第一篇:《等級保護、風險評估、安全測評三者的內在聯系及實施建議》
等級保護、風險評估、安全測評三者的內在聯系及實施建議
趙瑞穎
前言
自《國家信息化領導小組關于加強信息安全保障工作的意見》出臺后,等級保護、風險評估、系統安全測評(或稱系統安全評估,簡稱安全測評)都是當前國家信息安全保障體系建設中的熱點話題。本文從這三者的基本概念和工作背景出發,分析了三者相互之間的內在聯系和區別并作了基本判斷。本文還結合信息系統的開發生命周期模型(簡稱SDLC),本著“誰主管誰負責、誰運行誰負責”的原則,從發起實施主體的角度給出了三者在SDLC過程中的實施建議。
一、三者的基本概念和工作背景
A、等級保護
基本概念:信息安全等級保護是指對國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的安全產品實行按等級管理,對信息系統中發生的信息安全事件等等級響應、處置。這里所指的信息系統,是指由計算機及其相關和配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡;信息是指在信息系統中存儲、傳輸、處理的數字化信息。
工作背景:1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》規定:計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。1999年公安部組織起草了《計算機信息系統安全保護等級劃分準則》(GB 17859-1999),規定了計算機信息系統安全保護能力的五個等級,即:第一級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪問驗證保護級。GB17859中的分級是一種技術的分級,即對系統客觀上具備的安全保護技術能力等級的劃分。2002年7月18日,公安部在GB17859的基礎上,又發布實施五個GA新標準,分別是:GA/T 387-2002《計算機信息系統安全等級保護網絡技術要求》、GA 388-2002《計算機信息系統安全等級保護操作系統技術要求》、GA/T 389-2002《計算機信息系統安全等級保護數據庫管理系統技術要求》、GA/T 390-2002《計算機信息系統安全等級保護通用技術要求》、GA 391-2002《計算機信息系統安全等級保護管理要求》。這些標準是我國計算機信息系統安全保護等級系列標準的一部分。《關于信息安全等級保護工作的實施意見的通知》(簡稱66號文)將信息和信息系統的安全保護等級劃分為五級,即:第一級:自主保護級;第二級:指導保護級;第三級:監督保護級;第四級:強制保護級;第五級:專控保護級。特別強調的是:66號文中的分級主要是從信息和信息系統的業務重要性及遭受破壞后的影響出發的,是系統從應用需求出發必須納入的安全業務等級,而不是GB17859中定義的系統已具備的安全技術等級。
B、風險評估
基本概念:信息安全風險評估是參照風險評估標準和管理規范,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。
工作背景:風險評估不是一個新概念,金融、電子商務等許多領域都有風險及風險評估需求的存在。當風險評估應用于IT領域時,就是對信息安全的風險評估。國內這幾年對信 1 321
息安全風險評估的研究進展較快,具體的評估方法也在不斷改進。風險評估也從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-
26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現以資產為出發點、以威脅為觸發、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。國務院信息化工作辦公室2004年組織完成了《信息安全風險評估指南》及《信息安全風險管理指南》標準草案的制定,并在其中規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準則,對規范我國信息安全風險評估的做法具有很好的指導意義。目前,國信辦正組織在全國北京、上海、黑龍江、云南等省市及稅務、銀行、電力等行業領域作風險評估試點工作,探討對上述兩個風險評估/風險管理標準草案的理解修訂及相關管理問題的研究,預計2005年9月份前完成試點工作,并在試點工作的基礎上形成有關開展信息安全風險評估工作的指導意見。
C、系統安全測評
基本概念:由具備檢驗技術能力和政府授權資格的權威機構,依據國家標準、行業標準、地方標準或相關技術規范,按照嚴格程序對信息系統的安全保障能力進行的科學公正的綜合測試評估活動,以幫助系統運行單位分析系統當前的安全運行狀況、查找存在的安全問題,并提供安全改進建議,從而最大程度地降低系統的安全風險。
工作背景:在我國,中國信息安全產品測評認證中心(簡稱CNITSEC)是較早并較有影響的開展有關系統安全測評認證的機構。這里強調一下測評和認證的區別:測評如前述定義,認證則是對測評活動是否符合標準化要求和質量管理要求所作的確認,認證以標準和測評的結果作為依據。在美國,系統認證的結果通常作為主管部門對新建系統投入運行前的安全審批或已建系統安全動態監管(即系統認可)的依據。根據美國FISMA及NIST SP800-37的規定,系統認證是“對信息系統的技術類、管理類和運行類安全控制所進行的綜合評估”,認可則是“由管理層作出的決策,用來授權一個信息系統投入運行”。我國的系統認證雖然起步較早,但由于認證周期、建設差異等多方面的原因,目前的系統認證數量還非常少。特別是國家認監委成立后,強調了信息安全要“一個統一認證出口”的要求。國家認監委等8部委聯合下發的《關于建立國家信息安全產品認證認可體系的通知》(簡稱57號文)中已明確規定了對信息安全產品進行“統一標準、技術規范與合格評定程序;統一認證目錄;統一認證標志;統一收費標準”的“四統一”的認證要求。在國家認監委對信息系統的安全認證相關具體意見尚未出臺前,多數情況下,系統安全測評的結果可直接作為主管部門對系統安全認可的依據。典型例子如上海市信息安全測評認證中心,在相關職能部門授權下,已完成了對上海市100余家重要信息系統、涉密信息系統、區縣以上綜合醫院的信息系統的安全測評工作,并為市信息委、市國家保密局、市衛生局等信息化主管部門或行業主管部門提供了重要的技術決策依據。
