信息系统安全自查分析报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全自查报告
————————————————————————————————作者:————————————————————————————————日期:
2
信息系统安全材料报告
一、什么是信息系统安全
信息系统安全:包括信息系统安全基本概念、信息系统安全体系、信息系统安全管理目标、信息系统安全需求、风险管理与控制、风险评估与分析、信息系统安全技术、信息安全标准与法律法规。
二、信息系统安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
工作内容
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护
等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
政策标准
政策法规
中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)(“第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)计算机信息系统安全保护等级划分准则(GB 17859-1999)(“第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级”)
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)定级标准
信息安全等级保护管理办法(公通字[2007]43号)
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号)
地方及行业范例
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)
关于进一步推进中央企业信息安全等级保护工作的通知
水利网络与信息安全体系建设基本技术要求(2010年3月)
证券期货业信息系统安全等级保护基本要求(试行) (JR/T 0060-2010)
山西省计算机信息系统安全保护条例(2009年1月)广东省计算机信息系统安全保护条例(2008年4月)
宁夏回族自治区计算机信息系统安全保护条例(2009年10月)徐州市计算机信息系统安全保护条例(2009年1月)
标准规范
十大重要标准
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)
信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)
其它相关标准
GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求
GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术操作系统安全技术要求
GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术信息安全风险评估规范
GB/T 20285-2007 信息安全技术信息安全事件管理指南
GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术信息系统灾难恢复规范
三、信息系统安全管理制度
1、信息系统安全包括:软件安全和硬件网络安全两部分。
2、计算机中心人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏、失效等灾难性故障。
3、对系统用户的访问模块、访问权限由使用单位负责人提出,交信息化领导小组核准后,由计算机中心人员给予配置并存档,以后变更必须报批后才能更改,计算机中心做好变更日志存档。
4、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由班组长监督检查更换新的密码;厂方调试人员调试维护完成后一小时内,由系统管理员关闭或修改其所用帐号和密码。
5、计算机中心人员要主动对网络系统实行监控、查询,及时对故