【2019年整理】《信息安全等级保护安全建设整改工作指南》
(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
![(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)](https://img.taocdn.com/s3/m/391ef8630b1c59eef8c7b436.png)
信息安全等级保护安全建设整改工作政策解读
计 算机 信息 系统安 全保护 等级 划分 准则 (G 1 8 9 ) B75
图2 等级保护相关标准与等级保护各工作环节的关 系
的共 同努力下 ,全 国信 息安全标准 化技术委 员会和公 安 部信 息系统安 全标准化 技术委 员会 组织 制订 了信息 安全 等级 保护工作 需要 的一 系列标准 ,形成 了比较完 整的信
意见 》中已经明确。可概况为:利用三年时间 , 开展三
项重 点工作 ,实现五方面 目标 。 1 三 年时 间 。由于 一些 重要 行业 信息 系统 较 多 , . 受资金 、人 员等条件 限制 , 虑实际情 况 ,全 国已定 级 考 信息 系统安全 建设整 改工作总体 上用三年 时间完成 。各 行 业主管 ( 管 ) 门应按照 时间要 求 ,根据本行 业信 监 部 息系统数量 和实际情况 ,合理部署 总体工作 进度。
1 各单 位 、各 部 门要将 已备 案的第 二级 ( ) . 含 以 上信息系统纳入安全 建设整改的范 围。 2 尚未 开 展 定 级 备 案 的信 息 系 统 ,要 先定 级 备 .
案 ,再开展安全建设 整改。 3 新建系统 要同步开展安全 建设 工作。 .
3 五方面 目标。通过开展安全建设整改工作 , , 关标准 与等级保护各 相
工作环 节的关 系如图2 所示 。 上述 标 准在 应 用 中需注 意 以下 问题 :一是 《基本
以下五方面 目 标:一是信息系缎 全管理水平明显提高,
二是信息系统安全防范能力明显增强 ,三是信息系统安全 隐患 和安全事故 明显减 少 ,四是有 效保障信 息化健康发 展 ,五是有效维护国家安全 、社会秩序和公共利益。
网络 技 要求
三 、信 息安全 等级保 护 安 全 建 设 整 改 的 工 作 目标
信息安全等级保护安全整改方案
信息安全等级保护安全整改方案根据我国《信息安全等级保护管理办法》的相关规定,我公司决定对信息系统进行安全整改,确保信息系统达到相应的安全等级保护要求,保护公司的重要信息资产安全。
二、整改范围本次安全整改面向公司所有的信息系统,包括但不限于网络设备、服务器、数据库、应用系统等。
三、整改内容1. 安全技术措施:对公司所有的信息系统进行全面的安全漏洞扫描和修复,确保系统的安全性和稳定性;加强对网络设备和服务器的安全配置管理,防止未授权访问和攻击;部署入侵检测系统和防火墙,建立完善的安全防护体系。
2. 安全管理措施:完善安全管理制度,明确员工的安全责任和权限管理;加强对系统日志和安全事件的监控和管理,保障信息系统的安全性和透明度。
3. 安全培训和意识提升:加强对员工的安全培训和意识提升,提高员工对信息安全的重视和对安全风险的识别能力。
四、整改时限本次安全整改计划在一个月内完成,并将整改过程尽快上报相关部门审核。
五、整改效果评估在整改完成后,将对信息系统进行全面的安全测试和评估,确保系统的安全防护措施得到有效的应用和实施。
以上是我公司信息安全等级保护安全整改方案,希望得到各部门的支持和配合,确保信息系统的安全等级保护工作顺利推进。
很高兴看到您对信息安全等级保护安全整改方案的重视。
在继续探讨这一重要议题之前,我们需要扩展讨论一下信息安全等级保护的概念和重要性。
信息安全等级保护是指依据我国相关法律法规和标准,对信息系统按照其重要程度和对敏感信息的处理程度进行分类和分级保护的一项工作。
其目的是为了防范和解决信息系统可能面临的各种安全威胁和风险,确保信息系统的安全性和稳定性。
信息安全等级保护的重要性不言而喻。
在当今信息化快速发展的时代,各种信息系统日益成为企业运营和管理中不可或缺的重要组成部分。
信息资产的保护对企业的稳定发展和业务运营至关重要。
因此,通过信息安全等级保护,能够有效提升企业对信息资产的保护和管理水平,增强企业的安全防护能力,有助于提高企业的信息化运作效率和竞争力,保护企业的核心利益。
信息安全等级保护整改工作方案
国家高度重视信息安全
