第一篇:臨沂中醫(yī)醫(yī)院信息安全等級保護(hù)測評項(xiàng)目
臨沂市中醫(yī)醫(yī)院信息安全等級保護(hù)測評項(xiàng)目
集中競價(jià)采購須知
為了公開、公平、公正地集中競價(jià)采購,本著合理、競爭、經(jīng)濟(jì)的原則,我院擬對本次采購活動參照招標(biāo)形式進(jìn)行集中競價(jià),相關(guān)事項(xiàng)如下:
第一部分
項(xiàng)目要求
一、項(xiàng)目背景
為了提高信息系統(tǒng)的安全保護(hù)水平,按照國家法律法規(guī)和有關(guān)部門相關(guān)要求,聘請第三方專業(yè)機(jī)構(gòu),在全面了解臨沂市中醫(yī)院現(xiàn)有信息化現(xiàn)況的基礎(chǔ)上,開展信息系統(tǒng)安全等級保護(hù)測評工作。通過本次工作,發(fā)現(xiàn)信息系統(tǒng)中存在的安全風(fēng)險(xiǎn),分析信息系統(tǒng)安全現(xiàn)狀與相關(guān)政策文件、技術(shù)標(biāo)準(zhǔn)內(nèi)容要求的符合性情況,完善工作制度,提出安全建設(shè)加固建議。切實(shí)加強(qiáng)信息安全防范水平,提高系統(tǒng)抵御風(fēng)險(xiǎn)的能力。
二、項(xiàng)目目標(biāo)、內(nèi)容
按照國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)和要求,對其HIS、電子病歷系統(tǒng)(三級)、PACS和網(wǎng)站(二級)安全等級保護(hù)測評工作,找出系統(tǒng)現(xiàn)狀與相關(guān)標(biāo)準(zhǔn)要求之間的差距,遵循適度原則,提出切實(shí)可行的整改建議,完成等級保護(hù)測評報(bào)告,并提供后續(xù)檢測服務(wù)。
三、項(xiàng)目實(shí)施參照法律法規(guī)及標(biāo)準(zhǔn) ? 《網(wǎng)絡(luò)安全法》
? 公安部、國家保密局、國際密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號); ? 公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定的《信息安全等級保護(hù)管理辦法》(公通字 [2007]43號)。
? 《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)
? 《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T 22240-2008)? 《信息安全技術(shù)
信息系統(tǒng)安全等級保護(hù)實(shí)施指南》 ? 《信息安全技術(shù)
信息系統(tǒng)安全等級保護(hù)測評要求》 ? 《信息安全技術(shù)
信息系統(tǒng)安全等級保護(hù)測評過程指南》 ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB 17859-1999)? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T 20270-2006)
? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T 20272-2006)? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》(GB/T 21028-2007)
? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T 671-2006)? 《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)? GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評估準(zhǔn)則
四、項(xiàng)目內(nèi)容
1.等級測評
通過詳細(xì)的系統(tǒng)調(diào)研,開展對其HIS、LIS系統(tǒng)(三級)、PACS和網(wǎng)站(二級)的等級保護(hù)測評工作,找出安全現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距,并遵循適度安全的原則,協(xié)助制定安全整改建設(shè)方案,指導(dǎo)整改工作。最終完成等級保護(hù)測評報(bào)告。
測評的內(nèi)容包括但不限于以下內(nèi)容:
? 安全技術(shù)測評:包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測評;
? 安全管理測評:安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測評。
(1)、物理安全
根據(jù)臨沂市中醫(yī)院信息系統(tǒng)機(jī)房和現(xiàn)場安全測評記錄,針對機(jī)房和現(xiàn)場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn)行,判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。中標(biāo)人出具加蓋CNAS章的機(jī)房檢測報(bào)告。(2)、網(wǎng)絡(luò)安全
根據(jù)臨沂市中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全測評記錄,針對網(wǎng)絡(luò)方面在“結(jié)構(gòu)安全”、“訪問控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查,判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。
(3)、主機(jī)安全
主機(jī)安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)服務(wù)器的測評,測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”。(4)、應(yīng)用安全
應(yīng)用安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)的測評,測評內(nèi)容包括“身份鑒
別”、“訪問控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯(cuò)”、“資源控制”方面。(5)、數(shù)據(jù)安全及備份恢復(fù)
臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場測評包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個(gè)方面的測評。(6)、安全管理制度
根據(jù)現(xiàn)場安全測評記錄,針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標(biāo),判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。(7)、安全管理機(jī)構(gòu)
根據(jù)現(xiàn)場安全測評記錄,針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標(biāo),判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。(8)、人員安全管理
根據(jù)現(xiàn)場安全測評記錄,針對臨沂市中醫(yī)院信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓(xùn)”以及“外部人員訪問管理”等測評指標(biāo),判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。(9)、系統(tǒng)建設(shè)管理
根據(jù)現(xiàn)場安全測評記錄,針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測試驗(yàn)收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務(wù)商選擇”等測評指標(biāo),判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。(10)、系統(tǒng)運(yùn)維管理
根據(jù)現(xiàn)場安全測評記錄,針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測評指標(biāo),判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。
通過現(xiàn)場測評,逐項(xiàng)找出系統(tǒng)現(xiàn)狀與國家相關(guān)標(biāo)準(zhǔn)要求之間的差距,進(jìn)行逐項(xiàng)待整改完畢后,進(jìn)行結(jié)果確認(rèn),完成信息安全等級保護(hù)測評,出具測評報(bào)告,2.安全管理體系咨詢
協(xié)助建立符合等級保護(hù)要求的信息安全管理體系,包含信息安全方針、信息安全策略、運(yùn)行管理制度和運(yùn)維管理制度。并參照國際標(biāo)準(zhǔn)體系ISO 27001和ISO 分析、整體分析,給出差距分析報(bào)告,并給出整改建議方案。并將測評報(bào)告報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。
20000制定相應(yīng)流程,促進(jìn)臨沂市中醫(yī)院信息安全管理工作。
3.安全監(jiān)測
