,如告知應(yīng)及時(shí)升級(jí)軟件版本(對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔)
36、應(yīng)指定專(zhuān)人對(duì)惡意代碼進(jìn)行檢測(cè),并保存記錄。
37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄
38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄(代碼庫(kù)的升級(jí)記錄),對(duì)各類(lèi)防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件,如何處理
39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。
41、重要系統(tǒng)的變更申請(qǐng)書(shū),應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)
42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性
44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔
45、應(yīng)對(duì)安全事件記錄分析文檔
46、應(yīng)具有不同事件的應(yīng)急預(yù)案
47、應(yīng)具有應(yīng)急響應(yīng)小組,應(yīng)具備應(yīng)急設(shè)備并能正常工作,應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。
48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)(應(yīng)急預(yù)案培訓(xùn)記錄)
49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練(應(yīng)急預(yù)案演練記錄)50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新
51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。
第五篇:醫(yī)院落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度的具體措施
**醫(yī)院落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度的具體措施
一、信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作,在中國(guó)、美國(guó)等很多國(guó)家都存在的一種信息安全領(lǐng)域的工作。在中國(guó),信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作;狹義上稱(chēng)為的一般指信息系統(tǒng)安全等級(jí)保護(hù),是指對(duì)國(guó)家安全、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置的綜合性工作。
二、工作目標(biāo)
信息系統(tǒng)運(yùn)營(yíng)使用單位在做好信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案工作基礎(chǔ)上,按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求,開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作。通過(guò)落實(shí)安全責(zé)任制,開(kāi)展管理制度建設(shè)、技術(shù)措施建設(shè),落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,使信息系統(tǒng)安全管理水平明顯提高,安全保護(hù)能力明顯增強(qiáng),安全隱患和安全事故明顯減少,有效保障信息化健康發(fā)展,維護(hù)國(guó)家安全、社會(huì)秩序和公共利益。
三、工作內(nèi)容
信息系統(tǒng)運(yùn)營(yíng)使用單位在開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作中,應(yīng)按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求,堅(jiān)持管理和技術(shù)并重 的原則,將技術(shù)措施和管理措施有機(jī)結(jié)合,建立信息系統(tǒng)綜合防護(hù)體系,提高信息系統(tǒng)整體安全保護(hù)能力。我院依據(jù)《國(guó)家信息安全等級(jí)保護(hù)度(二級(jí))》,落實(shí)信息安全責(zé)任制,建立并落實(shí)各類(lèi)安全管理制度,開(kāi)展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作,落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)施。
四、等級(jí)劃分
《信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)管理辦法》規(guī)定,國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí):
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損
害國(guó)家安全。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
五、安全保護(hù)能力目標(biāo)
各級(jí)信息系統(tǒng)應(yīng)通過(guò)安全建設(shè)達(dá)到以下安全保護(hù)能力目標(biāo): 第一級(jí)信息系統(tǒng):經(jīng)過(guò)安全建設(shè)整改,信息系統(tǒng)具有抵御一般性攻擊的能力,防范常見(jiàn)計(jì)算機(jī)病毒和惡意代碼危害的能力;系統(tǒng)遭到損害后,具有恢復(fù)系統(tǒng)主要功能的能力。
第二級(jí)信息系統(tǒng):經(jīng)過(guò)安全建設(shè)整改,信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力,抵抗一般的自然災(zāi)害的能力,防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力;具有檢測(cè)常見(jiàn)的攻擊行為,并對(duì)安全事件進(jìn)行記錄的能力;系統(tǒng)遭到損害后,具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。
第三級(jí)信息系統(tǒng):經(jīng)過(guò)安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力,抵抗較為嚴(yán)重的自然災(zāi)害的能力,防范計(jì)算機(jī)病毒和惡意代碼危害的能力;具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力;具有對(duì)安全事件進(jìn)行響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力;對(duì)于服務(wù)保障性要求高的系統(tǒng),應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài);具有對(duì)系統(tǒng)資源、用戶(hù)、安全機(jī)制等進(jìn)行集中控管的能力。