国家先后出台了一系列信息安全文件和举措
2012年国务院以国发〔2012〕23号文件:《国务院关于大力推进信息化发展 和 切实保障信息安全的若干意见》,涉及安全提到提升网络与信息安全保障水 平等六个方面的任务:
健全安全防护和管理,保障重点领域信息安全 一、确保重要信息系统和基础信息网络安全。 二、加强政府和涉密信息系统安全管理。 三、保障工业控制系统安全。 四、强化信息资源和个人信息保护。 加快能力建设,提升网络与信息安全保障水平 一、夯实网络与信息安全基础。 二、加强网络信任体系建设和密码保障。 三、提升网络与信息安全监管能力。 四、加快技术攻关和产业发展。 五、加强宣传教育和人才培养。 六、加快法规制度和标准建设。
• 等级保护的定位和作用: – 是信息安全工作的基本制度、基本国策,是国家意志的体现。 – 是开展信息安全工作的基本方法。 – 是促进信息化、维护国家信息安全的根本保障。 • 五个规定动作:信息系统定级、备案、安全建设整改、等级测评、监督 检查。 • 各单位要按照“准确定级、严格审批、及时备案、认真整改、科学测评” 的要求开展等级保护的定级、备案、整改、测评等工作。
(摘自“《关于信息安全等级保护工作的实施意见》 (公通字[2004]66号 )文件)
信息系统安全保护等级
第五级
信息系统受到破坏后,会对国家安全造成特别 严重损害。 信息系统受到破坏后,会对社会秩序和公共利 益造成特别严重损害,或者对国家安全造成严 重损害。 信息系统受到破坏后,会对社会秩序和公共利 益造成严重损害,或者对国家安全造成损害。
信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则 信 息 系 统 安 全 等 级 保 护 实 施 指 南
测信 评息 过系 程统 指安 南全 等 级 保 护
信息安全等级保护安全整改方案计划模版
信息安全等级保护安全整改方案xxx公司20xx年x月工作项目清单信息安全等级保护安全服务方案目录第一章概述 (5)1.1项目背景 (5)1.2现状描述 (5)第二章总体设计 (11)2.1项目目标 (11)2.2项目原则 (11)2.3项目依据 (12)2.3.1政策法规 (12)2.3.2标准规范 (13)2.4实施策略 (13)2.4.1技术体系分析 (13)2.4.2管理体系分析 (14)2.4.3业务系统分析 (14)2.4.4充分全面的培训 (15)2.5项目内容 (16)2.5.1差距分析 (16)2.5.2整改方案设计 (16)2.5.3安全优化与调整 (16)2.5.4等级保护管理制度建设 (16)第三章差距分析 (17)3.1工作目的 (17)3.2工作方式 (17)3.3工作内容 (18)3.3.1物理安全 (19)3.3.2主机安全 (20)3.3.3网络安全 (24)3.3.4应用安全 (28)3.3.5数据安全及备份恢复 (32)3.3.6安全管理制度 (36)3.3.7安全管理机构 (39)3.3.8人员安全管理 (43)3.3.9系统建设管理 (47)3.3.10系统运维管理 (50)3.4提交成果 (54)第四章等级保护整改方案设计 (55)4.1工作目的 (55)4.2工作方式 (55)4.3工作内容 (56)4.4提交成果 (58)第五章系统优化及调整 (59)5.1工作目的 (59)5.2工作方式 (59)5.3工作流程 (59)5.4工作内容 (60)5.5提交成果 (61)第六章等级保护管理制度建设 (61)6.1工作目的 (61)6.2工作方式 (62)6.3工作内容 (62)6.4工作成果 (63)第七章培训与验收 (66)7.1培训内容 (66)7.1.1等级保护整改培训 (66)7.1.2信息安全等级保护培训 (67)7.1.3认证考试 (67)7.2项目验收 (67)7.2.1验收依据和标准 (67)7.2.2验收内容 (68)第八章项目管理与组织 (70)8.1项目管理架构 (70)8.2项目成员 (72)8.3项目进度 (74)第九章国都兴业服务特色 (76)9.1丰富的服务经验 (76)9.2有保障的服务团队 (76)9.3严格明确的服务原则 (76)9.4专业化的服务队伍 (77)第十章服务质量保证 (78)10.1制定质量计划 (78)10.2规范质量审核 (79)10.3质量文档管理 (79)10.4服务报告制度 (80)10.5客户满意度调查制度 (80)概述项目背景信息安全等级保护是国家信息系统安全保障工作的基本制度和基本国策,是国家对基础信息网络和重要信息系统实施重点保护的关键措施。