提供門戶網(wǎng)站7*24小時(shí)網(wǎng)站安全監(jiān)測,對網(wǎng)站頁面掛馬、篡改等事件實(shí)時(shí)監(jiān)測,發(fā)現(xiàn)問題及時(shí)通報(bào)相關(guān)人員,并安排人員及時(shí)處理。
4.應(yīng)急支援
服務(wù)期內(nèi)提供不限次數(shù)的應(yīng)急支援服務(wù),針對發(fā)生的事件協(xié)助分析事件原因,查找問題,并提供安全加固建議。
5.安全培訓(xùn)
組織技術(shù)培訓(xùn),對臨沂市中醫(yī)院的技術(shù)人員進(jìn)行等級保護(hù)、安全技術(shù)和項(xiàng)目部署要求等內(nèi)容培訓(xùn)。技術(shù)培訓(xùn)應(yīng)從實(shí)際應(yīng)用出發(fā),涵蓋網(wǎng)絡(luò)安全的如下方面: 基礎(chǔ)設(shè)施運(yùn)行安全培訓(xùn)、網(wǎng)絡(luò)安全縱深防御體系培訓(xùn)、操作系統(tǒng)安全加固技術(shù)培訓(xùn)、應(yīng)用系統(tǒng)滲透測試檢測與加固培訓(xùn)、數(shù)據(jù)庫安全管理培訓(xùn)、27001安全管理體系培訓(xùn)等。
6.信息安全風(fēng)險(xiǎn)評估
按照GB-T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范標(biāo)準(zhǔn)和要求,對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估,明確信息系統(tǒng)安全風(fēng)險(xiǎn),提出合理的、滿足等級保護(hù)要求的總體建設(shè)和管理規(guī)劃,并制定安全實(shí)施計(jì)劃,以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。
五、成果交付
該項(xiàng)目提交的文檔至少包括如下文件:
1、《臨沂市中醫(yī)院XX信息系統(tǒng)安全等級保護(hù)測評方案》
2、《臨沂市中醫(yī)院XX系統(tǒng)信息安全等級保護(hù)測評報(bào)告》
3、《臨沂市中醫(yī)院XX信息安全管理制度匯編》
4、《信息安全風(fēng)險(xiǎn)評估報(bào)告》
5、《信息安全整改方案》
第二部分
投標(biāo)方資質(zhì)要求
1、《企業(yè)法人營業(yè)執(zhí)照》副本復(fù)印件(蓋章)。
2、法定代表人身份證明書或法人授權(quán)委托書、身份證復(fù)印件。
3、投標(biāo)公司具有信息系統(tǒng)安全等級保護(hù)測評的國家相關(guān)資質(zhì),有專業(yè)技術(shù)檢測項(xiàng)目組,其中有高級測評師及中級測評師,參與技術(shù)檢測的人員均為中國公民,無違法犯罪記錄并簽訂安全保密協(xié)議。
4、同類項(xiàng)目近幾年的業(yè)績情況及客戶名單。
第三部分標(biāo)書、報(bào)價(jià)方式
1、標(biāo)書分正本1份,副本2份,并在標(biāo)書標(biāo)書袋上標(biāo)明“正本”、“副本”字樣。均固定裝訂成一冊,不能活頁裝訂或散裝,蓋單位公章和法定代表人印簽后遞交醫(yī)院招標(biāo)辦。
第四部分報(bào)送時(shí)間、地點(diǎn)
標(biāo)書報(bào)送時(shí)間截止2018年1月30日16時(shí)。(每日8:00~17:00,周六、周日除外)
標(biāo)書報(bào)送地點(diǎn):臨沂市中醫(yī)醫(yī)院門診七樓招標(biāo)辦。
第二篇:信息安全等級保護(hù)測評
TopSec可信等級體系 天融信等級保護(hù)方案
Hacker.cn 更新時(shí)間:08-03-27 09:37 來源:硅谷動力 作者:中安網(wǎng)
1.等級保護(hù)概述
1.1為什么要實(shí)行等級保護(hù)?
信息系統(tǒng)與社會組織體系是具有對應(yīng)關(guān)系的,而這些組織體系是分層次和級別的,因此各種信息系統(tǒng)是具有不同等級的重要性和社會、經(jīng)濟(jì)價(jià)值的。對信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對待就是級別的客觀要求。信息安全必須符合這些客觀要求,這就需要對信息系統(tǒng)進(jìn)行分級、分區(qū)域、分階段進(jìn)行保護(hù),這是做好國家信息安全的必要條件。
1.2等級保護(hù)的政策文件
信息安全等級保護(hù)工作非常重要,為此從2003年開始國家發(fā)布了一系列政策文件,具體如下:
2003年9月,中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號),這是我國第一個(gè)信息安全保障工作的綱領(lǐng)性文件,戰(zhàn)略目標(biāo)為經(jīng)過五年努力,基本形成國家信息安全保障體系,實(shí)行等級保護(hù)制度。
2004年11月,四部委會簽《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字[2004]66號):等級保護(hù)是今后國家信息安全的基本制度也是根本方法、等級保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月,國信辦文件,《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級保護(hù)實(shí)施指南》的通知》(國信辦[2004]25號):基本原理、定級方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營、大型復(fù)雜電子政務(wù)系統(tǒng)等級保護(hù)過程。
2005年,公安部標(biāo)準(zhǔn):《等級保護(hù)安全要求》、《等級保護(hù)定級指南》、《等級保護(hù)實(shí)施指南》、《等級保護(hù)測評準(zhǔn)則》。
2006年1月,四部委會簽《關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法的通知》(公通字[2006]7號)。
1.3 等級保護(hù)的管理結(jié)構(gòu)-北京為例
等級保護(hù)的實(shí)施和落實(shí)離不開各級管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督,這在等級保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定,下面以北京市為例來說明管理機(jī)構(gòu)的組成和職責(zé),具體如下圖所示:
1.4等級保護(hù)理論的技術(shù)演進(jìn)
在等級保護(hù)理論被提出以后,經(jīng)過相關(guān)部門的努力工作,逐漸提出了一系列原則、技術(shù)和框架,已經(jīng)具備實(shí)施等級保護(hù)工作的基礎(chǔ)條件了,其具體演進(jìn)過程如下圖所示:
1.5等級保護(hù)的基本需求
一個(gè)機(jī)構(gòu)要實(shí)施等級保護(hù),需要基本需求。由于等級保護(hù)是國家推動的旨在規(guī)范安全工作的基本工作制度,因此各級組織在這方面就存在如下需求:
(1)政策要求-符合等級保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級別的指標(biāo),符合《測評準(zhǔn)則》中的要求。
(2)實(shí)際需求-適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性,可工程化實(shí)施。
1.6基本安全要求的結(jié)構(gòu)
對系統(tǒng)進(jìn)行定級后,需要通過努力達(dá)到相應(yīng)等級的基本安全要求,在總體上分為技術(shù)要求和管理要求,技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全,在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng),具體如下圖所示:
2.等級保護(hù)實(shí)施中的困難與出路
由于等級保護(hù)制度還處于探討階段,目前來看,尚存在如下困難:
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng),否則:
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
3.管理難度太大,管理成本高
4.大型客戶最關(guān)注的關(guān)鍵要求指標(biāo)超出《基本要求》規(guī)定
針對上述問題,在下面幾小節(jié)分別給出了堅(jiān)決辦法。
2.1安全體系設(shè)計(jì)方法
需求分析-1
問題1:標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
需求:從組織整體出發(fā),綜合考核所有系統(tǒng)
方法:引入體系設(shè)計(jì)方法
2.2保護(hù)對象框架設(shè)計(jì)方法
需求分析-2
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
需求:準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述,反映實(shí)際特性和差異性安全要求
方法:引入保護(hù)對象框架設(shè)計(jì)方法
保護(hù)對象框架-政府行業(yè)
保護(hù)對象框架-電信行業(yè)
保護(hù)對象框架-銀行業(yè)
2.3安全平臺的設(shè)計(jì)與建設(shè)方法
需求分析-3
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
需求:統(tǒng)一規(guī)劃,集中建設(shè),避免重復(fù)和分散,降低成本,提高建設(shè)水平
方法:引入安全平臺的設(shè)計(jì)與建設(shè)方法
