【信息化-精编】电子政务信息安全等级保护实施指南
(智慧政务)电子政务信息安全等级保护实施指南
(智慧政务)电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
信息系统安全等级保护实施指南
目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (13)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (14)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)IGB/T XXXX –XXXX7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (20)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (27)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (29)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (30)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A(规范性附录)主要过程及其活动输出 (33)II前言本标准的附录A是规范性附录。
《电子政务信息安全等级保护实施指南》
《电子政务信息安全等级保护实施指南》国信办[2005]25号关于印发《电子政务信息安全等级爱护实施指南(试行)》的通知各省、自治区、直辖市信息化领导小组办公室,中央和国家机关各部委信息化领导小组办公室:现将《电子政务信息安全等级爱护实施指南(试行)》印发你们,供你们在开展电子政务信息安全保证工作中参考。
国务院信息化工作办公室二〇〇五年九月十五日电子政务信息安全等级爱护实施指南(试行)国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范畴 (1)1.3 文档结构 (1)2 差不多原理 (2)2.1 差不多概念 (2)2.1.1 电子政务等级爱护的差不多含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级爱护的差不多安全要求 (4)2.2 差不多方法 (4)2.2.1 等级爱护的要素及其关系 (4)2.2.2 电子政务等级爱护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级爱护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域爱护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 爱护对象分类 (19)4.1.3 系统分域爱护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级爱护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级爱护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域爱护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表名目图2-1电子政务等级爱护的实现方法 (6)图2-2电子政务等级爱护的差不多流程 (7)图2-3等级爱护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的爱护对象及信息资产 (20)图4-3系统分域爱护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级爱护的运行改进过程 (26)表2-1电子政务系统五个安全等级的差不多内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级爱护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保证工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保证工作实行等级爱护制度,提出“抓紧建立信息安全等级爱护制度,制定信息安全等级爱护的治理方法和技术指南”。
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南On March 12, 2022, study standards and apply standards.目次前言.................................................................................... 引言....................................................................................1 范围.................................................................................2 规范性引用文件.......................................................................3 术语和定义...........................................................................4 等级保护实施概述.....................................................................基本原则..............................................................................角色和职责............................................................................实施的基本流程........................................................................5 信息系统定级.........................................................................信息系统定级阶段的工作流程............................................................信息系统分析..........................................................................系统识别和描述........................................................................信息系统划分..........................................................................安全保护等级确定......................................................................定级、审核和批准......................................................................