信息安全等级保护安全整改方案模版
信息安全等级保护安全整改方案模版信息安全等级保护(信息安全等级保护)是指依据信息系统的价值、重要性,根据信息系统的安全目标划定的的等级保护要求,并采取相应的安全保护措施的专业领域。
对于信息系统而言,安全问题是一个持续存在的挑战,为了保证信息系统的安全性,必须进行安全整改工作。
下面是信息安全等级保护安全整改方案模板。
一、安全整改背景说明在进行安全整改方案的制定之前,需要对安全整改的背景进行说明,包括由于什么原因需要进行安全整改,整改的目标是什么等。
二、整改目标及范围描述整改的具体目标是什么,整改的范围是哪些,即整改工作的具体内容。
三、整改思路及方法说明整改采用的思路和方法,包括但不限于以下几个方面:1.问题分析:对信息系统中存在的安全问题进行全面的分析和排查,包括弱口令、漏洞、未授权访问等。
2.整改方案制定:根据问题分析的结果,制定出具体的整改方案,明确整改的目标、范围和时间计划等。
3.整改措施实施:根据整改方案中确定的目标和计划,组织相关人员进行整改措施的实施。
具体包括对系统进行修复和加固、加强访问控制等。
4.监测和评估:在整改措施实施完毕后,进行监测和评估,验证整改效果是否满足预期目标。
5.整改结果报告:根据监测和评估的结果,制定整改结果报告,对整改工作进行总结和反馈。
四、整改计划制定整改工作的详细计划,包括但不限于以下几个方面:1.整改时间计划:明确整改的起止时间和每个阶段的时间安排。
2.人员安排:明确整改工作所需的人员,包括整改小组成员和相关协助人员。
3.资源支持:准备所需的资源,包括硬件设备、软件工具等。
4.沟通协调:确保整改工作的顺利进行,进行内外部的沟通和协调。
五、风险管理对整改过程中可能存在的风险进行评估和管理,包括但不限于以下几个方面:1.风险识别:识别整改过程中可能出现的风险,包括资源不足、人员流失等。
2.风险评估:对识别出的风险进行评估,确定其可能带来的影响和潜在风险级别。
3.风险应对措施:根据风险评估的结果,制定相应的风险应对措施,减轻风险的影响。
等级保护安全整改方案
等级保护安全整改方案I. 背景介绍随着信息技术的高速发展和互联网的普及应用,安全问题也随之变得日益严峻。
等级保护安全整改方案,旨在保障机构或组织的信息系统安全,防范各类安全威胁,确保信息资产的保密性、完整性和可用性。
II. 等级保护安全整改方案目标1. 确定安全隐患:对现有的信息系统进行全面的安全评估,识别潜在的安全隐患和风险点。
2. 制定整改计划:根据安全评估结果,制定详细的整改计划,明确整改目标、责任和时间节点。
3. 强化安全意识培训:加强人员的安全意识培训,提高员工对安全风险的认识和应对能力。
4. 加强安全设施建设:优化现有的安全设施,完善物理、技术和管理层面的安全保障措施。
5. 提高应急响应能力:建立健全的应急响应机制,为应对安全事件提供及时、有效的应急响应和处理措施。
III. 整改方案内容1. 安全评估首先,对现有的信息系统进行全面的安全评估,包括安全漏洞扫描、风险评估、安全隐患发现等。
根据评估结果,对系统的安全性进行等级评定,并明确需要整改的内容。
2. 整改计划根据安全评估结果制定整改计划,明确整改的目标、责任和时间节点。
整改计划应该具体细致,充分考虑每个环节的安全要求和措施,确保整改工作的顺利进行。
3. 安全意识培训通过开展安全意识培训,提高员工对安全风险的认识和应对能力。
培训内容包括信息安全基础知识、安全操作规范以及常见安全威胁的防范措施等。
通过定期组织安全知识竞赛、发放安全宣传资料等形式,提高员工的安全意识和自我保护能力。
4. 安全设施建设加强对安全设施的建设和优化,包括物理安全设施、技术安全设施和管理层面的安全保障措施等。
确保信息系统的物理环境安全,采用合适的安全设备和技术,加强网络安全防护,建立防火墙、入侵检测系统等,确保信息系统的完整性和可用性。
5. 应急响应能力建设建立完善的信息安全应急响应机制,包括建立应急响应团队、制定应急响应流程和调度指南等。
定期组织演练,提高应急响应能力,确保在安全事件发生时能够及时、有效地做出应对,并对安全事件进行调查和处理。
信息安全等级保护安全建设整工作指南.doc
1.2工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。