平臺定義:為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境
2.4建立安全運(yùn)行體系
需求分析-4
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
需求:建立長效機(jī)制,建立可持續(xù)運(yùn)行、發(fā)展和完善的體系
方法:建立安全運(yùn)行體系
2.5安全運(yùn)維工作過程
需求分析-5
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
3.管理難度太大,管理成本高
需求:需要高水平、自動化的安全管理工具
方法:TSM安全管理平臺
2.6 TNA可信網(wǎng)絡(luò)架構(gòu)模型
需求分析-6
1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā),但實(shí)際工作是從組織整體出發(fā),整體考慮所有系統(tǒng)
a)各系統(tǒng)單獨(dú)保護(hù),將沖突和割裂,形成信息孤島
b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難
c)各系統(tǒng)安全單獨(dú)建設(shè),將造成分散、重復(fù)和低水平
2.在建立長效機(jī)制方面考慮較少,難以做到可持續(xù)運(yùn)行、發(fā)展和完善
3.管理難度太大,管理成本高
4.大型客戶最關(guān)注的關(guān)鍵指標(biāo)超出《基本要求》規(guī)定
需求:在《基本要求》基礎(chǔ)上提出更強(qiáng)的措施,滿足客戶最關(guān)注的指標(biāo)
方法:引入可信計(jì)算的理念,提供可信網(wǎng)絡(luò)架構(gòu)
3.總體解決方案-TopSec可信等級體系
按照上面解決等級保護(hù)目前困難的方法,總體解決方案就是建立TopSec可信等級體系:
遵照國家等級保護(hù)制度、滿足客戶實(shí)際需求,采用等級化、體系化和可信保障相結(jié)合的方法,為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。
實(shí)施后狀態(tài):一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系,是企業(yè)或組織安全工作所追求的最終目標(biāo)
特質(zhì):
等級化:突出重點(diǎn),節(jié)省成本,滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求
整體性:結(jié)構(gòu)化,內(nèi)容全面,可持續(xù)發(fā)展和完善,持續(xù)運(yùn)行
針對性:針對實(shí)際情況,符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略
3.1可信等級體系設(shè)計(jì)方法
3.2信息安全保障體系總體框架
3.3體系設(shè)計(jì)的成果
安全組織體系
安全策略體系
安全技術(shù)體系
安全運(yùn)行體系
3.4安全體系的實(shí)現(xiàn)
4.成功案例
某國有大型企業(yè)已經(jīng)采用了我們的可信等級體系,取得了良好的效果。
第三篇:《信息安全等級保護(hù)測評機(jī)構(gòu)管理辦法》最新
信息安全等級保護(hù)測評機(jī)構(gòu)管理辦法
第一條 為加強(qiáng)信息安全等級保護(hù)測評機(jī)構(gòu)管理,規(guī)范等級測評行為,提高測評技術(shù)能力和服務(wù)水平,根據(jù)《信息安全等級保護(hù)管理辦法》等有關(guān)規(guī)定,制定本辦法。
第二條 等級測評工作,是指等級測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。
等級測評機(jī)構(gòu),是指依據(jù)國家信息安全等級保護(hù)制度規(guī)定,具備本辦法規(guī)定的基本條件,經(jīng)審核推薦,從事等級測評等信息安全服務(wù)的機(jī)構(gòu)。
第三條 等級測評機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針,按照“誰推薦、誰負(fù)責(zé),誰審核、誰負(fù)責(zé)”的原則有序開展。
第四條 等級測評機(jī)構(gòu)應(yīng)以提供等級測評服務(wù)為主,可根據(jù)信息系統(tǒng)運(yùn)營使用單位安全保障需求,提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。
第五條 國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室(以下簡稱“國家等保辦”)負(fù)責(zé)受理隸屬國家信息安全職能部門和重點(diǎn)行業(yè)主管部門申請單位提出的申請,并對其推薦的等級測評機(jī)構(gòu)進(jìn)行監(jiān)督管理。
省級信息安全等級保護(hù)工作協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室(以下簡稱“省級等保辦”)負(fù)責(zé)受理本省(區(qū)、直轄市)申請單位提出的申請,并對其推薦的等級測評機(jī)構(gòu)進(jìn)行監(jiān)督管理。
第六條 申請成為等級測評機(jī)構(gòu)的單位(以下簡稱“申請單位”)應(yīng)具備以下基本條件:
(一)在中華人民共和國境內(nèi)注冊成立,由中國公民、法人投資或者國家投資的企事業(yè)單位;
(二)產(chǎn)權(quán)關(guān)系明晰,注冊資金100萬元以上;
(三)從事信息系統(tǒng)安全相關(guān)工作兩年以上,無違法記錄;
(四)測評人員僅限于中華人民共和國境內(nèi)的中國公民,且無犯罪記錄;
(五)具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員,不少于10人;
(六)具備必要的辦公環(huán)境、設(shè)備、設(shè)施,使用的技術(shù)裝備、設(shè)施應(yīng)滿足測評工作需求;
(七)具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等規(guī)章制度;
(八)自覺接受等保辦的監(jiān)督、檢查和指導(dǎo),對國家安全、社會秩序、公共利益不構(gòu)成威脅;
(九)不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù);
(十)應(yīng)具備的其他條件。
第七條 申請時(shí),申請單位應(yīng)向等保辦提交以下材料:
(一)《信息安全等級保護(hù)測評機(jī)構(gòu)申請表》;
(二)從事信息系統(tǒng)安全相關(guān)工作情況;
(三)檢測評估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況;
(四)有關(guān)管理制度建設(shè)情況;
(五)申請單位及其測評人員基本情況;
(六)應(yīng)提交的其他材料。
等保辦收到申請材料后,應(yīng)在10個(gè)工作日內(nèi)組織初審,并出具初審結(jié)果告知書。
第八條 通過初審的申請單位,應(yīng)及時(shí)參加指定評估機(jī)構(gòu)組織的測評人員培訓(xùn)。考試合格的人員,取得等級測評師證書。
等級測評師分為初級、中級和高級。申請單位應(yīng)至少有10人獲得等級測評師證書,其中高級和中級測評師均不得少于1人。
第九條 指定評估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對申請單位開展能力評估,出具信息安全等級保護(hù)測評機(jī)構(gòu)能力評估報(bào)告,并及時(shí)將申請單位能力評估有關(guān)情況報(bào)送等保辦。
第十條 等保辦組織專家對通過能力評估的申請單位進(jìn)行審核。審核通過的,頒發(fā)《信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書》。
省級等保辦應(yīng)及時(shí)將本地等級測評機(jī)構(gòu)推薦情況報(bào)國家等保辦,國家等保辦定期發(fā)布公告,在《中國信息安全等級保護(hù)網(wǎng)》發(fā)布《全國信息安全等級保護(hù)測評機(jī)構(gòu)推薦目錄》。
第十一條 下列事項(xiàng)發(fā)生變更時(shí),等級測評機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。
(一)等級測評機(jī)構(gòu)名稱、地址、測評人員和主要負(fù)責(zé)人發(fā)生變更的;
(二)等級測評機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的;
(三)其他重大事項(xiàng)發(fā)生變更的。
省級等保辦應(yīng)及時(shí)將等級測評機(jī)構(gòu)變更情況報(bào)國家等保辦。
第十二條 信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書有效期為三年。等級測評機(jī)構(gòu)應(yīng)在推薦證書期滿前30日內(nèi),向等保辦申請復(fù)審。復(fù)審?fù)ㄟ^的等級測評機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過的,等保辦應(yīng)督促其限期整改。
省級等保辦應(yīng)及時(shí)將等級測評機(jī)構(gòu)期滿復(fù)審情況報(bào)國家等保辦。
第十三條 等級測評師上崗前,等級測評機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的,由等級測評機(jī)構(gòu)配發(fā)上崗證。未取得測評師證書和上崗證的,不得參與等級測評項(xiàng)目。