形成定级报告..........................................................................6 总体安全规划.........................................................................总体安全规划阶段的工作流程............................................................安全需求分析..........................................................................基本安全需求的确定....................................................................额外/特殊安全需求的确定...............................................................形成安全需求分析报告..................................................................总体安全设计..........................................................................总体安全策略设计......................................................................安全技术体系结构设计..................................................................整体安全管理体系结构设计..............................................................设计结果文档化........................................................................安全建设项目规划......................................................................安全建设目标确定......................................................................安全建设内容规划......................................................................形成安全建设项目计划..................................................................7 安全设计与实施.......................................................................安全设计与实施阶段的工作流程..........................................................安全方案详细设计......................................................................技术措施实现内容设计..................................................................管理措施实现内容设计..................................................................设计结果文档化........................................................................管理措施实现..........................................................................管理机构和人员的设置..................................................................管理制度的建设和修订..................................................................人员安全技能培训......................................................................安全实施过程管理......................................................................技术措施实现..........................................................................信息安全产品采购......................................................................安全控制开发..........................................................................安全控制集成..........................................................................系统验收..............................................................................8 安全运行与维护.......................................................................安全运行与维护阶段的工作流程..........................................................运行管理和控制........................................................................运行管理职责确定......................................................................运行管理过程控制......................................................................变更管理和控制........................................................................变更需求和影响分析....................................................................变更过程控制..........................................................................安全状态监控..........................................................................监控对象确定..........................................................................监控对象状态信息收集..................................................................监控状态分析和报告....................................................................