信息安全等级保护安全建设整工作指南
附件2信息安全等级保护安全建设整改工作指南中华人民共和国公安部二〇〇九年十月前言为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方法,公安部编写了信息安全等级保护安全建设整改工作指南,供参考。
该流程如图2所示。
信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理图2信息系统安全建设整改工作基本流程1.4标准应用信息系统安全建设整改工作应依据基本要求,并在不同阶段、针对不同技术活动参照相应的标准规范进行。
要依据信息系统安全等级保护基本要求(以下简称基本要求),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,具体内容如图1所示。
信息系统安全等级保护基本要求安全管理机构l岗位设置l人员配备l授权和审批l沟通和合作l审核和检查安全管理制度l管理制度l制定和发布l评审和修订人员安全管理l人员录用l人员离岗l人员考核l教育和培训l人员访问管理系统建设管理l定级备案l安全方案设计l产品采购使用l自行软件开发l外包软件开发l工程实施l测试验收l系统交付l安全服务选择l等级测评系统运维管理l环境管理l资产管理l介质管理l设备管理l监控管理l安全管理中心l网络安全管理l系统安全管理l变更管理l备份恢复管理l事件处置l应急响应安全管理建设整改物理安全l机房位置选择l防火防雷l防水防潮l防静电l物理访问控制l防盗窃防破坏l温湿度控制l电力供应l电磁防护网络安全l区域划分l边界防护l访问控制l安全审计l入侵防范l病毒防护l通信保护数据安全与备份恢复l数据保密性l数据完整性l备份与恢复主机安全l身份鉴别l访问控制l安全审计l入侵防范l病毒防护l资源控制l安全标记l剩余信息保护应用安全l身份鉴别l访问控制l安全审计l通信完整性l通信保密性l软件容错l资源控制l安全标记l剩余信息保护l抗抵赖安全技术建设整改图1信息系统安全建设整改主要内容需要说明的是不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确定。
关于开展信息安全等级保护安全建设整改工作的指导意见
关于开展信息安全等级保护安全建设整改工作的指导意见为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,指导各部门在信息安全等级保护定级工作基础上,开展已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作,特提出如下意见:一、明确工作目标依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益,力争在2012年底前完成已定级信息系统安全建设整改工作。
二、细化工作内容(一)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。
建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(二)开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力。
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
关于开展信息安全等级保护安全建设整改工作的指导意见
关于开展信息安全等级保护安全建设整改工作的指导意见信息安全是企业发展的重要基石,而信息安全等级保护是信息安全管理的重要手段。
为了进一步加强信息安全等级保护,保障企业信息系统、数据和业务的安全稳定运行,我们制定了以下。
一、重视信息安全等级保护工作信息安全等级保护是信息安全管理体系的重要组成部分,是企业信息安全管理的重要手段。
信息安全等级保护工作不仅关系到企业的核心业务和重要数据安全,更关乎企业的声誉和信誉。
因此,企业领导和各级管理人员要高度重视信息安全等级保护工作,明确信息安全等级保护的重要性和紧迫性,加强组织领导,明确责任分工,统筹推进。
二、建立完善的信息安全管理体系建立完善的信息安全管理体系是信息安全等级保护工作的基础和前提。
企业要根据自身情况,建立健全的信息安全管理组织架构,明确信息安全管理的工作职责和权限,制定信息安全相关政策和规范,确保信息安全管理工作的顺利开展。