等級測評師離職前,等級測評機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書,并收回上崗證。
第十四條 等級測評師應(yīng)妥善保管等級測評師證書、上崗證,不得涂改、出借、出租和轉(zhuǎn)讓。
第十五條 等級測評機(jī)構(gòu)應(yīng)加強(qiáng)對本機(jī)構(gòu)等級測評師的監(jiān)督管理,定期組織開展安全保密教育和業(yè)務(wù)培訓(xùn)。
第十六條 等級測評機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級保護(hù)標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開展等級測評工作,依據(jù)模板出具信息系統(tǒng)安全等級測評報(bào)告,確保測評質(zhì)量,全面、客觀地反映被測信息系統(tǒng)的安全保護(hù)狀況。
第十七條 等級測評機(jī)構(gòu)開展測評項(xiàng)目不受地域、行業(yè)限制。等級測評機(jī)構(gòu)應(yīng)在測評項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi),向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級測評項(xiàng)目有關(guān)情況。
第十八條 測評項(xiàng)目實(shí)施過程中,等級測評機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測評項(xiàng)目完成后,等級測評機(jī)構(gòu)應(yīng)請被測評信息系統(tǒng)運(yùn)營使用單位對測評服務(wù)情況進(jìn)行評價(jià),評價(jià)情況由被測單位反饋等保辦。
第十九條 等級測評機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測評工作開展情況。根據(jù)測評實(shí)踐,每年底編制并報(bào)送信息系統(tǒng)安全狀況分析報(bào)告。第二十條 等級測評機(jī)構(gòu)實(shí)行等級化管理。根據(jù)信息系統(tǒng)測評數(shù)量、機(jī)構(gòu)規(guī)模、測評技術(shù)能力和服務(wù)質(zhì)量等指標(biāo),對等級測評機(jī)構(gòu)劃分為五個(gè)星級,最低為一星級,最高為五星級。等級測評機(jī)構(gòu)星級評定標(biāo)準(zhǔn)由國家等保辦另行制定。
第二十一條 等級測評機(jī)構(gòu)應(yīng)于每年底向等保辦提交星級評定所需材料。
等保辦負(fù)責(zé)組織所推薦等級測評機(jī)構(gòu)的星級評定審核工作,并出具星級評定意見。省級等保辦應(yīng)及時(shí)將評定意見報(bào)國家等保辦審定,國家等保辦定期發(fā)布星級評定結(jié)果。
第二十二條 取得信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書未滿一年的,不參加星級評定。
第二十三條 等保辦負(fù)責(zé)對所推薦等級測評機(jī)構(gòu)的日常監(jiān)督檢查、測評項(xiàng)目抽查和年審工作,及時(shí)掌握等級測評機(jī)構(gòu)工作情況。
第二十四條 等保辦應(yīng)于每年底對所推薦的等級測評機(jī)構(gòu)進(jìn)行年審。等級測評機(jī)構(gòu)自推薦之日起未滿6個(gè)月的,當(dāng)年可免予年審。年審時(shí),等級測評機(jī)構(gòu)應(yīng)提交以下材料:
(一)《信息安全等級保護(hù)測評機(jī)構(gòu)年審表》;
(二)信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書副本;
(三)測評工作總結(jié);
(四)其他所需材料。
第二十五條
國家等保辦負(fù)責(zé)組織開展等級測評機(jī)構(gòu)能力驗(yàn)證和抽查工作。
第二十六條 等級測評機(jī)構(gòu)有下列情形之一的,等保辦應(yīng)責(zé)令其限期整改;情形嚴(yán)重的,予以通報(bào)。
(一)未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測評或未按規(guī)定出具信息系統(tǒng)安全等級測評報(bào)告的;
(二)影響被測評信息系統(tǒng)正常運(yùn)行,危害被測評信息系統(tǒng)安全的;
(三)非授權(quán)占有、使用,未妥善保管等級測評相關(guān)資料及數(shù)據(jù)文件的;
(四)分包或轉(zhuǎn)包等級測評項(xiàng)目,以及擾亂測評市場秩序的;
(五)限定被測評單位購買、使用指定信息安全產(chǎn)品的;
(六)測評人員未取得等級測評師證書和上崗證從事等級測評活動的;
(七)未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的;
(八)其他違反等級測評有關(guān)規(guī)定的行為。
第二十七條 等級測評機(jī)構(gòu)有下列情形之一的,等保辦應(yīng)取消其信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書,并向社會公告。
(一)因單位股權(quán)、人員等情況發(fā)生變動,不符合等級測評機(jī)構(gòu)基本條件的;
(二)有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的;
(三)故意泄露被測評單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的;
(四)故意隱瞞測評過程中發(fā)現(xiàn)的安全問題,或者在測評過程中弄虛作假未如實(shí)出具等級測評報(bào)告的;
(五)一年內(nèi)未開展信息系統(tǒng)測評工作或自愿退出《全國信息安全等級保護(hù)測評機(jī)構(gòu)推薦目錄》的;
(六)連續(xù)兩年年審不合格或限期整改后仍未通過復(fù)審的;
(七)違反本辦法第二十六條規(guī)定,情節(jié)特別嚴(yán)重的。第二十八條 等級測評師有下列行為之一的,等保辦應(yīng)責(zé)令等級測評機(jī)構(gòu)督促其限期改正;情節(jié)嚴(yán)重的,責(zé)令等級測評機(jī)構(gòu)暫停其參與測評工作;情形特別嚴(yán)重的,應(yīng)注銷其等級測評師證書,并對其所在等級測評機(jī)構(gòu)進(jìn)行通報(bào)。
(一)未經(jīng)允許擅自使用或泄露、出售等級測評工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級測評報(bào)告的;
(二)違反本辦法第十四條規(guī)定,未妥善保管等級測評師證書、上崗證,有涂改、出借、出租和轉(zhuǎn)讓等行為的;
(三)測評行為失誤或不當(dāng),影響信息系統(tǒng)安全或造成運(yùn)營使用單位利益損失的;
(四)其他違反等級測評有關(guān)規(guī)定的行為。第二十九條 等級測評機(jī)構(gòu)及其等級測評師違反本辦法的相關(guān)規(guī)定,給被測評信息系統(tǒng)運(yùn)營使用單位造成嚴(yán)重危害和損失的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。
第三十條 任何單位和個(gè)人如發(fā)現(xiàn)等級測評機(jī)構(gòu)、等級測評師有違法、違規(guī)行為的,可向國家等保辦舉報(bào)、投訴。
第三十一條 本辦法由國家等保辦負(fù)責(zé)解釋。第三十二條 本辦法自發(fā)布之日起實(shí)施。
第四篇:信息安全等級保護(hù)
信息安全等級保護(hù)(二級)信息安全等級保護(hù)(二級)備注:其中黑色字體為信息安全等級保護(hù)第二級系統(tǒng)要求,藍(lán)色字體為第三級系統(tǒng)等保要求。
一、物理安全
1、應(yīng)具有機(jī)房和辦公場地的設(shè)計(jì)/驗(yàn)收文檔(機(jī)房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施)
2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請、審批記錄;來訪人員進(jìn)入機(jī)房的登記記錄
3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求);電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì),電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄
4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記
5、介質(zhì)有分類標(biāo)識;介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類存放
6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng);機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收報(bào)告;機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄;
7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測試和驗(yàn)收報(bào)告;機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄
8、應(yīng)具有機(jī)房建筑的避雷裝置;通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測;
