(智慧政务)电子政务信息安全等级保护实施指南
信息安全技术 信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
《电子政务信息安全等级保护实施指南》
《电子政务信息安全等级保护实施指南》国信办[2005]25号关于印发《电子政务信息安全等级爱护实施指南(试行)》的通知各省、自治区、直辖市信息化领导小组办公室,中央和国家机关各部委信息化领导小组办公室:现将《电子政务信息安全等级爱护实施指南(试行)》印发你们,供你们在开展电子政务信息安全保证工作中参考。
国务院信息化工作办公室二〇〇五年九月十五日电子政务信息安全等级爱护实施指南(试行)国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范畴 (1)1.3 文档结构 (1)2 差不多原理 (2)2.1 差不多概念 (2)2.1.1 电子政务等级爱护的差不多含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级爱护的差不多安全要求 (4)2.2 差不多方法 (4)2.2.1 等级爱护的要素及其关系 (4)2.2.2 电子政务等级爱护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级爱护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域爱护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 爱护对象分类 (19)4.1.3 系统分域爱护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级爱护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级爱护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域爱护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表名目图2-1电子政务等级爱护的实现方法 (6)图2-2电子政务等级爱护的差不多流程 (7)图2-3等级爱护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的爱护对象及信息资产 (20)图4-3系统分域爱护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级爱护的运行改进过程 (26)表2-1电子政务系统五个安全等级的差不多内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级爱护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保证工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保证工作实行等级爱护制度,提出“抓紧建立信息安全等级爱护制度,制定信息安全等级爱护的治理方法和技术指南”。
2023年信息安全等级保护工作实施方案
2023年信息安全等级保护工作实施方案一、前言随着信息化进程的加速发展,信息安全面临着越来越严峻的挑战。
为了确保信息系统的安全和可靠运行,保障国家和社会的信息安全,需要制定并实施信息安全等级保护工作方案。
本方案旨在指导和规范2024年的信息安全等级保护工作,提高信息系统的安全性和可信度。
二、工作背景2024年,信息系统的规模不断扩大,涉及的信息种类和数量不断增加,面临的风险日益复杂多变。
同时,网络攻击手段不断升级,黑客技术不断突破,信息安全形势严峻。
为了应对这些挑战,对信息系统进行等级保护,根据其重要程度对其进行等级评定和安全防护是必要的。
三、目标与任务1. 目标:确保信息系统的安全和可靠运行,提高信息系统的安全性和可信度。
2. 任务:(1) 制定信息系统等级保护评定标准。
(2) 开展信息系统等级评定工作。
(3) 提升信息系统的安全性和可信度。
(4) 加强信息系统的监测和预警能力。
(5) 提高信息系统的安全防护能力。
(6) 加强信息系统的安全意识和培训。
四、工作内容1. 制定信息系统等级保护评定标准(1) 综合现有国内外信息安全标准,制定适用于2024年的信息系统等级保护评定标准。
(2) 根据信息系统的业务特点和风险等级,明确各个等级的安全要求和防护措施。
2. 开展信息系统等级评定工作(1) 制定信息系统等级评定工作方案,明确评定流程、评定方法和评定标准。
(2) 开展信息系统的等级评定工作,确保对各类信息系统进行全面评定。
3. 提升信息系统的安全性和可信度(1) 在重要的信息系统中,加强网络安全体系建设,完善信息系统的安全架构和安全防护措施。
(2) 加强对信息系统的安全审计,发现和修复安全漏洞,提升系统的安全性和可靠性。
4. 加强信息系统的监测和预警能力(1) 建立健全信息系统的安全监测和预警系统,实时监测信息系统的运行情况。
(2) 对可能存在的信息安全威胁进行预测和预警,及时采取相应的防护措施。
电子政务信息安全等级保护实施指南