二、三者的相互內在聯系和區別
A、三者關系的基本判斷
基本判斷:等級保護是指導我國信息安全保障體系建設的一項基礎管理制度,風險評估、系統測評都是在等級保護制度下,對信息及信息系統安全性評價方面兩種特定的、有所區分但又有所聯系的的不同研究、分析方法。
等級保護是指導我國信息安全保障體系總體建設的基礎管理原則,是圍繞信息安全保障全過程的一項基礎性管理制度,其核心內容是對信息安全分等級、按標準進行建設、管理和監督。風險評估、系統測評則只是針對信息安全評價方面兩種有所區分但又有所聯系的的不46
同研究、分析方法。從這個意義上講,等級保護要高于風險評估和系統測評。當系統定級原則確定并根據該原則將系統分類分級后,那風險評估、系統測評都可以理解為在等級保護制度下的風險評估和等級保護制度下的系統測評,操作時只需在原有風險評估、系統測評方法、操作程序的基礎上,加入特定等級的特殊要求就是了。打個比方:如果說等級保護是指導信息安全建設的憲法,則風險評估、安全測評則是針對系統安全性評估或合格判定方面的專項法律。至于66號文中提及的等級保護制度中的其他建設內容,如等級化安全保障體系設計、等級化安全產品選用、等級化安全事件處理響應,由于和安全評估沒有特別直接的關系,本文不再展開討論。
B、等級保護與風險評估的關系
基本判斷:風險評估是等級保護(不同等級不同安全需求)的出發點。風險評估中的風險等級和等級保護中的系統定級均充分考慮到信息資產CIA特性的高低,但風險評估中的風險等級加入了對現有安全控制措施的確認因素,也就是說,等級保護中高級別的信息系統不一定就有高級別的安全風險。
風險評估是安全建設的出發點,它的重要意義就在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案制定,以成本-效益平衡的原則,通過對用戶關心的重要資產(如信息、硬件、軟件、文檔、代碼、服務、設備、企業形象等)的分級、安全威脅(如人為威脅、自然威脅等)發生的可能性及嚴重性分析、對系統物理環境、硬件設備、網絡平臺、基礎系統平臺、業務應用系統、安全管理、運行措施等方面的安全脆弱性(或稱薄弱環節)分析,并通過對已有安全控制措施的確認,借助定量、定性分析的方法,推斷出用戶關心的重要資產當前的安全風險,并根據風險的嚴重級別制定風險處理計劃,確定下一步的安全需求方向。
等級保護的前提是對系統定級,根據FIPS199,系統定級根據系統信息的機密性、完整性、可用性(簡稱CIA特性)等三性損失的最大值來確定,即“明確各種信息類型――確定每種信息類型的安全類別――確定系統的安全類別”三個步驟進行系統最終的定級。將信息系統安全類別(簡稱SC)表示為一個與CIA特性的潛在影響相關的三重函數,一般模式是:SC= {(保密性,影響),(完整性,影響),(可用性,影響)}。
等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本一致,不同的是:等級保護的級別是從系統的業務需求或CIA特性出發,定義系統應具備的安全保障業務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀后的綜合評估結果,也就是說,在風險評估中,CIA價值高的信息資產不一定風險等級就高。在確定系統安全等級級別后,風險評估的結果可作為實施等級保護、等級安全建設的出發點和參考。
C、等級保護與系統測評的關系
基本判斷:系統安全測評及行政認可是安全等級保護的落腳點。
根據NIST SP800-37,認證過程偏重于對系統安全性的評估,認可過程則屬于管理機關的行為,是指根據評估的結果來判斷信息系統的安全控制措施是否有效、殘余風險是否可接受。根據前述,在我國,目前主管部門安全認可的依據多數是系統安全測評的結果。主管部門根據系統測評結果判斷,如果殘余風險可以接受,則允許系統投入運行或繼續運行,否則信息系統便沒有達到特定安全等級的安全要求。沒有最終的主管認可過程,等級保護無法落到實處。從這個意義上講,進行等級保護建設、實施風險管理過程后的系統安全測評及行政認可是等級保護的落腳點。
D、風險評估與系統測評的關系
基本判斷:風險評估與系統測評分別是針對系統生命周期建設不同階段存在的安全風險的相近判斷方法。對同一個生命周期的系統,風險評估是安全建設的起點,系統測評是安全建設的終點。或者可以理解為,系統安全測評是實施風險管理措施后的風險再評估。
二者均是對信息及信息系統系統安全性的一種評價判斷方法,因此,二者并沒有本質的區別,或者說,二者的安全工作目標基本一致,二者的工作核心都是對信息及系統安全風險的評價,因此,二者在實施內容上有許多共同之處。具體講二者在操作方面的差異性,則風險評估是系統明確安全需求,確定成本-效益適合的安全控制措施的出發點,風險評估通過對被評估用戶廣泛的、戰略性的分析來判斷機構內各類重要資產的風險級別;系統安全測評則是對已采取的安全控制措施(如管理措施、運行措施、技術措施等)有效性的驗證,安全測評更關注于對系統現有安全控制措施的技術驗證,從而給出系統現存安全脆弱性的準確判斷。行業主管部門或信息化主管部門在系統測評結果的基礎上,判斷系統安全風險是否可接受或已得到了有效的管理,從而給出是否批準系統投入運行或繼續運行的最終結論。
三、對三者在SDLC過程中的實施建議