安全事件处置和应急预案................................................................安全事件分级..........................................................................应急预案制定..........................................................................安全事件处置..........................................................................安全检查和持续改进....................................................................安全状态检查..........................................................................改进方案制定..........................................................................安全改进实施..........................................................................等级测评..............................................................................系统备案..............................................................................监督检查..............................................................................9 信息系统终止.........................................................................信息系统终止阶段的工作流程............................................................信息转移、暂存和清除..................................................................设备迁移或废弃........................................................................存储介质的清除或销毁.................................................................. 附录A规范性附录主要过程及其活动输出....................................................前言本标准的附录A是规范性附录;本标准由公安部和全国信息安全标准化技术委员会提出;本标准由全国信息安全标准化技术委员会归口;本标准起草单位:公安部信息安全等级保护评估中心;本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥;引言依据中华人民共和国计算机信息系统安全保护条例国务院147号令、国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号、关于信息安全等级保护工作的实施意见公通字200466号和信息安全等级保护管理办法,制定本标准;本标准是信息安全等级保护相关系列标准之一;与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求;在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作;在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级;在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作;GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集;对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和 GB/T20271-2006等标准的要求;除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准;信息系统安全等级保护实施指南1 范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施;2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款;凡是注日期的引用文件,其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本;凡是不注明日期的引用文件,其最新版本适用于本标准;GB/T 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 和GB 17859-1999确立的以及下列术语和定义适用于本标准;等级测评 classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程;4 等级保护实施概述4.1 基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督;信息系统安全等级保护实施过程中应遵循以下基本原则:a)自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护;b)重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;c)同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应;d)动态调整原则要跟踪信息系统的变化情况,调整安全保护措施;由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护;4.2 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下:a)国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调;b)信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作;c)信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置;d)信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确e),协助信技术标准,f)4.3对信息系统实施等级保护的基本流程见图1;图1 信息系统安全等级保护实施的基本流程在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程;5 信息系统定级5.1 信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准;信息系统定级阶段的工作流程见图2;活动目标:本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档;参与角色:信息系统运营、使用单位,信息安全服务机构;活动输入:信息系统的立项、建设和管理文档;活动描述:本活动主要包括以下子活动内容:a) 