1.1.1.1.1.2电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (11)3.1 定级过程 (11)3.2 系统识别与描述 (12)3.2.1 系统整体识别与描述 (12)3.2.2 划分子系统的方法 (13)3.2.3 子系统识别与描述 (13)3.3 等级确定 (14)3.3.1 电子政务安全属性描述 (14)3.3.2 定级原则 (14)3.3.3 定级方法 (17)3.3.4 复杂系统定级方法 (18)4 安全规划与设计 (19)4.1 系统分域保护框架建立 (20)4.1.1 安全域划分 (20)4.1.2 保护对象分类 (20)4.1.3 系统分域保护框架 (22)4.2 选择和调整安全措施 (23)4.3 安全规划与方案设计 (25)4.3.1 安全需求分析 (25)4.3.2 安全项目规划 (26)4.3.3 安全工作规划 (26)4.3.4 安全方案设计 (26)5 实施、等级评估与运行 (27)5.1 安全措施的实施 (27)5.2 等级评估与验收 (27)5.3 运行监控与改进 (28)附录A 术语与定义 (28)附录B 大型复杂电子政务系统等级保护实施过程示例 (29)B.1 大型复杂电子政务系统描述 (29)B.2 等级保护实施过程描述 (30)B.3 系统划分与定级 (31)B.3.1 系统识别和子系统划分 (31)B.3.2 系统安全等级确定 (31)B.3.3 系统分域保护框架 (32)B.4 安全规划与设计 (35)B.4.1 安全措施的选择与调整 (35)B.4.2 等级化风险评估 (35)B.4.3 等级化安全体系设计 (36)B.4.4 安全规划与方案设计 (38)B.5 安全措施的实施 (41)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (12)图4-1安全规划与设计过程 (19)图4-2电子政务的保护对象及信息资产 (21)图4-3系统分域保护框架示意图 (23)图4-4确定安全措施的过程 (24)图4-5系统安全需求 (26)图5-1安全措施的实施 (27)图5-2等级保护的运行改进过程 (28)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (16)表4-1安全措施的调整因素和调整方式 (25)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
信息安全技术信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南前言本标准的附录 A 是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《信息安全等级保护管理办法》(公通字[2007]43 号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA -AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB -BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA -AAAA 介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859 -1999 、GB/T BBBB -BBBB 、GB/T20269 -2006 、GB/T20270 -2006 和GB/T20271 -2006 等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269 -2006、GB/T20270 -2006 和GB/T20271 -2006 等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999 是基础性标准,GB/T20269-2006、GB/T20270 -2006 和GB/T20271 -2006等是对GB17859 -1999的进一步细化和扩展,GB/T BBBB -BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
电子政务平台信息安全保障手册
电子政务平台信息安全保障手册第1章信息安全概述 (4)1.1 信息安全的重要性 (4)1.2 信息安全的基本原则 (4)1.3 电子政务平台信息安全现状 (4)第2章信息安全管理体系 (5)2.1 信息安全管理体系构建 (5)2.1.1 组织架构 (5)2.1.2 管理体系文件 (5)2.1.3 培训与宣传 (5)2.1.4 内部审计与监督 (5)2.2 信息安全政策与规章制度 (5)2.2.1 信息安全政策 (5)2.2.2 信息安全规章制度 (5)2.2.3 政策与制度修订 (5)2.3 信息安全风险评估与风险管理 (5)2.3.1 风险评估方法 (6)2.3.2 风险管理策略 (6)2.3.3 风险控制措施 (6)2.3.4 风险监测与监控 (6)第3章物理安全 (6)3.1 物理安全的重要性 (6)3.2 数据中心物理安全 (6)3.2.1 场地选择与规划 (6)3.2.2 建筑物安全 (6)3.2.3 环境安全 (7)3.2.4 电力供应安全 (7)3.2.5 安全监控与报警 (7)3.3 通信线路与设备物理安全 (7)3.3.1 通信线路安全 (7)3.3.2 设备安全 (7)3.3.3 机房安全 (7)3.3.4 防雷与接地 (7)第4章网络安全 (7)4.1 网络安全架构 (7)4.1.1 物理安全层 (8)4.1.2 网络边界安全层 (8)4.1.3 网络传输安全层 (8)4.1.4 应用安全层 (8)4.1.5 安全管理层次 (8)4.2 防火墙与入侵检测系统 (8)4.2.1 防火墙 (8)4.3 虚拟专用网络(VPN)与安全隔离 (9)4.3.1 虚拟专用网络(VPN) (9)4.3.2 安全隔离 (9)第5章系统安全 (9)5.1 操作系统安全 (9)5.1.1 基本要求 (9)5.1.2 安全措施 (10)5.2 数据库安全 (10)5.2.1 基本要求 (10)5.2.2 安全措施 (10)5.3 应用程序安全 (10)5.3.1 基本要求 (10)5.3.2 安全措施 (11)第6章数据安全与隐私保护 (11)6.1 数据安全策略 (11)6.1.1 策略制定 (11)6.1.2 策略内容 (11)6.2 数据加密与解密 (11)6.2.1 加密技术 (11)6.2.2 加密应用 (12)6.2.3 解密管理 (12)6.3 数据备份与恢复 (12)6.3.1 备份策略 (12)6.3.2 备份实施 (12)6.3.3 恢复测试 (12)6.4 隐私保护与合规性 (12)6.4.1 隐私保护策略 (12)6.4.2 合规性检查 (12)6.4.3 隐私保护培训 (12)第7章访问控制与身份认证 (12)7.1 访问控制策略 (12)7.1.1 基本原则 (13)7.1.2 访问控制模型 (13)7.1.3 访问控制策略实施 (13)7.2 身份认证技术 (13)7.2.1 密码认证 (13)7.2.2 二维码认证 (13)7.2.3 生物识别技术 (13)7.2.4 数字证书认证 (13)7.3 用户权限管理 (13)7.3.1 用户角色划分 (13)7.3.2 权限分配与调整 (14)7.3.3 权限审计与回收 (14)第8章安全运维 (14)8.1 安全运维管理体系 (14)8.1.1 管理体系概述 (14)8.1.2 组织架构 (14)8.1.3 岗位职责 (14)8.1.4 人员配备 (14)8.1.5 资源配置 (14)8.2 安全运维流程与制度 (14)8.2.1 运维流程 (14)8.2.2 运维制度 (15)8.2.3 流程与制度持续优化 (15)8.3 安全审计与监控 (15)8.3.1 安全审计 (15)8.3.2 安全监控 (15)8.3.3 安全事件处理 (15)8.3.4 应急预案与演练 (15)第9章应急响应与处理 (15)9.1 应急响应计划 (15)9.1.1 组织架构 (15)9.1.2 风险评估 (15)9.1.3 应急预案 (15)9.1.4 培训与演练 (16)9.2 安全事件分类与处理流程 (16)9.2.1 网络攻击 (16)9.2.2 系统故障 (16)9.2.3 数据泄露 (16)9.2.4 恶意软件 (16)9.3 调查与报告 (16)9.3.1 调查 (16)9.3.2 报告 (16)9.3.3 总结 (16)第10章信息安全培训与宣传 (17)10.1 信息安全意识培训 (17)10.1.1 培训目标 (17)10.1.2 培训内容 (17)10.1.3 培训方式 (17)10.1.4 培训对象 (17)10.2 信息安全技能培训 (17)10.2.1 技能培训内容 (17)10.2.2 培训方式 (17)10.2.3 培训对象 (17)10.3 信息安全宣传活动 (18)10.3.1 活动形式 (18)10.3.3 活动对象 (18)10.4 信息安全文化建设 (18)10.4.1 文化建设目标 (18)10.4.2 文化建设措施 (18)10.4.3 文化建设评价 (18)第1章信息安全概述1.1 信息安全的重要性在信息技术飞速发展的今天,信息安全已成为关乎国家安全、经济发展和社会稳定的重要因素。
信息系统安全等级保护实施指南
目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (13)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (14)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)IGB/T XXXX –XXXX7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (20)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (27)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (29)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (30)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A(规范性附录)主要过程及其活动输出 (33)II前言本标准的附录A是规范性附录。