通常情況下,我們將信息系統建設生命周期(SDLC)劃分為五個階段:規劃需求階段、設計開發階段、實施階段、運行維護階段、廢棄階段。也就是說,系統是不斷變化的,安全建設也應隨之發生變化。因此,從理論上分析,無論是等級保護、風險評估或是系統測評,均適用于SDLC的各個階段。為避免三者之間相近的工作內容在SDLC的同一個階段重復進行,按照“誰主管,誰負責;誰運行,誰負責”的原則,從系統建設單位(多數情況下建設單位即運行單位)、行業主管部門或信息化主管部門(簡稱主管部門)等兩類不同發起主體或組織主體的角度考慮,建議按下述內容實施:
1、規劃需求階段
建設單位自覺按照國家有關安全等級劃分及系統定級的原則進行定級,并報主管部門備案。
建設單位按照既定等級的風險評估管理要求和國家有關風險評估的技術標準自覺進行風險評估,明確系統在機密性、完整性、可用性等方面的安全需求目標。
2、設計開發階段及實施階段
建設單位(或委托承建單位)根據既定的安全需求目標,按照國家有關等級保護的管理規范和技術標準,進行系統安全體系結構及詳細實施方案的設計,采購和使用相應等級的信息安全產品,建設安全設施,落實安全技術措施。
主管部門委托或指定第三方機構對建設單位的系統安全設計方案進行評審,并將第三方機構出具的安全方案評審報告作為是否允許安全實施的依據。
注:建設單位在進行風險評估時,應根據自身的客觀條件選擇自評估方式或委托第三方機構評估的方式進行;主管部門發起的安全測評一般應委托具有授權資質和技術能力的第三方機構進行。客觀上講,任何一個第三方機構的評估接入都有可能對系統本身帶來新的安全威脅和風險,為此,加強對第三方評估機構的管理至關重要,特別是對參與基礎信息網絡或三級以上重要信息系統安全評估的機構可實行強制許可制度,具體的許可制度和許可要求可以由相關信息安全主管部門或信息系統行業主管部門制定。此外,還應加強對第三方評估機構的安全保密教育,要求所有第三方評估機構應自覺遵守國家有關保密法規和其他相關規定,對評估工作中涉及的保密事項,應簽定保密協議,承擔保密責任并采取相應保密措施。
3、運行維護階段
主管部門在系統安全建設基本完成后,委托或指定第三方機構對基本建成的系統進行安全測評,以評價系統當前運行環境下的安全控制措施是否和既定等級的安全需求一致、關鍵
資產的安全風險是否控制在可接受范圍之內,并將第三方機構的安全測評報告作為是否批準系統投入運行(即系統認可)的依據。此外,考慮到信息技術、安全技術、安全攻防技術及相關標準、理論、方法的不斷發展,即使系統在認可有效期內沒有任何關于技術、業務及管理內容的變更,主管部門也應該發起周期性的安全測評和安全認可,以保持系統的安全狀態維持在標準許可及公眾接受的范圍之內。
在《關于進一步加強上海市信息安全保障工作的實施意見》中,對上海行政區域內公用通信網、廣播電視傳輸網等基礎信息網絡,銀行/稅務/證券/海關/鐵道/電力/民航/水務/燃氣/軌道交通/醫療衛生和大型國有企業等涉及國計民生的信息系統,以及使用財政性資金建設的信息系統(統稱“重要信息系統”,)作出了強制實行等級保護和安全測評的要求。對新建、改建、擴建的重要信息系統,在立項后由安全測評機構評審其安全設計方案,評審報告報有關主管部門確認,未通過評審的不得實施;正式投入運行前,應進行系統安全測評,測評結果報有關主管部門確認,未達到要求的不得投入運行、不予驗收;對已通過安全測評的重要信息系統,投入運行后要繼續加強安全保護,由安全測評機構定期進行安全測評。
4、廢棄階段
建設單位重點對廢棄處理不當對資產(如硬件、軟件、設備、文檔等)的影響、對信息/硬件/軟件的廢棄處置方面威脅、對訪問控制方面的弱點進行綜合風險評估,以確保硬件和軟件等資產及殘留信息得到了適當的廢棄處置,并且要確保系統的更新換代能以一個安全和系統化的方式完成。
需要說明的是:上述實施建議主要針對同一個完整的SDLC,但事實上,在SDLC的某一個具體階段,也有可能由于業務類型變化(并可能導致安全等級變化)、新的安全威脅的出現或安全形勢的突變,要立即進行安全需求及安全設計、安全實施方案的調整。這時,應參照上述SDLC過程中的“安全定級-風險評估-確定安全需求-安全體系設計及方案-方案評審-等級保護實施-安全測評-主管認可”的步驟進行。當然,這個過程中涉及的風險評估、方案評審、安全測評等活動要充分考慮利用已有的評估/測評成果,減少再評估/再測評造成的重復投入。
四、結束語
目前國家關于等級保護、風險評估、系統測評等方面的具體工作要求、技術標準、管理辦法等尚未最終完全形成。本文基于作者對國家有關等級保護、風險評估、系統安全測評等要求及內容的粗淺理解,結合作者的一些工作實踐,形成了對三者相互之間關系的一些基本判斷,并從實施行為發起者的角度,提出了三者在系統建設生命周期SDLC中的操作建議。其實,不管何種安全保護方法或安全評估方法,只要實施有序、監管有力,都能大大改善、促進信息系統的安全建設、安全運行和安全管理,從而推動整個國家信息安全保障體系的發展,并為全面推進我國的國民經濟和社會信息化進程提供重要保障。
參考文件:
1、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發【2003】27號)
2、《中華人民共和國計算機信息系統安全保護條例》(中華人民共和國國務院令147號)
3、關于印發《關于信息安全等級保護工作的實施意見的通知》(公通字【2004】66號)
4、《關于建立國家信息安全產品認證認可體系的通知》(國認證聯【2004】57號)
5、《關于進一步加強上海市信息安全保障工作的實施意見》(滬委辦【2004】24號)
6、Federal Information Security Management Act of 2002(Public Law 107-347),December 2002 5
第二篇:信息安全等級保護測評
TopSec可信等級體系 天融信等級保護方案
Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網
1.等級保護概述
1.1為什么要實行等級保護?
