电子政务信息安全等级保护实施指南
关于电子政务信息安全等级保护.doc
关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
15.发改委55号令知识整理
设单位应向项目审批部门提交竣工验收申请报告, 并将项目建设总结、初步验收报告、财务报告、审 计报告和信息安全风险评估报告等文件作为附件 一并上报。项目审批部门应适时组织竣工验收。项 目建设单位未按期提出竣工验收申请的, 应向项目 第三十二条 项目审批部门根据电子政务项目 验收后的运行情况, 可适时组织专家或委托相关机 构对建设项目的系统运行效率、 使用效果等情况进 行后评价。 后评价认为建设项目未实现批复的建设 目标或未达到预期效果的, 项目建设单位要限期整 改;对拒不整改或整改后仍不符合要求的,项目审 批部门可对其进行通报批评。 第七章 运行管理 第三十三条 电子政务项目建成后的运行管理 实行项目建设单位负责制。 项目建设单位应确立项 目运行机构,制定和完善相应的管理制度,加强日 常运行和维护管理,落实运行维护费用。鼓励专业 服务机构参与电子政务项目的运行和维护。 第三十四条 项目建设单位或其委托的专业机 构应按照风险评估的相关规定, 对建成项目进行信 息安全风险评估, 检验其网络和信息系统对安全环 境变化的适应性及安全措施的有效性, 保障信息安 全目标的实现。
中各类信息的未授权泄漏。 涉及国家 秘密的信息,包括绝密级、机密级和 秘密级信息; 完整性破坏是指对电子政务系统中 信息和系统的未授权修改和破坏; 可用性破坏是指电子政务系统所提 供服务的中断,授权人员无法访问电 子政务系统和信息。
通过竣工验收。
目的设计、建设和运行维护。项目审批部门是指国 家发展改革委
国家发展改革委关于进一步加强国家电 子政务工程建设项目管理工作的通知 (发 改高技[2008]2544 号) 项目建设部门要进一步加强电子政务项 目的组织保障工作。 坚持“一把手”负责 制,建立健全项目管理责任制,在充分发 挥部门内部业务单位主导作用的基础上, 强化业务单位与技术支持单位的协调配 合, 确保电子政务项目更好的服务于政务 业务,更好的实现应用系统的协同互动, 以及有关基础设施和信息资源的共享。
建立信息安全等级保护体系 保障电子政务有效安全
第四阶段 :运维和改进 阶段 。等级 保护主要关注运 行管
理 和 控制 ,变 更管 理和 控制 、安 全状 态监 控 、安全 事件处 置 和应急预案 、安全风险评估和持续 改进以及监督检查 等活
动 。针对该 区信息 系统和业务应用 的特 点 ,参照上级 网络与
信息 安全 事件专项 应急预 案的要求 ,制定 相应 的应急预 案 。 重 点监 控系 统 的变化 和 系统安全 风 险 的变化 ,使 用 了 自保
上 ,通过 划分 安全 域 的方式 ,横 向采 用划 分虚拟 子 网 ,纵
向采用基于 用户组的权限控制 ,对 网络 用户的访问权限进行 有效的控制 。在入侵 检测上 ,在重要 的网络 节点和关键服务
提 出本 期实施 项 目的具体实施 方案。根据安全建设方案 ,主
要在 5 个 层面上进 行实施 : ( 1)在物理环 境安全方面 ,严 格按照 国家计算机系统 物理安全 的有关 规定 ,重点做好机房 内的物理 安全建设 ,使 用防盗 门窗和红外报 警系统 ,配置不 问断 电源 ,做好设备接
设备以及操 作系统 自身 的审计功能 ,定期对主机 日 志、 入侵
检测 日志 、防火墙 日志等进行 审计和检查 ,以便于早期发现 系统被非法 访问的迹象 。在信息传输 上 ,采用安全的连接方 式 进行外 部对 内部 的远程 访问 ( 如 VP N) ,内部对 于路 由器 等网络设备和服务器的访问也采取 S S L加密的方式 ,对于政 府 内网在 建筑物 外的传输 线路 ,都采 用加密机进 行加 密。 ( 3)在 系统 安 全方 面 ,对 已公 布 的操 作系统 漏 洞和 安
深圳市人民政府办公厅关于印发深圳市电子政务信息安全管理试行办法的通知
深圳市人民政府办公厅关于印发深圳市电子政务信息安全管理试行办法的通知文章属性•【制定机关】深圳市人民政府•【公布日期】2013.10.12•【字号】深府办[2013]23号•【施行日期】2013.10.12•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】机关工作正文深圳市人民政府办公厅关于印发深圳市电子政务信息安全管理试行办法的通知(深府办〔2013〕23号)各区人民政府,市政府直属各单位:《深圳市电子政务信息安全管理试行办法》已经市政府同意,现予印发,请认真组织实施。
深圳市人民政府办公厅2013年10月12日深圳市电子政务信息安全管理试行办法第一章总则第一条为规范深圳市电子政务信息安全建设,建立信息安全工作体系,明确信息安全工作职责,提高信息安全保障能力,促进信息安全工作开展,根据国家有关法律法规,结合本市实际,制定本试行办法。
第二条本试行办法适用于本市各区、市政府直属各单位及其管理单位(以下简称各单位)电子政务信息安全规划、建设、运维和管理。
第三条信息安全工作按照“谁主管、谁负责”原则进行管理。
电子政务系统的信息安全按照“谁运行、谁负责,谁使用、谁负责”的原则进行管理。
第四条本市电子政务主管部门负责统筹管理和协调全市电子政务信息安全工作,主要负责编制全市信息安全规划和工作计划,建立信息安全体系,督促落实信息安全管理制度,组织信息安全应急力量,协调处理重大信息安全事件,监督检查信息安全工作落实情况,指导各区、各部门信息安全工作等。
各区电子政务主管部门在市电子政务主管部门的协调指导下,组织开展本区信息安全工作。
第五条市电子政务主管部门、公安、国家安全、保密、密码等部门应加强工作协同与信息共享。