同时,企业要健全信息安全管理制度,建立健全的信息安全管理流程,确保信息安全管理工作的科学化、规范化和持续化。
三、加强信息安全风险评估和防范信息安全等级保护工作需要加强风险管理和风险防范。
企业要开展信息安全风险评估,识别和评估信息安全风险,明确主要的信息安全威胁与风险,制定相应的风险防范措施,加强对信息安全风险的管控和防范,确保信息系统、数据和业务的安全稳定运行。
四、加强信息安全技术和管理能力建设信息安全技术和管理能力是信息安全等级保护的核心竞争力。
企业要加强信息安全技术和管理能力建设,培养信息安全专业人才,提升信息安全防护技术能力,加强信息安全管理水平,建立信息安全技术和管理能力的持续改进机制,保障信息安全工作的顺利开展。
五、监督检查和整改落实监督检查和整改落实是信息安全等级保护工作的核心环节。
企业要建立健全的信息安全等级保护监督检查机制,加强对信息安全等级保护工作的监督检查,发现并及时纠正信息安全管理存在的问题和风险,确保信息安全等级保护工作的有效落实。
信息安全等级保护安全建设整改工程
开展信息系统安全等级测评,使信息系统安全保护状况逐步 达到等级保护要求。
(摘自“公信安[2009]1429号”文件)
建设整改工作要求
统一组织,加强领导; 循序渐进,分步实施; 结合实际,制定规范; 认真总结,按时报送。
(摘自“公信安[2009]1429号”文件)
技术类
信息系统通用安全
管理类
信息系统安全
产品类
操作系统安全技术
系统定级中的S、A
五个等级的定义
第一级, 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成 损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安 [2009]1429号)
等级的概念-重要程度等级
在《管理办法》中,明确了“信息系统的安全 保护等级应当根据信息系统在国家安全、经济 建设、社会生活中的重要程度,信息系统遭到 破坏后对国家安全、社会秩序、公共利益以及 公民、法人和其他组织的合法权益的危害程度 等因素确定”
管理办法(43号文)规定的等级保护工作
一是:定级。 二是:备案。 三是:系统建设、整改。 四是:开展等级测评。 五是:信息安全监管部门定期开展监督检查
等级保护“规定动作”
系统定级
系统备案
建设整改
监督检查
等级测评
- 16 -
安全建设整改的地位和作用
信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则
安全建设整改的目的
信息安全等级保护安全建设整改工作培训材料
信息安全等级保护安全建设整改工作培训材料公安部网络安全保卫局二〇〇九年十二月前言为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》精神,有效解决信息系统安全保护中存在的管理制度不健全、技术措施不符合标准要求、安全责任不落实等突出问题,提高我国重要信息系统的安全保护能力,在全国信息系统安全等级保护定级工作基础上,公安部印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),部署开展信息系统等级保护安全建设整改工作。
为便于信息系统等级保护安全建设整改工作相关单位全面了解和掌握信息安全等级保护安全建设整改工作所依据的政策和技术标准,明确开展等级保护安全建设整改工作的目标、内容和要求,更好地指导各单位、各部门开展信息安全等级保护安全建设整改工作,加强宣传和培训工作,我们编写了本培训材料,供参考使用。
有关材料下载网址:公安部网站:等级保护网站:目录一、当前开展信息安全等级工作面临的形势二、信息安全等级保护安全建设整改工作依据的政策(一)总体政策(二)具体政策1、定级政策2、备案政策3、安全建设整改政策4、等级测评政策5、检查监督政策三、信息安全等级保护安全建设整改工作依据的标准(一)基础类标准(二)安全要求类标准(三)定级类标准(四)方法指导类标准(五)现状分析类标准四、信息安全等级保护安全建设整改的工作目标五、信息安全等级保护安全建设整改的工作对象六、信息安全等级保护安全建设整改的工作内容及要求(一)信息安全等级保护安全管理制度建设(二)信息安全等级保护安全技术措施建设七、信息安全等级保护安全建设整改的工作流程八、信息安全等级保护安全建设整改的工作方法九、信息安全等级保护安全建设整改中的几项相关工作(一)信息安全等级测评(二)信息安全产品的选择使用(三)信息系统安全建设整改方案的制定十、信息安全等级保护安全建设整改工作的检查监督十一、总体工作要求附件:国家信息安全等级保护安全建设指导专家委员会职责国家信息安全等级保护安全建设指导专家委员会专家名单信息安全等级保护安全建设整改工作培训材料一、当前开展信息安全等级工作面临的形势近年来,在党中央、国务院的高度重视下,通过各地区、各部门的共同努力,信息安全工作取得明显成效:信息安全责任进一步明确,等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展,信息安全防护水平明显提高。