信息安全技术 信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、雪秀、明、朱建平、任卫红、朝海、曲洁、袁静、升、静、罗峥。
引言依据《中华人民国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
2023-电子政务信息安全等级保护实施指南(试行)-1
电子政务信息安全等级保护实施指南(试行)随着信息化时代的到来,各级政府部门越来越依赖电子政务系统来处
理政务事务,这也使得电子政务信息的安全成为了一个重要话题。
为
了保障电子政务信息的安全,国家发布了《电子政务信息安全等级保
护实施指南(试行)》,该指南的实施对于保障电子政务信息的安全
具有十分重要的意义。
实施指南中,首先明确了电子政务系统安全等级分类及保护要求,分
为4个等级,从低到高分别为一般等级、重要等级、核心等级、关键
等级。
对于不同等级的电子政务系统,其安全保护措施也应该不同,
从而确保各个等级的信息安全可靠。
其次,实施指南对于电子政务系统安全保护的管理框架做了详细的阐
述。
管理框架主要由政策、机构、人员、技术四个方面构成。
政策方
面,需要出台相关政策、技术规范、管理制度等;机构方面,应当设
立专门的安全保护机构并负责实施相关工作;人员方面,需要进行人
员背景核查、负责人员安全保密培训等;技术方面,应当采用安全防
护技术,如防火墙、入侵检测系统等技术来保护信息安全。
最后,实施指南对于安全等级保护评估做了详细说明。
通过对于数据
流程图、信息系统网络拓扑图等内容的评估,可以确定电子政务系统
的安全等级,从而确定相应的安全措施。
同时,还需要对评估结果进
行反馈、更改,并定期进行复查,从而确保电子政务系统一直处于安
全可靠的状态。
总之,实施指南对于电子政务信息安全保护做了详细的阐述,为政府
各级部门提供了指导性的意见。
只有全面贯彻实施,才能够保障电子
政务信息的安全,为政务事项的处理提供有力支持。
信息系统安全等级保护实施指南(DOC 42页)(完美优质版)
目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (12)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (13)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (19)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (26)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (28)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (29)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A(规范性附录)主要过程及其活动输出 (33)前言本标准的附录A是规范性附录。
2023年信息安全等级保护工作实施方案
2023年信息安全等级保护工作实施方案____年信息安全等级保护工作实施方案一、背景随着互联网的快速发展,信息安全问题日趋严峻。
网络攻击、数据泄露等事件频繁发生,给社会经济发展和个人信息安全带来了极大的风险。
为了保护国家和个人的信息安全,建立健全信息安全等级保护体系势在必行。
二、目标本方案的目标是建立一个完善的信息安全等级保护工作体系,通过国家政府机构、企事业单位和个人的共同努力,确保信息系统的安全可靠,维护国家安全和个人权益。
三、任务与措施1.建立信息安全等级划分标准制定信息安全等级划分标准,按照信息系统的重要性和风险程度,将信息系统划分为不同的等级。
制定相应的技术要求和管理规范,确保每个等级的信息系统都能得到相应的保护。
2.推动信息安全技术创新加大对信息安全技术的研发和创新力度,引导企事业单位加强自身信息安全能力的提升。
积极推动密码技术、安全通信技术、网络安全技术等领域的创新,提高信息安全的保障水平。
3.加强信息安全人才培养加大对信息安全人才培养的投入,建立健全信息安全人才培养体系。
通过培训、研讨会和奖励制度等手段,吸引更多的人才从事信息安全工作,培养一支高素质的信息安全专业人才队伍。
4.加强信息安全监管和评估加强信息安全监管和评估工作,推动各类信息系统实施安全等级保护。
建立健全信息安全监管机构,加强对关键信息基础设施、网络运营商和互联网企业的监管,引导和监督其加强信息安全保护。
5.加强信息安全宣传和教育加大对信息安全的宣传和教育力度,提高公众对信息安全的认识和知识水平。
通过宣传活动、媒体报道和教育培训等方式,普及信息安全知识,增强公众的责任意识和防范意识。
6.加强国际合作与交流加强与国际信息安全组织和专家的合作与交流,共同应对全球化的信息安全威胁。
积极参与国际信息安全标准制定和资源共享,加强与其他国家的合作,形成信息安全共同防线。
四、实施步骤1.制定信息安全等级划分标准和技术规范依托国家相关标准制定机构,制定信息安全等级划分标准和技术规范。