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式;b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体;c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围;d) 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,输入 输出 主要过程将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象;e)识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度;f)识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等;g)信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件;一个典型的信息系统的总体描述文件应包含以下内容:1 系统概述;2 系统边界描述;3 网络拓扑;4 设备部署;5 支撑的业务应用的种类和特性;6 处理的信息资产;7 用户的范围和用户类型;8 信息系统的管理框架;活动输出:信息系统总体描述文件;5.2.2 信息系统划分活动目标:本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数;参与角色:信息系统运营、使用单位,信息安全服务机构;活动输入:信息系统总体描述文件;活动描述:本活动主要包括以下子活动内容:a)划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则;b)信息系统划分依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征;在信息系统划分的过程中,应该首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素;c)信息系统详细描述在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数;进一步的信息系统详细描述文件应包含以下内容:1 相对独立信息系统列表;2 每个定级对象的概述;3 每个定级对象的边界;4 每个定级对象的设备部署;5 每个定级对象支撑的业务应用及其处理的信息资产类型;6 每个定级对象的服务范围和用户类型;7 其他内容;活动输出:信息系统详细描述文件;5.3 安全保护等级确定5.3.1 定级、审核和批准活动目标:本活动的目标是按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性;参与角色:信息系统主管部门,信息系统运营、使用单位,信息安全服务机构;活动输入:信息系统总体描述文件,信息系统详细描述文件;活动描述:本活动主要包括以下子活动内容:a)信息系统安全保护等级初步确定根据国家有关管理规范和GB/T AAAA-AAAA确定的定级方法,信息系统运营、使用单位对每个定级对象确定初步的安全保护等级;b)定级结果审核和批准信息系统运营、使用单位初步确定了安全保护等级后,有主管部门的,应当经主管部门审核批准;跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级;对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审;活动输出:信息系统定级评审意见;5.3.2 形成定级报告活动目标:本活动的目标是对定级过程中产生的文档进行整理,形成信息系统定级结果报告;参与角色:信息系统主管部门,信息系统运营、使用单位;活动输入:信息系统总体描述文件,信息系统详细描述文件,信息系统定级结果;活动描述:对信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告;信息系统定级结果报告可以包含以下内容:a)单位信息化现状概述;b)管理模式;c)信息系统列表;d)每个信息系统的概述;e)每个信息系统的边界;f)每个信息系统的设备部署;g)每个信息系统支撑的业务应用;h)信息系统列表、安全保护等级以及保护要求组合;i)其他内容;活动输出:信息系统安全保护等级定级报告;6 总体安全规划6.1 总体安全规划阶段的工作流程总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施;对于已运营运行的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距;总体安全规划阶段的工作流程见图3;活动目标:本活动的目标是根据信息系统的安全保护等级,判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距,提出信息系统的基本安全保护需求;参与角色: 信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构;活动输入: 信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档,信息系统安全等级保护基本要求;活动描述:本活动主要包括以下子活动内容:a) 确定系统范围和分析对象明确不同等级信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等;初步确定每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等;b) 形成评价指标和评估方案根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标;根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案可以包含以下内容:1) 管理状况评估表格;2) 网络状况评估表格;3) 网络设备含安全设备评估表格;4) 主机设备评估表格;5) 主要设备安全测试方案;6) 重要操作的作业指导书;c) 现状与评价指标对比通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论;整理和分析不符合的评价指标,确定信输入 输出 主要过程息系统安全保护的基本需求;活动输出:基本安全需求;6.2.2 额外/特殊安全需求的确定活动目标:本活动的目标是通过对信息系统重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,采用需求分析/风险分析的方法,确定可能的安全风险,判断对超出等级保护基本要求部分实施特殊安全措施的必要性,提出信息系统的特殊安全保护需求;参与角色:信息系统运营、使用单位,信息安全服务机构;活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统相关的其它文档;活动描述:确定特殊安全需求可以采用目前成熟或流行的需求分析/风险分析方法,或者采用下面介绍的活动:a)重要资产的分析明确信息系统中的重要部件,如边界设备、网关设备、核心网络设备、重要服务器设备、重要应用系统等;b)重要资产安全弱点评估检查或判断上述重要部件可能存在的弱点,包括技术上和管理上的;分析安全弱点被利用的可能性;c)重要资产面临威胁评估分析和判断上述重要部件可能面临的威胁,包括外部的威胁和内部的威胁,威胁发生的可能性或概率;d)综合风险分析分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性;按照重要资产的排序和风险的排序确定安全保护的要求;活动输出:重要资产的特殊保护要求;6.2.3 