第六条各单位应确定信息安全工作机构,明确主管领导和工作人员,落实信息安全工作责任制。
各单位的信息安全工作机构、人员情况应按相关规定向同级电子政务主管部门备案。
第二章规划与建设第七条市电子政务主管部门统一制定全市电子政务信息安全总体规划,报市信息化领导小组审批通过后发布实施。
电子政务外网安全等级保护基本要求(试行)
3.术语和定
义3
4.政务外网资产、威胁分析和脆弱
性5
4.1.资产分
析5
4.2.威胁分
析6
4.3.脆弱性分
析7
5.政务外网安全等级保护概
述8
5.1.政务外网安全保护等
级8
52不同等级的安全保护能
力8
6.第二级基本要
求9
6.1.IP承载网9
6.1.1.广域
网9
6.1.2.城域
网9
6.1.3.用户局域
YD/T 1746-2008 IP
«<信息安全等级保护商用密码管理办法>实施意见》(国密局发[2009]10号)
《电子政务电子认证服务管理办法》(国密局发[2009]7号)
3.术语和定义
GB/T 5271.8和GB 17859-1999确定的以及下列术语和定义适用于本要求。
3.1.安全保护能力Security Protection Ability
强的要求。对于承载涉及国家秘密信息系统的网络保护要求,按照国家相关法律法规和信息安全主
管部门的相关规定和标准实施。 对于涉及密码的使用和管理,按照国家密码管理主管部门的相关规定和标
准实施。凡涉及政务外网数字证书的相关要求,参照国家电子政务外网管理中心印发的相关管理 和技术规定执行。
国家电子政务外网安全等级保护基本要求(试行)
1.适用范围
本要求规定了国家电子政务外网(以下简称政务外网)不同安全保护等级网络的基本技术保护要求,适用
于指导政务外网安全等级保护的建设、整改、自查和测评工作,可作为安全等级保护和信息安全主管部门
对政务外网安全进行检查和指导时的依据。
本要求只涉及政务外网安全等级保护的基本技术要求,有关物理环境、主机/服务器、应 用、数据和管理
(智慧政务)电子政务信息安全等级保护实施指南
(智慧政务)电子政务信息安全等级保护实施指南电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
电子政务外网安全等级保护基本要求(试行)
附件 2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网 96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网 117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规范国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
本要求由国家电子政务外网管理中心提出。
本要求由国家电子政务外网管理中心归口。
电子政务信息安全等级保护实施指南
电子政务信息安全等级保护实施指南(试行)国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A术语与定义 (27)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
电子政务外网安全等级保护基本要求(试行)讲解
附件 2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 .............................................................................................................................................................. (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规范国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
电子政务信息系统安全等级保护定级
电子政务信息系统安全等级保护定级一、业务信息安全保护等级的确定1、业务信息描述电子政务系统业务信息包括:通知公告、行政办公、查询统计、图形浏览、个人助理、公共交流、综合服务等业务模块。
属于行政机关办理业务过程中形成的专有信息。
2、业务信息受到破坏时所侵害客体的确定,侵害的客体包括:1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体。
3、该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。
4、侵害的客观方面是指定级对象的具体侵害行为,侵害形势以及对客体的造成的侵害结果,表现为:5、一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害,形式可以包括丢失、破坏、损坏等,会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。
6、可以对社会秩序、公共利益造成侵害。
7、信息受到破坏后对侵害客体的侵害程度及上述分析- 2 -的结果的表现程度。
上述对公民、法人和其他组织侵害的程度表现为严重损害,及工作职能受到严重影响,业务能力显著下降,出现较严重的法律问题,较大范围的不良影响等。
对社会利益和公共秩序侵害的程度表现为一般损害。
8、确定业务信息安全等级,《定级指南》业务信息安全保护等级为第二级。
二、系统服务安全保护等级的确定1、系统服务描述该系统属于为国计民生和国家经济建设等提供服务的信息系统。