信息安全等级保护整改方案设计思路
边界,以及与通信网络之间实现连 接功能的所有部件。 通过在区域边界处 安全隔离
与信息交换系统、安全网关
等安全产品,保障信息系统区域边 界安全。
28
四、安全区域边界具体部署
1、2、3、4
1.抗拒绝服务系统
2.防火墙
3.防病毒网关 4.流量分析网关
安全区域边界
29
29
四、安全通信网络安全功能
《信息安全等级保护管理办法》(公通字[2007]43号)
12
一、政策和技术标准:核心技术标准
《计算机信息系统安全保护等级划分准则》 (GB17859-1999) 《信息系统安全等级保护基本要求》(GB/T22239-2008) 《信息系统等级保护安全设计技术要求》(已送批)
等级保护整改方案设计时的重要依据: 最早提出的技术类标准; 等保系统建设的基本目标; 一个中心三重防护;统一管理,统一策略 基础性、强制性标准,指导性标准; 等保系统建设的基本要求;
计算环境
通信网络 区域边界
计算环境
计算环境
23
安全管理中心
四、安全计算环境安全功能
用户身份鉴别 自主访问控制 标记和强制访问控制 安全计算环境 系统安全审计 用户数据完整性保护 用户数据保密性保护
客体安全重用 程序可信执行保护
24
四、安全计算环境安全设计
定级系统安全保护环境由安全计算环境、安全区域边界、 安全通信网络和(或)安全管理中心组成。
安全管理中心:
安全管理中心 是对定级系
安全管理中心
统的安全策略及安全计算环境、安 全区域边界和安全通信网络上的安 全机制实施统一管理的平台。 将各种安全产品的 安全管
理平台集中部署,实现对信息系统
培训材料之3-信息安全等级保护安全建设整改技术工作主要内容及相关标准应用
信息安全等级保护安全建设整改工作培训材料之一信息安全等级保护安全建设整改技术工作主要内容及相关标准应用公安部信息安全等级保护评估中心二〇〇九年十一月目录1 概述(1)信息系统安全建设整改的目的(1)安全建设整改在落实等级保护工作中的作用(1)2 安全建设整改依据的标准(2)相关标准在等级保护各阶段工作中的作用(2)安全建设整改工作依据的标准(5)《基本要求》作用(5)《基本要求》框架结构(5)安全保护能力(6)《基本要求》的选择和使用说明(8)3 安全管理建设整改工作的内容和方法(10)落实信息安全责任制(11)信息系统安全管理现状分析(12)确定安全管理策略,制定安全管理制度(12)落实安全管理措施(13)人员安全管理(13)系统运维管理(14)系统建设管理(16)安全自查与调整(17)4 安全技术建设整改工作的内容和方法(17)信息系统安全保护技术现状分析(18)信息系统安全技术建设整改方案设计(19)确定安全技术策略,设计总体技术方案(19)安全技术方案详细设计(21)建设经费预算和工程实施计划(25)方案论证和备案(25)安全建设整改工程实施和管理(26)工程实施和管理(26)工程监理和验收(26)5 安全等级测评(27)等级测评依据的标准(27)测评要求(27)测评过程指南(28)等级测评的工作流程和工作内容(29)等级测评工作中的风险控制(31)存在的风险(31)风险的规避(31)等级测评报告的主要内容(33)6 信息系统安全建设整改方案要素(34)项目背景(34)开展信息系统安全建设整改的法规政策和技术依据(34)信息系统安全建设整改安全需求分析(34)信息系统安全等级保护建设整改技术方案设计(35)信息系统安全等级保护建设整改管理体系设计(35)信息系统安全产品选型及技术指标(35)安全建设整改后信息系统残余风险分析(35)信息系统安全等级保护整改项目实施计划(35)信息系统安全等级保护项目预算(35)概述信息系统安全建设整改的目的在已定级的信息系统中,大多数信息系统在建设之初还没有将等级保护要求作为安全需求加以考虑,因此所构建的信息系统安全保障体系或采取的安全保护措施是以满足本部门、本单位的安全需求为出发点的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件2信息安全等级保护安全建设整改工作指南中华人民共和国公安部二〇〇九年十月前言为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方法,公安部编写了《信息安全等级保护安全建设整改工作指南》,供参考。