形成安全需求分析报告活动目标:本活动的目标是总结基本安全需求和特殊安全需求,形成安全需求分析报告;参与角色:信息系统运营,使用单位,信息安全服务机构;活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,基本安全需求,重要资产的特殊保护要求;活动描述:本活动主要包括以下子活动内容:a)完成安全需求分析报告根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告;安全需求分析报告可以包含以下内容:1)信息系统描述;2)安全管理状况;3)安全技术状况;4)存在的不足和可能的风险;5)安全需求描述;活动输出:安全需求分析报告;6.3 总体安全设计6.3.1 总体安全策略设计活动目标:本活动的目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构;参与角色:信息系统运营、使用单位,信息安全服务机构;活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告;活动描述:本活动主要包括以下子活动内容:a)确定安全方针形成机构最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;b)制定安全策略形成机构高层次的安全策略文件,说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、子系统互连策略、信息流控制策略等;活动输出:总体安全策略文件;6.3.2 安全技术体系结构设计活动目标:本活动的目标是根据信息系统安全等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,提出系统需要实现的安全技术措施,形成机构特定的系统安全技术体系结构,用以指导信息系统分等级保护的具体实现;参与角色:信息系统运营、使用单位,信息安全服务机构;活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求;活动描述:本活动主要包括以下子活动内容:a)规定骨干网/城域网的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出骨干网/城域网的安全保护策略和安全技术措施;骨干网/城域网的安全保护策略和安全技术措施提出时应考虑网络线路和网络设备共享的情况,如果不同级别的子系统通过骨干网/城域网的同一线路和设备传输数据,线路和设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;b)规定子系统之间互联的安全技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出跨局域网互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;提出局域网内部互联的子系统之间的信息传输保护策略要求和具体的安全技术措施,包括同级互联的策略、不同级别互联的策略等;c)规定不同级别子系统的边界保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统边界的安全保护策略和安全技术措施;子系统边界安全保护策略和安全技术措施提出时应考虑边界设备共享的情况,如果不同级别的子系统通过同一设备进行边界保护,这个边界设备的安全保护策略和安全技术措施应满足最高级别子系统的等级保护基本要求;d)规定不同级别子系统内部系统平台和业务应用的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别子系统内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施;e)规定不同级别信息系统机房的安全保护技术措施根据机构总体安全策略文件、等级保护基本要求和安全需求,提出不同级别信息系统机房的安全保护策略和安全技术措施;信息系统机房安全保护策略和安全技术措施提出时应考虑不同级别的信息系统共享机房的情况,如果不同级别的信息系统共享同一机房,机房的安全保护策略和安全技术措施应满足最高级别信息系统的等级保护基本要求;f)形成信息系统安全技术体系结构将骨干网/城域网、通过骨干网/城域网的子系统互联、局域网内部的子系统互联、子系统的边界、子系统内部各类平台、机房以及其他方面的安全保护策略和安全技术措施进行整理、汇总,形成信息系统的安全技术体系结构;活动输出:信息系统安全技术体系结构;6.3.3 整体安全管理体系结构设计活动目标:本活动的目标是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构;参与角色:信息系统运营、使用单位,信息安全服务机构;活动输入:信息系统详细描述文件,信息系统安全保护等级定级报告,安全需求分析报告,信息系统安全等级保护基本要求;活动描述:本活动主要包括以下子活动内容:a)规定信息安全的组织管理体系和对各信息系统的安全管理职责。
电子政务信息系统安全等级保护定级
电子政务信息系统安全等级保护定级一、业务信息安全保护等级的确定1、业务信息描述电子政务系统业务信息包括:通知公告、行政办公、查询统计、图形浏览、个人助理、公共交流、综合服务等业务模块。
属于行政机关办理业务过程中形成的专有信息。
2、业务信息受到破坏时所侵害客体的确定,侵害的客体包括:1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体。
3、该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。
4、侵害的客观方面是指定级对象的具体侵害行为,侵害形势以及对客体的造成的侵害结果,表现为:5、一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害,形式可以包括丢失、破坏、损坏等,会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。
6、可以对社会秩序、公共利益造成侵害。
7、信息受到破坏后对侵害客体的侵害程度及上述分析- 2 -的结果的表现程度。
上述对公民、法人和其他组织侵害的程度表现为严重损害,及工作职能受到严重影响,业务能力显著下降,出现较严重的法律问题,较大范围的不良影响等。
对社会利益和公共秩序侵害的程度表现为一般损害。
8、确定业务信息安全等级,《定级指南》业务信息安全保护等级为第二级。
二、系统服务安全保护等级的确定1、系统服务描述该系统属于为国计民生和国家经济建设等提供服务的信息系统。
2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公民利益,但不损害国家安全。
客观方面表现的侵害结果为:1、可以对公民、法人和其他组织的合法权益造成侵害,影响正常工作的开展,导致业务能力下降,造成不良影响,引发法律纠纷等。
2、可以对社会公共利益造成侵害,造成社会不良影响,引起公共利益的损害等。
根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
电子政务信息安全等级保护实施指南