9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器;具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報(bào)告
10、應(yīng)具有自動檢測火情、自動報(bào)警、自動滅火的自動消防系統(tǒng);自動消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄;消防產(chǎn)品有效期合格;自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品
11、應(yīng)具有除濕裝置;空調(diào)機(jī)和加濕器;溫濕度定期檢查和維護(hù)記錄
12、應(yīng)具有水敏感的檢測儀表或元件;對機(jī)房進(jìn)行防水檢測和報(bào)警;防水檢測裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄
13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施;溫濕度自動調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄
14、應(yīng)具有短期備用電力供應(yīng)設(shè)備(如UPS);短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄
15、應(yīng)具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應(yīng)具有備用供電系統(tǒng)(如備用發(fā)電機(jī));備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄
二、安全管理制度
1、應(yīng)具有對重要管理操作的操作規(guī)程,如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程
2、應(yīng)具有安全管理制度的制定程序:
3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進(jìn)行版本控制)
4、應(yīng)對制定的安全管理制度進(jìn)行論證和審定,論證和審定方式如何(如召開評審會、函審、內(nèi)部審核等),應(yīng)具有管理制度評審記錄
5、應(yīng)具有安全管理制度的收發(fā)登記記錄,收發(fā)應(yīng)通過正式、有效的方式(如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等)----安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進(jìn)行登記。
6、信息安全領(lǐng)導(dǎo)小組定期對安全管理制度體系的合理性和適用性進(jìn)行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對安全管理制度進(jìn)行檢查,對需要改進(jìn)的制度進(jìn)行修訂。(應(yīng)具有安全管理制度修訂記錄)
三、安全管理機(jī)構(gòu)
1、應(yīng)設(shè)立信息安全管理工作的職能部門
2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人
3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對應(yīng)關(guān)系表)
4、安全管理員應(yīng)是專職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組(最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任)
7、應(yīng)對重要信息系統(tǒng)活動進(jìn)行審批(如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通(信息安全領(lǐng)導(dǎo)小組或者安全管理委員會應(yīng)定期召開會議)
9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄(如會議記錄/紀(jì)要,信息安全工作決策文檔等)
11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應(yīng)組織人員定期對信息系統(tǒng)進(jìn)行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應(yīng)定期進(jìn)行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報(bào)告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作(錄用過程)
2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查,對技術(shù)人員的技術(shù)技能進(jìn)行考核,技能考核文檔或記錄
3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容)
4、應(yīng)設(shè)定關(guān)鍵崗位,對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限(離崗人員所有訪問權(quán)限終止的記錄)
6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應(yīng)辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識、安全技能等。
9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會關(guān)系等。
10、應(yīng)對各類人員(普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等)進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。
11、應(yīng)針對不同崗位制定不同的培訓(xùn)計(jì)劃,并按照計(jì)劃對各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)(安全教育和培訓(xùn)的結(jié)果記錄,記錄應(yīng)與培訓(xùn)計(jì)劃一致)
12、外部人員進(jìn)入條件(對哪些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方可進(jìn)入),外部人員進(jìn)入的訪問控制(由專人全程陪同或監(jiān)督等)
13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請
14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄(記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(具有定級文檔,明確信息系統(tǒng)安全保護(hù)等級)
2、應(yīng)具有系統(tǒng)建設(shè)/整改方案
3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,由何部門/何人負(fù)責(zé)
4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃(系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃)
5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定(配套文件的論證評審記錄或文檔)
6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂
7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本
8、應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷售許可等,應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品
10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購
11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗(yàn)收檢測
17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報(bào)告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊等開發(fā)文檔
20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試(第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗(yàn)收報(bào)告)
23、應(yīng)具有工程測試驗(yàn)收方案(測試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測試驗(yàn)收報(bào)告
25、應(yīng)指定專門部門負(fù)責(zé)測試驗(yàn)收工作(具有對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定的意見)
26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓(xùn)手冊等文檔。