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南目次前言 (IV)引言 (VI)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (2)4.3 实施的基本流程 (3)5 信息系统定级 (5)5.1 信息系统定级阶段的工作流程 (5)5.2 信息系统分析 (5)5.2.1 系统识别和描述 (5)5.2.2 信息系统划分 (7)5.3 安全保护等级确定 (8)5.3.1 定级、审核和批准 (8)5.3.2 形成定级报告 (8)6 总体安全规划 (9)6.1 总体安全规划阶段的工作流程 (9)6.2 安全需求分析 (10)6.2.1 基本安全需求的确定 (10)6.2.2 额外/特殊安全需求的确定 (11)6.2.3 形成安全需求分析报告 (12)6.3 总体安全设计 (13)6.3.1 总体安全策略设计 (13)6.3.2 安全技术体系结构设计 (13)6.3.3 整体安全管理体系结构设计 (15)6.3.4 设计结果文档化 (16)6.4 安全建设项目规划 (17)6.4.1 安全建设目标确定 (17)6.4.2 安全建设内容规划 (18)6.4.3 形成安全建设项目计划 (18)7 安全设计与实施 (20)7.1 安全设计与实施阶段的工作流程 (20)7.2 安全方案详细设计 (21)7.2.1 技术措施实现内容设计 (21)7.2.2 管理措施实现内容设计 (22)7.2.3 设计结果文档化 (22)7.3 管理措施实现 (23)7.3.1 管理机构和人员的设置 (23)7.3.2 管理制度的建设和修订 (23)7.3.3 人员安全技能培训 (24)7.3.4 安全实施过程管理 (25)7.4 技术措施实现 (26)7.4.1 信息安全产品采购 (26)7.4.2 安全控制开发 (27)7.4.3 安全控制集成 (28)7.4.4 系统验收 (29)8 安全运行与维护 (30)8.1 安全运行与维护阶段的工作流程 (30)8.2 运行管理和控制 (32)8.2.1 运行管理职责确定 (32)8.2.2 运行管理过程控制 (33)8.3 变更管理和控制 (34)8.3.1 变更需求和影响分析 (34)8.3.2 变更过程控制 (34)8.4 安全状态监控 (35)8.4.1 监控对象确定 (35)8.4.2 监控对象状态信息收集 (35)8.4.3 监控状态分析和报告 (36)8.5 安全事件处置和应急预案 (37)8.5.1 安全事件分级 (37)8.5.2 应急预案制定 (37)8.5.3 安全事件处置 (38)8.6 安全检查和持续改进 (39)8.6.1 安全状态检查 (39)8.6.2 改进方案制定 (40)8.6.3 安全改进实施 (40)8.7 等级测评 (41)8.8 系统备案 (41)8.9 监督检查 (42)9 信息系统终止 (42)9.1 信息系统终止阶段的工作流程 (42)9.2 信息转移、暂存和清除 (43)9.3 设备迁移或废弃 (44)9.4 存储介质的清除或销毁 (44)附录A(规范性附录)主要过程及其活动输出 (46)前言本标准的附录A是规范性附录。
电子政务信息安全等级保护实施指南
电子政务信息安全等级保护实施指南一、引言随着信息技术的快速发展,电子政务已经逐渐成为政府机构重要的工作手段和服务方式。
然而,电子政务也伴随着信息安全的风险和挑战。
为了保障电子政务信息的安全,政府机构需要制定和实施信息安全等级保护措施,确保电子政务系统的安全稳定运行。
本文将详细介绍电子政务信息安全等级保护实施指南。
二、电子政务信息安全等级划分针对电子政务系统,应根据其重要程度和风险程度,将其划分为多个安全等级。
划分安全等级可参考以下因素:1.信息价值:根据电子政务系统所涉及的敏感信息、业务流程、数据量等方面的综合评估,确定其信息价值。
2.风险评估:通过对潜在威胁和风险的评估,确定系统的风险程度。
3.法规要求:根据国家相关法规和标准,确定需要达到的安全等级。
在划分安全等级时,应确保安全等级与系统的敏感性和价值相适应,以确保资源和投入的有效利用。
1.安全政策和管理措施:建立并定期修订电子政务系统的安全政策,明确责任和权限,制定信息安全管理措施,保证系统的安全运行。
2.组织与人员安全:建立信息安全保护组织机构,明确各部门和人员的职责和权限。
配备专业的信息安全管理人员,通过培训和考核提升员工的信息安全意识和技能。
3.物理安全控制:采取物理安全措施,保护电子政务系统的物理环境安全。
包括门禁控制、机房布局、监控摄像等措施,防止物理攻击和非法入侵。
4.系统与网络安全管理:建立完善的系统和网络安全管理制度,包括身份认证、访问控制、日志审计等措施,保护系统和网络免受非法入侵和恶意活动的侵害。
5.数据安全管理:制定数据安全保护政策和措施,包括数据备份、加密和恢复等,确保敏感信息的机密性和完整性。
6.应用系统安全:建立应用系统安全管理制度,包括软件开发和安全测试、安全访问控制、漏洞修复等措施,保护应用系统的安全。
7.通信与传输安全:采取安全的通信和传输措施,保护数据在传输过程中的安全。
使用加密技术、防火墙等,防止数据泄露和篡改。
2023年信息安全等级保护工作实施方案
2023年信息安全等级保护工作实施方案一、背景介绍随着信息技术的迅速发展,信息安全问题日益突出。