1.1.1.1.1.2电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (11)3.1 定级过程 (11)3.2 系统识别与描述 (12)3.2.1 系统整体识别与描述 (12)3.2.2 划分子系统的方法 (13)3.2.3 子系统识别与描述 (13)3.3 等级确定 (14)3.3.1 电子政务安全属性描述 (14)3.3.2 定级原则 (14)3.3.3 定级方法 (17)3.3.4 复杂系统定级方法 (18)4 安全规划与设计 (19)4.1 系统分域保护框架建立 (20)4.1.1 安全域划分 (20)4.1.2 保护对象分类 (20)4.1.3 系统分域保护框架 (22)4.2 选择和调整安全措施 (23)4.3 安全规划与方案设计 (25)4.3.1 安全需求分析 (25)4.3.2 安全项目规划 (26)4.3.3 安全工作规划 (26)4.3.4 安全方案设计 (26)5 实施、等级评估与运行 (27)5.1 安全措施的实施 (27)5.2 等级评估与验收 (27)5.3 运行监控与改进 (28)附录A 术语与定义 (28)附录B 大型复杂电子政务系统等级保护实施过程示例 (29)B.1 大型复杂电子政务系统描述 (29)B.2 等级保护实施过程描述 (30)B.3 系统划分与定级 (31)B.3.1 系统识别和子系统划分 (31)B.3.2 系统安全等级确定 (31)B.3.3 系统分域保护框架 (32)B.4 安全规划与设计 (35)B.4.1 安全措施的选择与调整 (35)B.4.2 等级化风险评估 (35)B.4.3 等级化安全体系设计 (36)B.4.4 安全规划与方案设计 (38)B.5 安全措施的实施 (41)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (12)图4-1安全规划与设计过程 (19)图4-2电子政务的保护对象及信息资产 (21)图4-3系统分域保护框架示意图 (23)图4-4确定安全措施的过程 (24)图4-5系统安全需求 (26)图5-1安全措施的实施 (27)图5-2等级保护的运行改进过程 (28)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (16)表4-1安全措施的调整因素和调整方式 (25)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
信息系统安全等级保护实施指南介绍
概述-背景(续)
在“66号文”的职责分工和工作要求中指出: 信息和信息系统的运营、使用单位按照等级保护的管理规
范和技术标准,确定其信息和信息系统的安全保护等级
信息和信息系统的运营、使用单位按照等级保护的管理规 范和技术标准对新建、改建、扩建的信息系统进行信息系 统的安全规划设计、安全建设施工
阶段主要活动- 1.安全评估和需求分析
活动目标
通过系统调查和安全评估了解系统目前的安全现 状;
评估系统已经采用的或将要采用的保护措施和等 级保护安全要求之间的差距,这种差距作为系统 的一种安全需求;
了解系统额外的安全需求; 明确系统的完整安全需求。
主要参考标准
《信息系统安全等级保护基本要求》 《信息系统安全等级保护测评准则》 GB/T xxxxx-2019 信息系统安全通用技术要求 《信息安全风险评估指南》
阶段主要活动- 2.安全总体设计
主要活动过程
系统等级化模型处理 总体安全策略设计 各级系统安全技术措施设计 单位整体安全管理策略设计 设计结果文档化
阶段主要活动- 2.安全总体设计
系统等级化模型处理
输入
过程的工作内容
输出
系统详细描述文件 符合性评估结果 风险评估结果 特殊安全要求
信息和信息系统的运营、使用单位及其主管部门按照与信 息系统安全保护等级相对应的管理规范和技术标准的要求, 定期进行安全状况检测评估
国家指定信息安全监管职能部门按照等级保护的管理规范 和技术标准的要求,对信息和信息系统的安全等级保护状 况进行监督检查
概述-背景(续)
管理规范和技术标准的作用
主管部门
阶段主要活动- 2.安全总体设计
各级系统安全技术措施设计
电子政务信息安全等级保护实施指南
电子政务信息安然等级庇护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)编写目的 (1)适用范围 (1)文档布局 (1)2 底子道理 (2)底子概念 (2)电子政务等级庇护的底子含义 (2)电子政务安然等级的层级划分 (3)电子政务等级庇护的底子安然要求 (4)底子方法 (4)等级庇护的要素及其关系 (4)电子政务等级庇护实现方法 (5)实施过程 (6)角色及职责 (9)系统间互联互通的等级庇护要求 (10)3 定级 (10)定级过程 (11)系统识别与描述 (11)系统整体识别与描述 (11)划分子系统的方法 (12)子系统识别与描述 (13)等级确定 (13)电子政务安然属性描述 (13)定级原那么 (14)定级方法 (16)复杂系统定级方法 (17)4 安然规划与设计 (18)系统分域庇护框架成立 (18)安然域划分 (18)庇护对象分类 (19)系统分域庇护框架 (21)选择和调整安然办法 (22)安然规划与方案设计 (24)安然需求阐发 (24)安然工程规划 (24)安然工作规划 (25)安然方案设计 (25)5 实施、等级评估与运行 (25)安然办法的实施 (25)等级评估与验收 (25)运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级庇护实施过程例如 (27)大型复杂电子政务系统描述 (27)等级庇护实施过程描述 (28)系统划分与定级 (29)系统识别和子系统划分 (29)系统安然等级确定 (29)系统分域庇护框架 (30)安然规划与设计 (33)安然办法的选择与调整 (33)等级化风险评估 (34)等级化安然体系设计 (34)安然规划与方案设计 (36)安然办法的实施 (39)图表目录图2-1电子政务等级庇护的实现方法 (6)图2-2电子政务等级庇护的底子流程 (7)图2-3等级庇护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安然规划与设计过程 (18)图4-2电子政务的庇护对象及信息资产 (20)图4-3系统分域庇护框架示意图 (22)图4-4确定安然办法的过程 (22)图4-5系统安然需求 (24)图5-1安然办法的实施 (25)图5-2等级庇护的运行改进过程 (26)表2-1电子政务系统五个安然等级的底子内容 (3)表3-1电子政务安然等级在安然属性方面的描述 (15)表4-1安然办法的调整因素和调整方式 (23)电子政务信息安然等级庇护实施指南〔试行〕1 引言1.1 编写目的国家信息化带领小组关于加强信息安然保障工作的定见〔中办发[2003]27号,以下简称“27号文件〞〕明确要求我国信息安然保障工作实行等级庇护制度,提出“抓紧成立信息安然等级庇护制度,制定信息安然等级庇护的办理方法和技术指南〞。
信息安全技术基于互联网电子政务信息安全实施指南
目次前言 (III)引言 ............................................................................................................................................................................ I V1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (2)4 缩略语 (2)5 基于互联网电子政务安全需求与实施原则 (3)5.1 威胁分析 (3)5.2 安全需求 (3)5.3 实施原则 (3)6 基于互联网电子政务安全保障总体架构 (4)6.1 政务系统安全架构 (4)6.2 政务网络结构 (4)6.3 安全系统组成 (5)6.4 安全系统配置 (6)7 系统分类分域防护机制 (7)7.1 概述 (7)7.2 政务信息和应用分类 (7)7.3 信息分类防护措施 (8)7.4 系统分域控制措施 (8)8 安全技术要求 (9)8.1 网络互联、接入控制与边界防护 (9)8.2 区域安全 (10)8.3 桌面安全 (11)8.4 安全管理技术要求 (12)8.5 安全服务 (13)8.6 应用安全 (13)9 安全管理要求 (14)9.1 综述 (14)9.2 安全策略 (14)9.3 安全管理制度 (14)9.4 组织安全 (15)9.5 数据安全 (15)9.6 人员安全 (15)9.7 物理和环境安全 (15)9.8 设备安全 (15)9.9 安全管理人员的配置与职责 (16)9.10 安全评估 (16)10 信息安全工程实施 (16)10.1 基于互联网电子政务信息安全工程流程 (16)10.2 需求分析 (17)10.3 系统定级 (17)10.4 方案设计 (17)10.5 系统实施与集成 (18)10.6 系统试运行与完善 (18)10.7 安全评估 (19)10.8 系统正式运行 (19)附录A(资料型附录)某市基于互联网电子政务网络拓扑 (20)附录B(资料型附录)某市基于互联网电子政务安全制度管理体系 (21)附录C(资料型附录)某市基于互联网电子政务信息安全实施评估流程 (24)参考文献 (31)前言附录A、附录B和附录C是资料性附录。