第四級(jí)信息系統(tǒng):經(jīng)過(guò)安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對(duì)勢(shì)力有組織的大規(guī)模攻擊的能力,抵抗嚴(yán)重的自然災(zāi)害的能力,防范計(jì)算機(jī)病毒和惡意代碼危害的能力;具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力;具有對(duì)安全事件進(jìn)行快速響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力;對(duì)于服務(wù)保障性要求高的系統(tǒng),應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài);具有對(duì)系統(tǒng)資源、用戶(hù)、安全機(jī)制等進(jìn)行集中控管的能力。
第五級(jí)安全保護(hù)能力:(略)。
六、實(shí)施原則
信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施過(guò)程中,遵循以下四條基本原則: 自主保護(hù)原則:信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門(mén)按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn),自主確定信息系統(tǒng)的安全保護(hù)等級(jí),自行組織實(shí)施安全保護(hù)。
重點(diǎn)保護(hù)原則:根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn),通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng),實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù),集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。
同步建設(shè)原則:信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案,投入一定比例的資金建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相適應(yīng)。
動(dòng)態(tài)調(diào)整原則:要跟蹤信息系統(tǒng)的變化情況,調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類(lèi)型、范圍等條件的變化及其他原因,安全保護(hù)等級(jí)需要變更的,應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求,重新確定信息系統(tǒng)的安全保護(hù)等級(jí),根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況,重新實(shí)施安全保護(hù)。
七、信息安全等級(jí)保護(hù)計(jì)劃
依據(jù)我院信息等級(jí)保護(hù)現(xiàn)狀制定以下原則、計(jì)劃
1、原則:遵循重點(diǎn)保護(hù)原則,準(zhǔn)備對(duì)我院重點(diǎn)信息系統(tǒng)進(jìn)行保護(hù),系統(tǒng)有:HIS系統(tǒng)、電子病歷系統(tǒng)、PACS系統(tǒng)、LIS系統(tǒng)。其他信息系統(tǒng)于以上系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、制度安全同樣適用,因此采用自主保護(hù)原則實(shí)行保護(hù)。
2、計(jì)劃:計(jì)劃用三年左右的時(shí)間對(duì)我院信息系統(tǒng),按照等級(jí)保護(hù)目標(biāo)、內(nèi)容、二級(jí)甲等醫(yī)院信息等級(jí)保護(hù)要求、實(shí)施原則,實(shí)施信息安全等級(jí)保護(hù)制度。2014年年末首先對(duì)HIS系統(tǒng)進(jìn)行信息等級(jí)保護(hù)評(píng)測(cè),2015年安排對(duì)電子病歷系統(tǒng)進(jìn)行評(píng)測(cè),2016年安排對(duì)PACS系統(tǒng)、LIS系統(tǒng)進(jìn)行評(píng)測(cè)。
八、信息安全等級(jí)保護(hù)工作實(shí)施措施
(一)、加強(qiáng)領(lǐng)導(dǎo)
設(shè)立以分管院長(zhǎng)為核心的信息安全領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組辦公室設(shè)在信息科科,由***同志兼任主任,***同志負(fù)責(zé)具體工作。
(二)、工作步驟及任務(wù)
1、做好系統(tǒng)定級(jí)工作。定級(jí)系統(tǒng)包括HIS系統(tǒng)、電子病歷系統(tǒng)、PACS系統(tǒng)、LIS系統(tǒng)。定級(jí)標(biāo)準(zhǔn)按二級(jí)甲等醫(yī)院和***公安局要求定級(jí)。
2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級(jí)保護(hù)劃分 定級(jí)要求,對(duì)信息系統(tǒng)進(jìn)行定級(jí)后,將本單位《信息系統(tǒng)安全等級(jí)保護(hù)備案表》《信息系統(tǒng)定級(jí)報(bào)告》和備案電子數(shù)據(jù)報(bào)***公安局。
3、做好系統(tǒng)等級(jí)測(cè)評(píng)工作。完成定級(jí)備案后,選擇縣公安局推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu),對(duì)已確定安全保護(hù)等級(jí)信息系統(tǒng),按照國(guó)家信息
安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)開(kāi)展等級(jí)測(cè)評(píng)。
4、完善等級(jí)保護(hù)體系建設(shè)做好整改工作。按照測(cè)評(píng)報(bào)告評(píng)測(cè)初稿結(jié)果,對(duì)照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等有關(guān)標(biāo)準(zhǔn),組織開(kāi)展等級(jí)保護(hù)安全建設(shè)整改工作。
5、整改結(jié)束后,及時(shí)將整改結(jié)果反饋到評(píng)測(cè)機(jī)構(gòu),由評(píng)測(cè)機(jī)構(gòu)出據(jù)評(píng)測(cè)報(bào)告,及時(shí)將測(cè)評(píng)機(jī)構(gòu)出具的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》向***公安局報(bào)備。
***醫(yī)院信息科
2014-11 6
點(diǎn)擊咨詢(xún) 