为加强信息安全保护,保障国家信息基础设施安全和公民个人信息安全,我国于2019年出台了《中华人民共和国网络安全法》,对信息安全进行了全面的规范和管理。
为了贯彻落实网络安全法,加强信息安全等级保护工作,制定本方案。
二、总体目标确保2023年信息安全等级保护工作达到国家要求的标准,建立完善的信息安全保护体系,保护国家信息基础设施和公民个人信息的安全,提升国家信息安全意识和应对能力。
三、工作内容和实施阶段1. 制定信息安全等级保护管理办法根据网络安全法的要求,制定信息安全等级保护管理办法,明确信息安全等级的划分标准和评估程序,确保信息安全等级评估工作的科学性和公正性。
2. 开展信息安全等级评估依据信息安全等级保护管理办法的要求,对国家重点信息基础设施和关键信息系统进行信息安全等级评估。
评估结果作为信息基础设施运营者做好信息安全保护的依据。
3. 加强关键信息基础设施安全监测建立完善的关键信息基础设施安全监测体系,对国家重点信息基础设施进行实时监测和预警,及时发现和处理潜在的安全风险和漏洞,并及时采取相应的应对措施。
4. 加强信息安全事件的应对和处置建立健全的信息安全事件应对和处置机制,制定信息安全事件应急预案,明确各相关部门和机构的责任和权限,及时、有效地应对和处置信息安全事件,降低信息安全风险。
5. 完善信息安全保护法律法规根据信息安全等级保护实践中的问题和需求,及时修订和完善相关的法律法规,提高信息安全等级保护的可操作性。
6. 加强信息安全教育和培训开展信息安全知识普及和培训活动,提高公民和企事业单位的信息安全意识和技能,推动形成全社会的信息安全文化。
四、工作机制和责任分工1. 国家信息安全委员会负责信息安全等级保护的统筹协调工作,制定政策和标准。
2. 信息安全等级保护管理机构负责指导、监督和检查工作的落实,与各相关单位协同配合。
信息系统安全等级保护实施指南
目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (13)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (14)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)IGB/T XXXX –XXXX7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (20)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (27)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (29)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (30)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A(规范性附录)主要过程及其活动输出 (33)II前言本标准的附录A是规范性附录。
信息安全技术 信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
信息安全技术基于互联网电子政务信息安全实施指南
目次前言 (III)引言 ............................................................................................................................................................................ I V1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (2)4 缩略语 (2)5 基于互联网电子政务安全需求与实施原则 (3)5.1 威胁分析 (3)5.2 安全需求 (3)5.3 实施原则 (3)6 基于互联网电子政务安全保障总体架构 (4)6.1 政务系统安全架构 (4)6.2 政务网络结构 (4)6.3 安全系统组成 (5)6.4 安全系统配置 (6)7 系统分类分域防护机制 (7)7.1 概述 (7)7.2 政务信息和应用分类 (7)7.3 信息分类防护措施 (8)7.4 系统分域控制措施 (8)8 安全技术要求 (9)8.1 网络互联、接入控制与边界防护 (9)8.2 区域安全 (10)8.3 桌面安全 (11)8.4 安全管理技术要求 (12)8.5 安全服务 (13)8.6 应用安全 (13)9 安全管理要求 (14)9.1 综述 (14)9.2 安全策略 (14)9.3 安全管理制度 (14)9.4 组织安全 (15)9.5 数据安全 (15)9.6 人员安全 (15)9.7 物理和环境安全 (15)9.8 设备安全 (15)9.9 安全管理人员的配置与职责 (16)9.10 安全评估 (16)10 信息安全工程实施 (16)10.1 基于互联网电子政务信息安全工程流程 (16)10.2 需求分析 (17)10.3 系统定级 (17)10.4 方案设计 (17)10.5 系统实施与集成 (18)10.6 系统试运行与完善 (18)10.7 安全评估 (19)10.8 系统正式运行 (19)附录A(资料型附录)某市基于互联网电子政务网络拓扑 (20)附录B(资料型附录)某市基于互联网电子政务安全制度管理体系 (21)附录C(资料型附录)某市基于互联网电子政务信息安全实施评估流程 (24)参考文献 (31)前言附录A、附录B和附录C是资料性附录。