29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級測評機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書
11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗(yàn)收檢測
17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報(bào)告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊等開發(fā)文檔
20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對工程實(shí)施過程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對信息系統(tǒng)進(jìn)行獨(dú)立的安全性測試(第三方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗(yàn)收報(bào)告)
23、應(yīng)具有工程測試驗(yàn)收方案(測試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測試驗(yàn)收報(bào)告
25、應(yīng)指定專門部門負(fù)責(zé)測試驗(yàn)收工作(具有對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定的意見)
26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓(xùn)手冊等文檔。
29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級測評機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書
六、系統(tǒng)運(yùn)維管理
1、應(yīng)指定專人或部門對機(jī)房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進(jìn)行定期維護(hù),由何部門/何人負(fù)責(zé)。
2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄,空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄
3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作
4、應(yīng)對辦公環(huán)境保密性進(jìn)行管理(工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件)
5、應(yīng)具有資產(chǎn)清單(覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所處部門等方面)
6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員
7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識
8、介質(zhì)存放于何種環(huán)境中,應(yīng)對存放環(huán)境實(shí)施專人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專用存儲空間))
9、應(yīng)具有介質(zhì)使用管理記錄,應(yīng)記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制
11、應(yīng)對介質(zhì)的使用情況進(jìn)行登記管理,并定期盤點(diǎn)(介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄)
12、對送出維修或銷毀的介質(zhì)如何管理,銷毀前應(yīng)對數(shù)據(jù)進(jìn)行凈化處理。(對帶出工作環(huán)境的存儲介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn))(送修記錄、帶出記錄、銷毀記錄)
13、應(yīng)對某些重要介質(zhì)實(shí)行異地存儲,異地存儲環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質(zhì)上應(yīng)具有分類的標(biāo)識或標(biāo)簽
15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)iT部門進(jìn)行定期維護(hù)。
16、應(yīng)具有設(shè)備操作手冊
17、應(yīng)對帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程,由何人審批(審批記錄)
18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等
19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報(bào)警
20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄
21、應(yīng)定期對監(jiān)控記錄進(jìn)行分析、評審
22、應(yīng)具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報(bào)告
23、應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理
24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作
25、應(yīng)對網(wǎng)絡(luò)設(shè)備進(jìn)行過升級,更新前應(yīng)對現(xiàn)有的重要文件是否進(jìn)行備份(網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄)
26、應(yīng)對網(wǎng)絡(luò)進(jìn)行過漏洞掃描,并對發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。
27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則,應(yīng)對配置文件進(jìn)行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等)應(yīng)都得到授權(quán)與批準(zhǔn),由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理
30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書,應(yīng)具有網(wǎng)絡(luò)違規(guī)行為(如撥號上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過測試,并對重要文件進(jìn)行備份。
32、應(yīng)有補(bǔ)丁測試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄
33、應(yīng)對系統(tǒng)管理員用戶進(jìn)行分類(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等)
34、審計(jì)員應(yīng)定期對系統(tǒng)審計(jì)日志進(jìn)行分析(有定期對系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告)
35、應(yīng)對員工進(jìn)行基本惡意代碼防范意識的教育,如告知應(yīng)及時(shí)升級軟件版本(對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔)
36、應(yīng)指定專人對惡意代碼進(jìn)行檢測,并保存記錄。
37、應(yīng)具有對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測的記錄
38、應(yīng)對惡意代碼庫的升級情況進(jìn)行記錄(代碼庫的升級記錄),對各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過大規(guī)模的病毒事件,如何處理
39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報(bào)告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統(tǒng)的變更申請書,應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)
42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性
44、應(yīng)有系統(tǒng)運(yùn)維過程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對應(yīng)的報(bào)告或相關(guān)文檔
45、應(yīng)對安全事件記錄分析文檔
46、應(yīng)具有不同事件的應(yīng)急預(yù)案
47、應(yīng)具有應(yīng)急響應(yīng)小組,應(yīng)具備應(yīng)急設(shè)備并能正常工作,應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實(shí)。
48、應(yīng)對系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)(應(yīng)急預(yù)案培訓(xùn)記錄)