信息系統與社會組織體系是具有對應關系的,而這些組織體系是分層次和級別的,因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求,這就需要對信息系統進行分級、分區域、分階段進行保護,這是做好國家信息安全的必要條件。
1.2等級保護的政策文件
信息安全等級保護工作非常重要,為此從2003年開始國家發布了一系列政策文件,具體如下:
2003年9月,中辦國辦頒發《關于加強信息安全保障工作的意見》(中辦發[2003]27號),這是我國第一個信息安全保障工作的綱領性文件,戰略目標為經過五年努力,基本形成國家信息安全保障體系,實行等級保護制度。
2004年11月,四部委會簽《關于信息安全等級保護工作的實施意見》(公通字[2004]66號):等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月,國信辦文件,《關于轉發《電子政務信息安全等級保護實施指南》的通知》(國信辦[2004]25號):基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。
2005年,公安部標準:《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。
2006年1月,四部委會簽《關于印發《信息安全等級保護管理辦法的通知》(公通字[2006]7號)。
1.3 等級保護的管理結構-北京為例
等級保護的實施和落實離不開各級管理機構的指導和監督,這在等級保護的相關文件中已經得到了規定,下面以北京市為例來說明管理機構的組成和職責,具體如下圖所示:
1.4等級保護理論的技術演進
在等級保護理論被提出以后,經過相關部門的努力工作,逐漸提出了一系列原則、技術和框架,已經具備實施等級保護工作的基礎條件了,其具體演進過程如下圖所示:
1.5等級保護的基本需求
一個機構要實施等級保護,需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度,因此各級組織在這方面就存在如下需求:
(1)政策要求-符合等級保護的要求。系統符合《基本要求》中相應級別的指標,符合《測評準則》中的要求。
(2)實際需求-適應客戶實際情況。適應業務特性與安全要求的差異性,可工程化實施。
1.6基本安全要求的結構
對系統進行定級后,需要通過努力達到相應等級的基本安全要求,在總體上分為技術要求和管理要求,技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全,在管理要求中又分為安全管理機構、安全管理制度等5項,具體如下圖所示:
2.等級保護實施中的困難與出路
由于等級保護制度還處于探討階段,目前來看,尚存在如下困難:
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統,否則:
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵要求指標超出《基本要求》規定
針對上述問題,在下面幾小節分別給出了堅決辦法。
2.1安全體系設計方法
需求分析-1
問題1:標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
需求:從組織整體出發,綜合考核所有系統
方法:引入體系設計方法
2.2保護對象框架設計方法
需求分析-2
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
需求:準確地進行大系統的分解和描述,反映實際特性和差異性安全要求
方法:引入保護對象框架設計方法
保護對象框架-政府行業
保護對象框架-電信行業
保護對象框架-銀行業
2.3安全平臺的設計與建設方法
需求分析-3
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
需求:統一規劃,集中建設,避免重復和分散,降低成本,提高建設水平
方法:引入安全平臺的設計與建設方法
平臺定義:為系統提供互操作性及其服務的環境
2.4建立安全運行體系
需求分析-4
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
需求:建立長效機制,建立可持續運行、發展和完善的體系
方法:建立安全運行體系
2.5安全運維工作過程
需求分析-5
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
需求:需要高水平、自動化的安全管理工具
方法:TSM安全管理平臺
2.6 TNA可信網絡架構模型
需求分析-6
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵指標超出《基本要求》規定
需求:在《基本要求》基礎上提出更強的措施,滿足客戶最關注的指標
方法:引入可信計算的理念,提供可信網絡架構
3.總體解決方案-TopSec可信等級體系
按照上面解決等級保護目前困難的方法,總體解決方案就是建立TopSec可信等級體系:
遵照國家等級保護制度、滿足客戶實際需求,采用等級化、體系化和可信保障相結合的方法,為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。
實施后狀態:一套持續運行、涵蓋所有安全內容的安全保障體系,是企業或組織安全工作所追求的最終目標
特質:
等級化:突出重點,節省成本,滿足不同行業、不同發展階段、不同層次的要求
整體性:結構化,內容全面,可持續發展和完善,持續運行
針對性:針對實際情況,符合業務特性和發展戰略
3.1可信等級體系設計方法
3.2信息安全保障體系總體框架
3.3體系設計的成果
安全組織體系
安全策略體系
安全技術體系
安全運行體系
3.4安全體系的實現
4.成功案例
某國有大型企業已經采用了我們的可信等級體系,取得了良好的效果。
第三篇:信息安全等級保護與風險評估
信息安全等級保護與風險評估
一、什么是信息安全?