信息安全技术 信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(智慧政务)电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域保护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
附录A介绍了本指南术语定义;附录B介绍了大型复杂电子政务系统等级保护实施过程的示例。
除明确声明外,本指南中所提到的等级保护、电子政务等级保护都是指电子政务信息安全等级保护。
2 基本原理2.1 基本概念2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
27号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
电子政务等级保护工作分为管理层面和用户层面两个方面的工作。
管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。
用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。
本指南的内容主要针对用户层面的工作。
电子政务信息安全等级保护遵循以下原则:a)重点保护原则电子政务等级保护要突出重点。
对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
b)“谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
c)分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
d)同步建设原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
5) 动态调整原则由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2.1.2 电子政务安全等级的层级划分66号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。
按66号文件的规定,对电子政务的五个安全等级定义如表2-1所示。
表2-1电子政务系统五个安全等级的基本内容2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。
对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。
电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。
a)安全策略安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。
安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。
b)安全组织安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。
c)安全技术安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。
d)安全运行安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。
具体的电子政务等级保护基本安全要求参见相关的国家标准。
2.2 基本方法2.2.1 等级保护的要素及其关系电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。
电子政务等级保护包含以下七个要素:a)电子政务系统电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。
b)目标目标是指电子政务系统的业务目标和安全目标,电子政务等级保护要保障业务目标和安全目标的实现。
c)电子政务信息安全等级电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。
d)安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。
e)安全风险安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。
安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。
f)安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。
g)安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。