49、應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練(應(yīng)急預(yù)案演練記錄)50、應(yīng)對應(yīng)急預(yù)案定期進(jìn)行審查并更新
51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。
第五篇:信息安全等級測評實(shí)施細(xì)則(稿)
信息安全等級保護(hù)等級測評實(shí)施細(xì)則
第一章 總則
第一條【目的】為加強(qiáng)信息安全等級測評機(jī)構(gòu)建設(shè)和管理,規(guī)范等級測評活動,保障信息安全等級保護(hù)制度的貫徹落實(shí),根據(jù)《信息安全等級保護(hù)管理辦法》等有關(guān)規(guī)范制訂本實(shí)施細(xì)則。
第二條【適用范圍】本細(xì)則適用于等級測評機(jī)構(gòu)、測評人員和測評活動的規(guī)范管理。
第三條【等級測評定義】等級測評是測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,受有關(guān)單位委托,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。
第四條【測評機(jī)構(gòu)定義】測評機(jī)構(gòu)是經(jīng)有關(guān)部門能力認(rèn)可,經(jīng)有關(guān)部門推薦,在一定范圍內(nèi)從事信息系統(tǒng)安全等級測評等工作的專業(yè)技術(shù)機(jī)構(gòu)。
第五條【基本原則】測評機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一標(biāo)準(zhǔn)提供“客觀、公正、安全”的測評服務(wù),按照統(tǒng)一的測評報(bào)告模版出具測評報(bào)告。
第六條【保密要求】測評機(jī)構(gòu)和測評人員應(yīng)當(dāng)遵守《國家保密法》的規(guī)定,保守在測評活動中知悉的國家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等。
第七條【管理體制】測評機(jī)構(gòu)應(yīng)當(dāng)接受各級信息安全等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組和公安網(wǎng)安部門的監(jiān)督管理,并接受有關(guān)部門的業(yè)務(wù)管理和技術(shù)指導(dǎo)。
第二章 測評機(jī)構(gòu)
第八條【總體要求】測評機(jī)構(gòu)分為地區(qū)性、行業(yè)性測評機(jī)構(gòu),按照屬地管理和行業(yè)管理相結(jié)合的原則進(jìn)行建設(shè)和管理。
第九條【職責(zé)分工】國家信息安全等級保護(hù)協(xié)調(diào)小組辦公室主管等級測評機(jī)構(gòu)的建設(shè)和管理工作,指導(dǎo)行業(yè)等級測評機(jī)構(gòu)的建設(shè)和管理工作,并委托專門的技術(shù)能力審驗(yàn)機(jī)構(gòu)對測評機(jī)構(gòu)的技術(shù)能力進(jìn)行評估、審查并確認(rèn)。
各省(區(qū)、市)等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室負(fù)責(zé)本地等級測評機(jī)構(gòu)的建設(shè)管理工作。
第十條【基本條件】申請成為等級測評機(jī)構(gòu)的單位(以下簡稱申請單位)應(yīng)當(dāng)具備以下基本條件:
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三)產(chǎn)權(quán)關(guān)系明晰,注冊資金100萬元以上;
(四)從事信息系統(tǒng)檢測評估相關(guān)工作兩年以上;
(五)單位法人及主要工作人員僅限于中華人民共和國境內(nèi)的中國公民,且無犯罪記錄;
(六)具有勝任等級測評工作的專業(yè)技術(shù)人員和管理人員,大學(xué)本科(含)以上學(xué)歷所占比例不低于80%。其中測評技術(shù)人員不少于10人;
(七)具備必要的辦公環(huán)境、設(shè)備、設(shè)施及完備的安全管理制度;
(八)對國家安全、社會秩序、公共利益不構(gòu)成威脅;
(九)應(yīng)當(dāng)具備的其他條件。
第十一條【申請?zhí)峤弧康胤缴暾垎挝粦?yīng)向?qū)俚厥。▍^(qū)、市)等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室提交申請,行業(yè)申請單位向國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室提交申請,并填寫申請書,申請成為等級測評機(jī)構(gòu)。
第十二條【申請材料】申請單位在申請時(shí)應(yīng)提供以下材料,并對申請材料的真實(shí)性負(fù)責(zé)。
(一)《信息安全等級保護(hù)測評機(jī)構(gòu)申請書》;
(二)當(dāng)?shù)毓簿W(wǎng)安部門的推薦意見;
(三)營業(yè)執(zhí)照及其他注冊證明文件;
(四)《內(nèi)設(shè)組織機(jī)構(gòu)與崗位設(shè)置情況表》;
(五)《工作人員基本情況表》、證明材料和聲明;
(六)《辦公場地、設(shè)備與設(shè)施情況表》;
(七)《安全測評設(shè)備、工具配備情況表》;
(八)信息系統(tǒng)安全測評能力報(bào)告;
(九)保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等相關(guān)管理文件;
(十)需要提供的其他材料。
第十三條【初審】省級(含)以上等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室收到申請材料后,應(yīng)在30日內(nèi)完成初審。
第十四條【技術(shù)能力審驗(yàn)】初審?fù)ㄟ^的,由技術(shù)能力審驗(yàn)機(jī)構(gòu)評估、審查并確認(rèn)申請單位的技術(shù)能力。
技術(shù)能力審驗(yàn)周期最長為一個(gè)月。審驗(yàn)期滿前,技術(shù)能力審驗(yàn)機(jī)構(gòu)應(yīng)向等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室出具審驗(yàn)意見,并加蓋專門印章。
第十五條【核準(zhǔn)】省級(含)以上等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))
小組辦公室對通過技術(shù)能力審驗(yàn)的申請單位進(jìn)行復(fù)核,并出具核準(zhǔn)意見。
第十六條【目錄公布】測評機(jī)構(gòu)實(shí)行目錄管理。各省級信息安全等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室公布本地等級測評機(jī)構(gòu)目錄,并向國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室備案。國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室公布《全國信息安全等級測評機(jī)構(gòu)目錄》。
第十七條【業(yè)務(wù)范圍】測評機(jī)構(gòu)應(yīng)當(dāng)在規(guī)定的業(yè)務(wù)范圍內(nèi)開展測評業(yè)務(wù)。
(一)地方測評機(jī)構(gòu)在本地開展測評業(yè)務(wù),行業(yè)測評機(jī)構(gòu)在行業(yè)內(nèi)開展測評業(yè)務(wù)。行業(yè)測評機(jī)構(gòu)在地方開展測評業(yè)務(wù)前,應(yīng)與本地等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室協(xié)調(diào);
(二)承擔(dān)有關(guān)部門委托的安全測評專項(xiàng)任務(wù);
(三)配合當(dāng)?shù)毓簿W(wǎng)安部門對信息系統(tǒng)進(jìn)行監(jiān)督、檢查;
(四)開展風(fēng)險(xiǎn)評估、信息安全培訓(xùn)、咨詢服務(wù)和信息安全工程監(jiān)理;
(五)為當(dāng)?shù)匦畔踩燃壉Wo(hù)工作提供技術(shù)支持和服務(wù);
(六)其他有關(guān)文件規(guī)定的職責(zé)任務(wù)。
第十八條【禁止行為】測評機(jī)構(gòu)不得從事下列活動:
(一)承擔(dān)信息系統(tǒng)安全建設(shè)整改工作;
(二)將等級測評任務(wù)分包、外包;
(三)信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動;
(四)限定被測評單位購買、使用其指定的信息安全產(chǎn)品;
(五)未經(jīng)許可占有、使用有關(guān)測評信息、資料及數(shù)據(jù)文件;
(六)其他可能影響測評客觀、公正的活動。第十九條【風(fēng)險(xiǎn)告知】在開展測評過程中,對可能影響信息系統(tǒng)正常運(yùn)行的,測評機(jī)構(gòu)應(yīng)當(dāng)事先告知被測評單位,并協(xié)助其采取相應(yīng)的預(yù)防措施。
第二十條【人員管理】測評機(jī)構(gòu)應(yīng)當(dāng)建立完備的人員檔案,嚴(yán)格履行人員錄用、考核、離崗等程序,對進(jìn)入重要信息系統(tǒng)進(jìn)行測評的人員,應(yīng)該進(jìn)行背景審查,確保人員可靠。
第二十一條【制度管理】測評機(jī)構(gòu)應(yīng)當(dāng)建立并落實(shí)保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理、培訓(xùn)教育等管理制度。