本指南包括总则、安全管理制度建设、安全技术措施建设三个部分,附录是信息安全等级保护主要标准简要说明。
由于时间仓促,经验不足,不妥之处,敬请批评指正。
目录1 总则 (1)1.1 工作目标 (1)1.2 工作内容 (1)1.3 工作流程 (2)1.4 标准应用 (3)1.5 安全保护能力目标 (5)2 安全管理制度建设 (6)2.1 落实信息安全责任制 (7)2.2 信息系统安全管理现状分析 (7)2.3 确定安全管理策略,制定安全管理制度 (8)2.4 落实安全管理措施 (8)2.4.1 人员安全管理 (8)2.4.2 系统运维管理 (8)2.4.2.1 环境和资产安全管理 (8)2.4.2.2 设备和介质安全管理 (9)2.4.2.3 日常运行维护 (9)2.4.2.4 集中安全管理 (9)2.4.2.5 事件处置与应急响应 (9)2.4.2.6 灾难备份 (9)2.4.2.7 安全监测 (10)2.5 系统建设管理 (10)2.6 安全自查与调整 (10)3 安全技术措施建设 (10)3.1 信息系统安全保护技术现状分析 (11)3.1.1 信息系统现状分析 (11)3.1.2 信息系统安全保护技术现状分析 (12)3.1.3 安全需求论证和确定 (12)3.2 信息系统安全技术建设整改方案设计 (12)3.2.1 确定安全技术策略,设计总体技术方案 (12)3.2.1.1 确定安全技术策略 (12)3.2.1.2 设计总体技术方案 (12)3.2.2 安全技术方案详细设计 (13)3.2.2.1 物理安全设计 (13)3.2.2.2 通信网络安全设计 (13)3.2.2.3 区域边界安全设计 (13)3.2.2.4 主机系统安全设计 (13)3.2.2.5 应用系统安全设计 (14)3.2.2.6 备份和恢复安全设计 (14)3.2.3 建设经费预算和工程实施计划 (14)3.2.3.1 建设经费预算 (14)3.2.4 方案论证和备案 (15)3.3 安全建设整改工程实施和管理 (15)3.3.1 工程实施和管理 (15)3.3.2 工程监理和验收 (15)3.3.3 安全等级测评 (15)附录:信息安全等级保护主要标准简要说明 (17)1 总则1.1 工作目标信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上,按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。
通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。
1.2 工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。
要依据《信息系统安全等级保护基本要求》(以下简称《基本要求》),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,具体内容如图1所示。
图1:信息系统安全建设整改主要内容需要说明的是:不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确定。
信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全技术整改内容一并实施,或分步实施。
1.3 工作流程信息系统安全建设整改工作分五步进行。
第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。
该流程如图2所示。
图2:信息系统安全建设整改工作基本流程1.4 标准应用信息系统安全建设整改工作应依据《基本要求》,并在不同阶段、针对不同技术活动参照相应的标准规范进行。
等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。