信息系统安全等级保护实施指南
目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (13)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (14)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)IGB/T XXXX –XXXX7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (20)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (27)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (29)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (30)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A(规范性附录)主要过程及其活动输出 (33)II前言本标准的附录A是规范性附录。
电子政务信息安全等级保护实施指南
电子政务信息安全等级保护实施指南一、引言随着信息技术的快速发展,电子政务已经逐渐成为政府机构重要的工作手段和服务方式。
然而,电子政务也伴随着信息安全的风险和挑战。
为了保障电子政务信息的安全,政府机构需要制定和实施信息安全等级保护措施,确保电子政务系统的安全稳定运行。
本文将详细介绍电子政务信息安全等级保护实施指南。
二、电子政务信息安全等级划分针对电子政务系统,应根据其重要程度和风险程度,将其划分为多个安全等级。
划分安全等级可参考以下因素:1.信息价值:根据电子政务系统所涉及的敏感信息、业务流程、数据量等方面的综合评估,确定其信息价值。
2.风险评估:通过对潜在威胁和风险的评估,确定系统的风险程度。
3.法规要求:根据国家相关法规和标准,确定需要达到的安全等级。
在划分安全等级时,应确保安全等级与系统的敏感性和价值相适应,以确保资源和投入的有效利用。
1.安全政策和管理措施:建立并定期修订电子政务系统的安全政策,明确责任和权限,制定信息安全管理措施,保证系统的安全运行。
2.组织与人员安全:建立信息安全保护组织机构,明确各部门和人员的职责和权限。
配备专业的信息安全管理人员,通过培训和考核提升员工的信息安全意识和技能。
3.物理安全控制:采取物理安全措施,保护电子政务系统的物理环境安全。
包括门禁控制、机房布局、监控摄像等措施,防止物理攻击和非法入侵。
4.系统与网络安全管理:建立完善的系统和网络安全管理制度,包括身份认证、访问控制、日志审计等措施,保护系统和网络免受非法入侵和恶意活动的侵害。
5.数据安全管理:制定数据安全保护政策和措施,包括数据备份、加密和恢复等,确保敏感信息的机密性和完整性。
6.应用系统安全:建立应用系统安全管理制度,包括软件开发和安全测试、安全访问控制、漏洞修复等措施,保护应用系统的安全。
7.通信与传输安全:采取安全的通信和传输措施,保护数据在传输过程中的安全。
使用加密技术、防火墙等,防止数据泄露和篡改。
信息安全技术 信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
信息安全技术信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
电子政务等级保护解决方案
电子政务等级保护解决方案一、等级保护技术性要求按照《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见,电子政务等级保护涉及技术和管理两方面的核心内容。
技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。
电子政务等级保护基本技术要求涉及物理安全、网络安全、主机系统安全、应用和数据安全等几个重要的方面。
二、电子政务等级保护试点核心内容从国信办在广东、天津、河南等地推进的试点反馈情况分析,电子政务等级保护的具体实施取得了很多可资借鉴和推广的经验。
综合电子政务网络的现状和推行等级保护力图实现的目标,在电子政务等级保护实践过程中,需要重点关注以下几个问题:如何体现“适度安全,促进应用,综合防范”的要求。
近年来,党和政府大力倡导政务公开、透明,致力建设公众参与的和谐社会。
在电子政务系统中,运行的涉密信息越来越少。
在等级保护实施过程中,需要有效区分不同密级信息,采取分类安全措施,这样才能确保安全建设成本可控、效果突出。
电子政务的等级保护是一个持续改进、调整的过程,在规划伊始,需要坚持高视野、高起点的原则,保持技术应用方面的灵活性。
所采用的等级保护技术方案必须充分考虑政务内网、专网和互联网等几个网络存在的历史性问题,安全技术的引入,需要保证几个网络的融合与有效区隔共存的现实要求。
在电子政务主机系统安全、应用和数据安全体系建设过程中,需要充分考虑安全系统的整体规划,确保安全系统的可持续升级和扩充能力。
如何在开放互联的环境下,保证电子政务网络的安全性问题,将成为下一阶段电子政务等级保护实施关注的重点问题。
在解决信息共享与互联互通问题的过程中,以密码为核心的信息安全技术将发挥至关重要的作用。
三、Chinasec的解决之道针对电子政务等级保护涉及到的上述突出问题,Chinasec可信网络安全平台基于可信网络技术,提出了一整套完整的解决方案。
信息安全等级保护工作实施方案
信息安全等级保护工作实施方案(最新版)编制人:__________________审核人:__________________审批人:__________________编制单位:__________________编制时间:____年____月____日序言下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!并且,本店铺为大家提供各种类型的安全管理制度,如通用安全、交通运输、矿山安全、石油化工、建筑安全、机械安全、电力安全、其他安全等等制度,想了解不同制度格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, this shop provides you with various types of safety management systems, such as general safety, transportation, mine safety, petrochemical, construction safety, machinery safety, electrical safety, other safety, etc. systems, I want to know the format and writing of different systems ,stay tuned!