第二十二條【能力建設(shè)】測評機(jī)構(gòu)要加強(qiáng)技術(shù)能力和管理能力建設(shè),應(yīng)在測評機(jī)構(gòu)推薦目錄公布后兩年內(nèi)至少通過一項(xiàng)實(shí)驗(yàn)室或檢查機(jī)構(gòu)資質(zhì)認(rèn)定。
第三章 人員管理
第二十三條【人員要求】測評人員應(yīng)遵守國家有關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和測評人員行為準(zhǔn)則,認(rèn)真履行本細(xì)則規(guī)定 的責(zé)任和義務(wù),為用戶提供安全、客觀、公正的測評服務(wù),保證測評的質(zhì)量和效果。
第二十四條【個(gè)人聲明】測評人員應(yīng)當(dāng)提供本人社會背景、工作經(jīng)歷和獎懲情況的證明材料,聲明相關(guān)材料的真實(shí)性并承擔(dān)法律責(zé)任。
第二十五條【持證上崗】測評人員上崗前應(yīng)接受培訓(xùn),培訓(xùn)合格的由測評機(jī)構(gòu)頒發(fā)上崗證。測評人員持證上崗。
第二十六條【分級管理】測評機(jī)構(gòu)技術(shù)人員實(shí)行分級管理,由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。
測評技術(shù)人員應(yīng)當(dāng)接受專門業(yè)務(wù)培訓(xùn),考試合格的獲得等級測評師證書。
第二十七條【培訓(xùn)與考試】國家信息安全等級保護(hù)協(xié)調(diào)小組辦公室制定并公布培訓(xùn)計(jì)劃,指定專門培訓(xùn)機(jī)構(gòu)具體承擔(dān)等級測評師的培訓(xùn)、考試工作。專門培訓(xùn)機(jī)構(gòu)向考試合格的人員頒發(fā)等級測評師證書。
第二十八條【證書管理】專門培訓(xùn)機(jī)構(gòu)依據(jù)等級測評師證書管理辦法辦理證書的審核、頒發(fā)、建檔、公布、查詢、年審、換發(fā)和撤銷,并向省級以上等級保護(hù)工作協(xié)調(diào)小組辦公室備案。
第二十九條【備案】行業(yè)測評機(jī)構(gòu)每年應(yīng)將本單位等級測評師培訓(xùn)、獲證情況向國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室備案。
地方測評機(jī)構(gòu)每年應(yīng)將本單位等級測評師培訓(xùn)、獲證情況向本省(區(qū)市)等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室備案。
各地等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室每年應(yīng)將本地等級測評師培訓(xùn)、獲證情況向國家等級保護(hù)協(xié)調(diào)小組辦公室備案。
第三十條【年審管理】等級測評師實(shí)行年審制度。專門培訓(xùn)機(jī)構(gòu)對等級測評師每年進(jìn)行一次年審,并將年審結(jié)果報(bào)等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室。
對未通過年審的等級測評師,測評機(jī)構(gòu)應(yīng)暫停其開展測評工作。專門培訓(xùn)機(jī)構(gòu)應(yīng)對年審不通過的等級測評師開展培訓(xùn)。
第三十一條【變更告知】等級測評機(jī)構(gòu)的主要管理人員和技術(shù)人員工作變動的,應(yīng)及時(shí)到等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室變更備案。
第三十二條【人員法律責(zé)任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關(guān)法律法規(guī)行為的,應(yīng)由專門培訓(xùn)機(jī)構(gòu)撤銷違規(guī)人員等級測評師證書,并按照有關(guān)規(guī)定進(jìn)行處罰。
第四章 測評活動
第三十三條【用戶要求】信息系統(tǒng)運(yùn)營使用單位應(yīng)當(dāng)選擇《等級測評機(jī)構(gòu)推薦目錄》中的等級測評機(jī)構(gòu),定期對信息系統(tǒng)開展等級測評,并加強(qiáng)對測評過程的監(jiān)督管理。
第三十四條【整改前測評】信息系統(tǒng)安全建設(shè)整改前,信息系統(tǒng)運(yùn)營使用單位可以選擇測評機(jī)構(gòu)進(jìn)行等級測評,掌握信息系統(tǒng)安全狀況,排查系統(tǒng)安全隱患和薄弱環(huán)節(jié),明確安全建設(shè)整改需求。
第三十五條【整改后測評】信息系統(tǒng)安全建設(shè)整改后,信息系統(tǒng)運(yùn)營使用單位應(yīng)當(dāng)再選擇測評機(jī)構(gòu)進(jìn)行等級測評,檢測系統(tǒng)安全保護(hù)狀況與標(biāo)準(zhǔn)要求的符合性,進(jìn)一步查找安全隱患和問題,并進(jìn)行風(fēng)險(xiǎn)分析,為進(jìn)一步整改提供依據(jù)。
第三十六條【定期測評】第三級以上(含)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,測評完成后,信息系統(tǒng)運(yùn)營使用單位應(yīng)及時(shí)向受理備案的公安機(jī)關(guān)提交測評報(bào)告。
第三十七條【測評機(jī)構(gòu)規(guī)范】測評機(jī)構(gòu)應(yīng)建立規(guī)范的質(zhì)量管理體系,依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等標(biāo)準(zhǔn)規(guī)范對信息系統(tǒng)進(jìn)行測評,按照公安部制訂的信息系統(tǒng)安全等級測評報(bào)告格式編制測評報(bào)告。
第三十八條【測評費(fèi)用】測評機(jī)構(gòu)應(yīng)當(dāng)參照國家信息化工程建設(shè)項(xiàng)目人工計(jì)費(fèi)標(biāo)準(zhǔn)合理收取測評服務(wù)費(fèi)用。為防止惡意競爭,影響測評質(zhì)量,測評機(jī)構(gòu)開展測評業(yè)務(wù)收費(fèi)應(yīng)當(dāng)不低于最低收費(fèi)限額。
第三十九條【安全責(zé)任】測評機(jī)構(gòu)應(yīng)當(dāng)針對等級測評工作制定保密管理規(guī)范,明確保密崗位與職責(zé),定期對工作人員進(jìn)行保密教育,與其簽訂《保密責(zé)任書》,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)檢查落實(shí)。
第五章 監(jiān)督管理
第四十條【監(jiān)管主體】各級等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室對等級測評機(jī)構(gòu)、測評人員、測評活動等進(jìn)行監(jiān)督、檢查,處理對測評機(jī)構(gòu)的投訴。
第四十一條【年審】各級等級保護(hù)工作協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室對備案的測評機(jī)構(gòu)及測評人員實(shí)施年審管理,每年對測評機(jī)構(gòu)的能力和工作進(jìn)行審核、審查,并公布審核、審查結(jié)果。
第四十二條【機(jī)構(gòu)違規(guī)】測評機(jī)構(gòu)違反規(guī)定,情節(jié)輕微的,由等級保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)構(gòu)辦公室責(zé)令其限期改正或予以通報(bào)、警告。
測評機(jī)構(gòu)出現(xiàn)以下情況之一的,按照相應(yīng)規(guī)定和程序,由等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))機(jī)構(gòu)決定撤銷其測評機(jī)構(gòu)資格并及時(shí)向社會公告。
(一)違反法律、法規(guī)并被起訴的;
(二)發(fā)生重大泄密事件的;
(三)運(yùn)營管理不規(guī)范,嚴(yán)重影響測評質(zhì)量,經(jīng)整改仍無法達(dá)到要求的;
(四)與被測評單位共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞,未按要求寫入評估報(bào)告的;
(五)在評估過程中弄虛作假,編造安全評估報(bào)告的;
(六)不履行規(guī)定的責(zé)任和義務(wù),經(jīng)通報(bào)批評、警告仍不改正的;
(七)測評機(jī)構(gòu)成立后一年內(nèi)不開展測評業(yè)務(wù)的;
(八)由于自身原因主動提出退出的;
(九)連續(xù)兩次年審未通過的;
(十)違反其他有關(guān)規(guī)定的。
第四十三條【爭議處理】測評機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格遵循申訴、投訴及爭議處理制度,妥善處理爭議事件,及時(shí)采取糾正和改進(jìn)措施。
第四十四條【監(jiān)督自身要求】各級等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))小組辦公室應(yīng)嚴(yán)格依照本細(xì)則的有關(guān)規(guī)定,按照公平、公正的原則開展監(jiān)督檢查工作。
第四十五條【變更】測評機(jī)構(gòu)性質(zhì)、經(jīng)營(業(yè)務(wù))范圍、隸屬關(guān)系、法定代表人等重要事項(xiàng)發(fā)生變化的,應(yīng)在30日內(nèi)向等級保護(hù)協(xié)調(diào)(領(lǐng)導(dǎo))機(jī)構(gòu)辦理變更手續(xù)。
點(diǎn)擊咨詢 