目前常說的所謂信息主要是指在信息系統中存儲、傳輸、處理的數字化信息。信息安全通常是指保證信息數據不受偶然的或者惡意的原因遭到破壞、更改、泄露,保證信息系統能夠連續可靠正常地運行,信息服務不中斷。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保證信息不泄漏給未經授權的人;完整性是防止信息被未經授權的篡改;可用性是保證信息及信息系統確實為授權使用者所用;可控性就是對信息及信息系統實施安全監控。
信息安全面臨的主要威脅來源有環境因素和人為因素,而威脅最大的并不是惡意的外部人員,恰恰是缺乏責任心或專業技能不足的內部人員,由于沒有遵循規章制度和操作流程或不具備崗位技能而導致信息系統故障或被攻擊。
信息安全涉及到物理環境、網絡、主機、應用等不同的信息領域,每個領域都有其相關的風險、威脅及解決方法。信息安全是一個動態發展的過程,僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的。
二、什么是等級保護?
信息安全等級保護是指對存儲、傳輸、處理信息的信息系統分等級實行安全保護,對信息系統中使用的安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級進行響應、處置。
等級保護是指導我國信息安全保障體系總體建設的基礎管理原則,是圍繞信息安全保障全過程的一項基礎性管理制度,其核心內容是對信息安全分等級、按標準進行建設、管理和監督。
按照《計算機信息系統安全保護等級劃分準則》規定的規定,我國實行五級信息安全等級保護。第一級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪問驗證保護級;
由公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯合發出的66號文《關于信息安全等級保護工作的實施意見的通知》將信息和信息系統的安全保護等級劃分為五級,即:第一級:自主保護級;第二級:指導保護級;第三級:監督保護級;第四級:強制保護級;第五級:專控保護級。
66號文中的分級主要是從信息和信息系統的業務重要性及遭受破壞后的影響出發的,是系統從應用需求出發必須納入的安全業務等級,而不是GB17859中定義的安全技術等級。
三、什么是風險評估?
風險評估就是量化評判安全事件帶來的影響或損失的可能程度。
從信息安全的角度來講,風險評估是對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定信息安全需求的一個重要途徑,屬于組織信息安全管理體系策劃的過程。
風險評估的主要任務包括:1)識別組織面臨的各種風險;2)評估風險概率和可能帶來的負面影響;3)確定組織承受風險的能力;4)確定風險消減和控制的優先等級;5)推薦風險消減對策。
在風險評估過程中需要考慮幾個關鍵問題:
第一,要確定保護的對象(資產)是什么?它的直接和間接價值如何?
第二,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
第三,資產中存在哪里弱點可能會被威脅所利用?利用的容易程度又如何?
第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
第五,組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
解決以上這些問題的過程,就是風險評估的過程。
四、中科網威的風險評估案例
2010年,某市稅務局通過招標,對市屬稅務單位進行了一次風險評估。
在招標中,要求風險評估單位具有安全服務資質、風險評估資質、參與過國家信息安全評估產品標準的制訂,有具有自主知識產權的風險評估產品、有6名以上CISP等。北京中科網威信息技術有限公司因技術實力突出而一舉中標。
根據先期確定的風險評估實施方案,風險評估工作的對象為市局及其五個下屬的區縣級稅務分局的信息系統。評估范圍是市局的數據管理中心及五個下屬區縣局,涵蓋物理環境、網絡、應用、管理和終端等方面的評估;從20個分局中抽取了三個征管局和兩個縣區局,針對征管系統、OA系統、國地稅數據交換系統進行檢查評估。
經過2個月的評估,北京中科網威信息技術有限公司出具了風險評估報告,指明該市局稅務系統的信息安全風險突出表現在以下五個方面:
1)安全管理體系不夠健全
2)管理執行力度較差,缺乏監管與獎懲機制
3)各類人員不同程度的缺乏安全意識
4)現有安全措施不足,總體安全策略沒有在技術上落實
5)安全風險過于集中,對于突發事件缺乏應急準備
針對發現的風險,北京中科網威信息技術有限公司協助市稅務局制訂了完整的整改方案,采取了一系列措施進行安全建設整改。經過4個月的安全建設和整改,完善了安全體系,有效防范了大部分安全風險,取得了令人滿意的階段性成果,并通過了國稅總局進行的信息安全等級測評。
在總結會上,市局信息中心孫主任表示,在實行等級保護過程中,風險評估的作用至關重要,這次之所以順利通過等級測評,就是前期的風險評估工作扎實到位,使得信息安全建設有的放矢。
原文出自【比特網】,轉載請保留原文鏈接:http://sec.chinabyte.com/136/12125636.shtml
第四篇:臨沂中醫醫院信息安全等級保護測評項目
臨沂市中醫醫院信息安全等級保護測評項目
集中競價采購須知
為了公開、公平、公正地集中競價采購,本著合理、競爭、經濟的原則,我院擬對本次采購活動參照招標形式進行集中競價,相關事項如下:
第一部分
項目要求
一、項目背景
為了提高信息系統的安全保護水平,按照國家法律法規和有關部門相關要求,聘請第三方專業機構,在全面了解臨沂市中醫院現有信息化現況的基礎上,開展信息系統安全等級保護測評工作。通過本次工作,發現信息系統中存在的安全風險,分析信息系統安全現狀與相關政策文件、技術標準內容要求的符合性情況,完善工作制度,提出安全建設加固建議。切實加強信息安全防范水平,提高系統抵御風險的能力。