图3:等级保护相关标准间的关系需要说明的是,(一)《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。
《计算机信息系统安全保护等级划分准则》(GB17859,以下简称《划分准则》)是等级保护的基础性标准,《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。
《基本要求》以技术类标准和管理类标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求,即基线要求。
(二)《基本要求》是信息系统安全建设整改的依据。
信息系统安全建设整改应以落实《基本要求》为主要目标。
信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。
当信息系统有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。
行业主管部门可以依据《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》。
(三)《定级指南》为定级工作提供指导。
《信息系统安全等级保护定级指南》为信息系统定级工作提供了技术支持。
行业主管部门可以根据《定级指南》,结合行业特点和信息系统实际情况,出台本行业的定级细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展。
(四)《测评要求》等标准规范等级测评活动。
等级测评是评价信息系统安全保护状况的重要方法。
《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。
《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性。
(五)《实施指南》等标准指导等级保护建设。
《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。
《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导,是实现《基本要求》的方法之一。
1.5 安全保护能力目标各级信息系统应通过安全建设整改分别达到以下安全保护能力目标:第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。
第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。
第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
2 安全管理制度建设按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统等级保护安全管理制度建设工作。
工作流程见图4。
图4:信息系统安全管理建设整改工作流程2.1 落实信息安全责任制明确领导机构和责任部门,设立或明确信息安全领导机构,明确主管领导,落实责任部门。
建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。
建立安全教育和培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核,提高相关人员的安全意识和操作水平。
具体依据《基本要求》中的“安全管理机构”内容,同时可以参照《信息系统安全管理要求》等。
2.2 信息系统安全管理现状分析在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。
可以依据《基本要求》等标准,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求并论证。
2.3 确定安全管理策略,制定安全管理制度根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
具体依据《基本要求》中的“安全管理制度”内容,同时可以参照《信息系统安全管理要求》等。
2.4 落实安全管理措施2.4.1 人员安全管理人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
规范人员录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。