信息安全等级保护工作实施方案为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南(试行)电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月电子政务信息安全等级保护实施指南(试行)目录1引言11.1编写目的11.2适用范围11.3文档结构12基本原理22.1基本概念22.1.1电子政务等级保护的基本含义22.1.2电子政务安全等级的层级划分42.1.3电子政务等级保护的基本安全要求52.2基本方法62.2.1等级保护的要素及其关系62.2.2电子政务等级保护实现方法82.3实施过程82.4角色及职责112.5系统间互联互通的等级保护要求123定级133.1定级过程133.2系统识别与描述143.2.1系统整体识别与描述14电子政务信息安全等级保护实施指南(试行)3.2.2划分子系统的方法143.2.3子系统识别与描述163.3等级确定163.3.1电子政务安全属性描述163.3.2定级原则173.3.3定级方法203.3.4复杂系统定级方法224安全规划与设计244.1系统分域保护框架建立244.1.1安全域划分244.1.2保护对象分类254.1.3系统分域保护框架274.2选择和调整安全措施284.3安全规划与方案设计304.3.1安全需求分析314.3.2安全项目规划314.3.3安全工作规划314.3.4安全方案设计325实施、等级评估与运行325.1安全措施的实施325.2等级评估与验收325.3运行监控与改进33附录A术语与定义33附录B大型复杂电子政务系统等级保护实施过程示例35 B.1大型复杂电子政务系统描述35B.2等级保护实施过程描述35B.3系统划分与定级37B.3.1系统识别和子系统划分37B.3.2系统安全等级确定38B.3.3系统分域保护框架38B.4安全规划与设计42B.4.1安全措施的选择与调整43B.4.2等级化风险评估43B.4.3等级化安全体系设计43B.4.4安全规划与方案设计44B.5安全措施的实施45图表目录图2-1电子政务等级保护的实现方法8图2-2电子政务等级保护的基本流程8图2-3等级保护过程与新建和已建系统生命周期对应关系11 图3-1定级工作流程13图4-1安全规划与设计过程24图4-2电子政务的保护对象及信息资产26图4-3系统分域保护框架示意图28图4-4确定安全措施的过程28图4-5系统安全需求31图5-1安全措施的实施32图5-2等级保护的运行改进过程33表2-1电子政务系统五个安全等级的基本内容4表3-1电子政务安全等级在安全属性方面的描述19表4-1安全措施的调整因素和调整方式29电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域保护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
附录A介绍了本指南术语定义;附录B介绍了大型复杂电子政务系统等级保护实施过程的示例。
除明确声明外,本指南中所提到的等级保护、电子政务等级保护都是指电子政务信息安全等级保护。
2 基本原理2.1 基本概念2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
27号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
电子政务等级保护工作分为管理层面和用户层面两个方面的工作。
管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。
用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。
本指南的内容主要针对用户层面的工作。
电子政务信息安全等级保护遵循以下原则:a)重点保护原则电子政务等级保护要突出重点。
对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
b)“谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
c)分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
d)同步建设原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
5)动态调整原则由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2.1.2 电子政务安全等级的层级划分66号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。
按66号文件的规定,对电子政务的五个安全等级定义如表2-1所示。
表2-1电子政务系统五个安全等级的基本内容2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。
对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。
电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。
a)安全策略安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。
安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。
b)安全组织安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。
c)安全技术安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。
d)安全运行安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。
具体的电子政务等级保护基本安全要求参见相关的国家标准。
2.2 基本方法2.2.1 等级保护的要素及其关系电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。
电子政务等级保护包含以下七个要素:a)电子政务系统电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。
b)目标目标是指电子政务系统的业务目标和安全目标,电子政务等级保护要保障业务目标和安全目标的实现。
c)电子政务信息安全等级电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。
d)安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。
e)安全风险安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。
安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。
f)安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。
g)安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。
电子政务等级保护各要素之间的关系是:a)电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。
b)安全措施需要满足系统安全保护要求,对抗系统所面临的风险。
1)不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。