二、項目目標、內容
按照國家等級保護相關標準和要求,對其HIS、電子病歷系統(三級)、PACS和網站(二級)安全等級保護測評工作,找出系統現狀與相關標準要求之間的差距,遵循適度原則,提出切實可行的整改建議,完成等級保護測評報告,并提供后續檢測服務。
三、項目實施參照法律法規及標準 ? 《網絡安全法》
? 公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯合轉發的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號); ? 公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》(公通字 [2007]43號)。
? 《信息安全技術 信息系統安全等級保護基本要求》(GB/T22239-2008)
? 《信息安全技術 信息系統安全等級保護定級指南》(GB/T 22240-2008)? 《信息安全技術
信息系統安全等級保護實施指南》 ? 《信息安全技術
信息系統安全等級保護測評要求》 ? 《信息安全技術
信息系統安全等級保護測評過程指南》 ? 《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)? 《信息安全技術 信息系統通用安全技術要求》(GB/T20271-2006)? 《信息安全技術 網絡基礎安全技術要求》(GB/T 20270-2006)
? 《信息安全技術 操作系統安全技術要求》(GB/T 20272-2006)? 《信息安全技術 數據庫管理系統安全技術要求》(GB/T20273-2006)? 《信息安全技術 服務器技術要求》(GB/T 21028-2007)
? 《信息安全技術 終端計算機系統安全等級技術要求》(GA/T 671-2006)? 《信息安全技術 信息系統安全管理要求》(GB/T20269-2006)? 《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)? GB/T 18336-2001 信息技術 安全技術 信息技術 安全性評估準則
四、項目內容
1.等級測評
通過詳細的系統調研,開展對其HIS、LIS系統(三級)、PACS和網站(二級)的等級保護測評工作,找出安全現狀與標準要求之間的差距,并遵循適度安全的原則,協助制定安全整改建設方案,指導整改工作。最終完成等級保護測評報告。
測評的內容包括但不限于以下內容:
? 安全技術測評:包括物理安全、網絡安全、主機系統安全、應用安全和數據安全等五個方面的安全測評;
? 安全管理測評:安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全測評。
(1)、物理安全
根據臨沂市中醫院信息系統機房和現場安全測評記錄,針對機房和現場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應”和“電磁防護”等物理安全方面所采取的措施進行,判斷出與其相對應的各測評項的測評結果。中標人出具加蓋CNAS章的機房檢測報告。(2)、網絡安全
根據臨沂市中醫院信息系統網絡安全測評記錄,針對網絡方面在“結構安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網絡設備防護”等網絡安全方面所采取的措施進行檢查,判斷出與其相對應的各測評項的測評結果。
(3)、主機安全
主機安全現場測評包括對臨沂市中醫院信息系統服務器的測評,測評內容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“入侵防護”、“惡意代碼防護”、“資源控制”。(4)、應用安全
應用安全現場測評包括對臨沂市中醫院信息系統的測評,測評內容包括“身份鑒
別”、“訪問控制”、“安全審計”、“剩余信息保護”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”、“資源控制”方面。(5)、數據安全及備份恢復
臨沂市中醫院信息系統數據安全及備份恢復現場測評包括“數據完整性”、“數據保密性”、“備份和恢復”幾個方面的測評。(6)、安全管理制度
根據現場安全測評記錄,針對臨沂市中醫院信息系統在安全管理制度方面的“管理制度”、“制定和發布”以及“評審和修訂”等測評指標,判斷出與其相對應的各測評項的測評結果。(7)、安全管理機構
根據現場安全測評記錄,針對臨沂市中醫院信息系統在安全管理機構方面的“崗位設置”、“人員配備”、“授權和審批”、“溝通和合作”以及“審核和檢查”等測評指標,判斷出與其相對應的各測評項的測評結果。(8)、人員安全管理
根據現場安全測評記錄,針對臨沂市中醫院信息系統在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓”以及“外部人員訪問管理”等測評指標,判斷出與其相對應的各測評項的測評結果。(9)、系統建設管理
根據現場安全測評記錄,針對臨沂市中醫院信息系統在系統建設管理方面的“系統定級”、“安全方案設計”、“產品采購和使用”、“自行軟件開發”、“外包軟件開發”、“工程實施”、“測試驗收”、“系統交付”、“系統備案”、“等級測評”以及“安全服務商選擇”等測評指標,判斷出與其相對應的各測評項的測評結果。(10)、系統運維管理
根據現場安全測評記錄,針對臨沂市中醫院信息系統在系統運維管理方面的“環境管理”、“資產管理”、“介質管理”、“設備管理”、“網絡安全管理”、“系統安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復管理”、“安全事件處置”以及“應急預案管理”等測評指標,判斷出與其相對應的各測評項的測評結果。
通過現場測評,逐項找出系統現狀與國家相關標準要求之間的差距,進行逐項待整改完畢后,進行結果確認,完成信息安全等級保護測評,出具測評報告,2.安全管理體系咨詢
協助建立符合等級保護要求的信息安全管理體系,包含信息安全方針、信息安全策略、運行管理制度和運維管理制度。并參照國際標準體系ISO 27001和ISO 分析、整體分析,給出差距分析報告,并給出整改建議方案。并將測評報告報當地公安機關備案。
20000制定相應流程,促進臨沂市中醫院信息安全管理工作。
3.安全監測
提供門戶網站7*24小時網站安全監測,對網站頁面掛馬、篡改等事件實時監測,發現問題及時通報相關人員,并安排人員及時處理。
4.應急支援
服務期內提供不限次數的應急支援服務,針對發生的事件協助分析事件原因,查找問題,并提供安全加固建議。
5.安全培訓
組織技術培訓,對臨沂市中醫院的技術人員進行等級保護、安全技術和項目部署要求等內容培訓。技術培訓應從實際應用出發,涵蓋網絡安全的如下方面: 基礎設施運行安全培訓、網絡安全縱深防御體系培訓、操作系統安全加固技術培訓、應用系統滲透測試檢測與加固培訓、數據庫安全管理培訓、27001安全管理體系培訓等。
6.信息安全風險評估
按照GB-T20984-2007信息安全風險評估規范標準和要求,對信息系統進行風險評估,明確信息系統安全風險,提出合理的、滿足等級保護要求的總體建設和管理規劃,并制定安全實施計劃,以指導后續的信息系統安全建設工程實施。
五、成果交付
該項目提交的文檔至少包括如下文件:
1、《臨沂市中醫院XX信息系統安全等級保護測評方案》
2、《臨沂市中醫院XX系統信息安全等級保護測評報告》
3、《臨沂市中醫院XX信息安全管理制度匯編》
4、《信息安全風險評估報告》
5、《信息安全整改方案》
第二部分
投標方資質要求
1、《企業法人營業執照》副本復印件(蓋章)。
2、法定代表人身份證明書或法人授權委托書、身份證復印件。
3、投標公司具有信息系統安全等級保護測評的國家相關資質,有專業技術檢測項目組,其中有高級測評師及中級測評師,參與技術檢測的人員均為中國公民,無違法犯罪記錄并簽訂安全保密協議。
4、同類項目近幾年的業績情況及客戶名單。
第三部分標書、報價方式
1、標書分正本1份,副本2份,并在標書標書袋上標明“正本”、“副本”字樣。均固定裝訂成一冊,不能活頁裝訂或散裝,蓋單位公章和法定代表人印簽后遞交醫院招標辦。
第四部分報送時間、地點
標書報送時間截止2018年1月30日16時。(每日8:00~17:00,周六、周日除外)
標書報送地點:臨沂市中醫醫院門診七樓招標辦。
第五篇:《信息安全等級保護測評機構管理辦法》最新
信息安全等級保護測評機構管理辦法
第一條 為加強信息安全等級保護測評機構管理,規范等級測評行為,提高測評技術能力和服務水平,根據《信息安全等級保護管理辦法》等有關規定,制定本辦法。
第二條 等級測評工作,是指等級測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。
等級測評機構,是指依據國家信息安全等級保護制度規定,具備本辦法規定的基本條件,經審核推薦,從事等級測評等信息安全服務的機構。
第三條 等級測評機構推薦管理工作遵循統籌規劃、合理布局、安全規范的方針,按照“誰推薦、誰負責,誰審核、誰負責”的原則有序開展。
第四條 等級測評機構應以提供等級測評服務為主,可根據信息系統運營使用單位安全保障需求,提供信息安全咨詢、應急保障、安全運維、安全監理等服務。
第五條 國家信息安全等級保護工作協調小組辦公室(以下簡稱“國家等保辦”)負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請,并對其推薦的等級測評機構進行監督管理。
省級信息安全等級保護工作協調(領導)小組辦公室(以下簡稱“省級等保辦”)負責受理本省(區、直轄市)申請單位提出的申請,并對其推薦的等級測評機構進行監督管理。
第六條 申請成為等級測評機構的單位(以下簡稱“申請單位”)應具備以下基本條件:
(一)在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
(二)產權關系明晰,注冊資金100萬元以上;
(三)從事信息系統安全相關工作兩年以上,無違法記錄;
(四)測評人員僅限于中華人民共和國境內的中國公民,且無犯罪記錄;
(五)具有信息系統安全相關工作經驗的技術人員,不少于10人;
(六)具備必要的辦公環境、設備、設施,使用的技術裝備、設施應滿足測評工作需求;
(七)具有完備的安全保密管理、項目管理、質量管理、人員管理和培訓教育等規章制度;
(八)自覺接受等保辦的監督、檢查和指導,對國家安全、社會秩序、公共利益不構成威脅;
(九)不涉及信息安全產品開發、銷售或信息系統安全集成等業務;
(十)應具備的其他條件。
第七條 申請時,申請單位應向等保辦提交以下材料:
(一)《信息安全等級保護測評機構申請表》;
(二)從事信息系統安全相關工作情況;
(三)檢測評估工作所需軟硬件及其他服務保障設施配備情況;
(四)有關管理制度建設情況;
(五)申請單位及其測評人員基本情況;
(六)應提交的其他材料。
等保辦收到申請材料后,應在10個工作日內組織初審,并出具初審結果告知書。
第八條 通過初審的申請單位,應及時參加指定評估機構組織的測評人員培訓。考試合格的人員,取得等級測評師證書。
等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書,其中高級和中級測評師均不得少于1人。
第九條 指定評估機構應根據標準規范對申請單位開展能力評估,出具信息安全等級保護測評機構能力評估報告,并及時將申請單位能力評估有關情況報送等保辦。
第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的,頒發《信息安全等級保護測評機構推薦證書》。
省級等保辦應及時將本地等級測評機構推薦情況報國家等保辦,國家等保辦定期發布公告,在《中國信息安全等級保護網》發布《全國信息安全等級保護測評機構推薦目錄》。
第十一條 下列事項發生變更時,等級測評機構應在變更后5個工作日內向等保辦報告。
(一)等級測評機構名稱、地址、測評人員和主要負責人發生變更的;
(二)等級測評機構法人、股權結構發生變更的;
(三)其他重大事項發生變更的。
省級等保辦應及時將等級測評機構變更情況報國家等保辦。
第十二條 信息安全等級保護測評機構推薦證書有效期為三年。等級測評機構應在推薦證書期滿前30日內,向等保辦申請復審。復審通過的等級測評機構應換發新證。復審未通過的,等保辦應督促其限期整改。
省級等保辦應及時將等級測評機構期滿復審情況報國家等保辦。
第十三條 等級測評師上崗前,等級測評機構應組織崗前培訓。培訓合格的,由等級測評機構配發上崗證。未取得測評師證書和上崗證的,不得參與等級測評項目。
等級測評師離職前,等級測評機構應與其簽訂離職保密承諾書,并收回上崗證。
第十四條 等級測評師應妥善保管等級測評師證書、上崗證,不得涂改、出借、出租和轉讓。
第十五條 等級測評機構應加強對本機構等級測評師的監督管理,定期組織開展安全保密教育和業務培訓。
第十六條 等級測評機構應嚴格按照信息安全等級保護標準規范公正、獨立地開展等級測評工作,依據模板出具信息系統安全等級測評報告,確保測評質量,全面、客觀地反映被測信息系統的安全保護狀況。
第十七條 等級測評機構開展測評項目不受地域、行業限制。等級測評機構應在測評項目合同簽訂以及項目完成后5個工作日內,向受理信息系統備案的公安機關報告等級測評項目有關情況。
第十八條 測評項目實施過程中,等級測評機構應接受等保辦的監督、檢查和指導。測評項目完成后,等級測評機構應請被測評信息系統運營使用單位對測評服務情況進行評價,評價情況由被測單位反饋等保辦。
第十九條 等級測評機構應定期向等保辦報送測評工作開展情況。根據測評實踐,每年底編制并報送信息系統安全狀況分析報告。第二十條 等級測評機構實行等級化管理。根據信息系統測評數量、機構規模、測評技術能力和服務質量等指標,對等級測評機構劃分為五個星級,最低為一星級,最高為五星級。等級測評機構星級評定標準由國家等保辦另行制定。
第二十一條 等級測評機構應于每年底向等保辦提交星級評定所需材料。
等保辦負責組織所推薦等級測評機構的星級評定審核工作,并出具星級評定意見。省級等保辦應及時將評定意見報國家等保辦審定,國家等保辦定期發布星級評定結果。
第二十二條 取得信息安全等級保護測評機構推薦證書未滿一年的,不參加星級評定。
第二十三條 等保辦負責對所推薦等級測評機構的日常監督檢查、測評項目抽查和年審工作,及時掌握等級測評機構工作情況。
第二十四條 等保辦應于每年底對所推薦的等級測評機構進行年審。等級測評機構自推薦之日起未滿6個月的,當年可免予年審。年審時,等級測評機構應提交以下材料:
(一)《信息安全等級保護測評機構年審表》;
(二)信息安全等級保護測評機構推薦證書副本;
(三)測評工作總結;
(四)其他所需材料。
第二十五條
國家等保辦負責組織開展等級測評機構能力驗證和抽查工作。
第二十六條 等級測評機構有下列情形之一的,等保辦應責令其限期整改;情形嚴重的,予以通報。
(一)未按照有關標準規范開展測評或未按規定出具信息系統安全等級測評報告的;
(二)影響被測評信息系統正常運行,危害被測評信息系統安全的;
(三)非授權占有、使用,未妥善保管等級測評相關資料及數據文件的;
(四)分包或轉包等級測評項目,以及擾亂測評市場秩序的;
(五)限定被測評單位購買、使用指定信息安全產品的;
(六)測評人員未取得等級測評師證書和上崗證從事等級測評活動的;
(七)未按本辦法規定向等保辦提交材料、報告情況或弄虛作假的;
(八)其他違反等級測評有關規定的行為。
第二十七條 等級測評機構有下列情形之一的,等保辦應取消其信息安全等級保護測評機構推薦證書,并向社會公告。
(一)因單位股權、人員等情況發生變動,不符合等級測評機構基本條件的;
(二)有信息安全產品開發、銷售或信息系統安全集成行為的;
(三)故意泄露被測評單位工作秘密、重要信息系統數據信息的;
(四)故意隱瞞測評過程中發現的安全問題,或者在測評過程中弄虛作假未如實出具等級測評報告的;
(五)一年內未開展信息系統測評工作或自愿退出《全國信息安全等級保護測評機構推薦目錄》的;
(六)連續兩年年審不合格或限期整改后仍未通過復審的;
(七)違反本辦法第二十六條規定,情節特別嚴重的。第二十八條 等級測評師有下列行為之一的,等保辦應責令等級測評機構督促其限期改正;情節嚴重的,責令等級測評機構暫停其參與測評工作;情形特別嚴重的,應注銷其等級測評師證書,并對其所在等級測評機構進行通報。
(一)未經允許擅自使用或泄露、出售等級測評工作中收集的數據信息、資料或信息系統安全等級測評報告的;
(二)違反本辦法第十四條規定,未妥善保管等級測評師證書、上崗證,有涂改、出借、出租和轉讓等行為的;
(三)測評行為失誤或不當,影響信息系統安全或造成運營使用單位利益損失的;
(四)其他違反等級測評有關規定的行為。第二十九條 等級測評機構及其等級測評師違反本辦法的相關規定,給被測評信息系統運營使用單位造成嚴重危害和損失的,由相關部門依照有關法律、法規予以處理。
第三十條 任何單位和個人如發現等級測評機構、等級測評師有違法、違規行為的,可向國家等保辦舉報、投訴。
第三十一條 本辦法由國家等保辦負責解釋。第三十二條 本辦法自發布之日起實施。
點擊咨詢 