2、系统服务受到破坏时所侵害客体的确定该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公民利益,但不损害国家安全。
客观方面表现的侵害结果为:1、可以对公民、法人和其他组织的合法权益造成侵害,影响正常工作的开展,导致业务能力下降,造成不良影响,引发法律纠纷等。
2、可以对社会公共利益造成侵害,造成社会不良影响,引起公共利益的损害等。
根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。
电子政务涉密信息系统的分级保护建设
电子政务涉密信息系统的分级保护建设作者:姜楚江来源:《信息化建设》2009年第01期当前,我国电子政务建设取得了显著成效。
同时,由于国际国内形势特点,信息安全保密问题日益突出,病毒、木马、网络攻击等越来越多,给国家安全带来威胁。
很多单位开始准备涉及国家秘密的信息系统(以下简称涉密信息系统)建设,但由于对政策的不了解,加之建设标准的复杂和操作难度等问题,导致一些单位感到无从下手,建设进度缓慢。
本文从涉密信息系统准备、实施、测评、监管等方面作了阐述,供大家参考。
2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,明确提出了开展信息安全等级保护的任务,指出涉密信息系统要按照党和国家的有关保密规定进行保护。
中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》,明确提出要建立健全涉密信息系统分级保护制度。
2006年1月17日,公安部等四部门下发了《信息安全等级保护管理办法(试行)》,其中规定:涉密信息系统应当依据国家信息安全等级保护的基本要求,按照涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
从广义上来讲, 涉密信息系统分级保护是信息安全等级保护的一个重要内容和组成部分,但两者有区别也有联系,从表一可以看出,涉密信息系统分级保护三个等级的防护水平不低于国家等级保护的第三、四、五级要求。
涉密信息系统分级保护是指建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
按照处理信息的最高密级确定,涉密信息系统由低到高划分为秘密、机密和绝密三个等级。
绝密级信息系统应限定在封闭、安全可控的独立建筑群内。
下面谈下建设过程。
一、涉密信息系统分级保护实施过程(一)学习相关文件和标准。
近年来,由于信息安全技术的快速发展,涉密信息系统的建设标准也不断变化。
电子政务信息系统如何定级
信息系统安全保护等级的确定
• 摸底调查-7)识别用户类型和分布 摸底调查-
– 调查了解各系统的管理用户和一般用户,内部用户和外部用户, 调查了解各系统的管理用户和一般用户,内部用户和外部用户, 本地用户和远程用户等类型 – 了解用户或用户群的数量分布,各类用户可访问的数据信息类型 了解用户或用户群的数量分布, 和操作权限 – 作用:了解用户类型和数量,有助于判断系统服务中断或系统信 作用:了解用户类型和数量, 息被破坏可能影响的范围和程度
如果受侵害客体是公民法人或其他组织的合法权益则以本人或本单位的总体利益作为判断侵害程度的基准如果受侵害客体是社会秩序公共利益或国家安全则应以整个行业或国家的总体利益作为判断侵害程度的基准信息系统安全保护等级的确定对其他组织和个人造成较低损害信息系统安全保护等级的确定对其他组织和个人造成较严重损害信息系统安全保护等级的确定对其他组织和个人造成非常严重损害信息系统安全保护等级的确定第三步初步确定信息系统等级9业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民法人和其他组织的合法权益第一级第二级第二级社会秩序公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民法人和其他组织的合法权益第一级第二级第二级社会秩序公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统安全保护等级的确定定级人员需要将定级对象信息系统中的不同类重要信息分别分析其安全性受到破坏后所侵害的客体及对客体的侵害程度取其中最高结果作为业务信息安全保护等级再将定级对象信息系统中的不同类重要系统服务分别分析其受到破坏后所侵害的客体及对客体的侵害程度取其中最高结果作为业务服务安全保护等级信息系统安全保护等级的确定在信息系统安全保护等级确定过程中可以聘请专家进行咨询评审并出具定级评审意见对拟确定为第四级以上信息系统的运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审出具评审意见信息系统等级当专家意见与运营使用单位或者主管部门不一致时以运营使用单位或者主管部门意见为准信息系统安全保护等级的确定信息系统运营使用单位参考专家定级评审意见最终确定信息系统等级形成定级报告信息系统运营使用单位有上级主管部门的应当经上级主管部门对安全保护等级进行审核批准如果是跨地域联网运营使用的信息系统则必须由其上级主管部门审批确保同类系统或分支系统在各地域分别定级的一致性目录信息系统安全保护等级的案例信息系统安全保护等级的报告公安部定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档定级报告作为备案表表三的附件要在信息系统备案时一并提交信息系统运营使用单位在起草定级报告时可以请技术支持单位协助信息系统安全保护等级的报告该信息系统具有信息系统的基本要素有主机网络及相关配套设施构成的人机系统该信息系统承载着独立或单一的业务应用业务应
电子政务信息安全等级保护实施指南
1.1.1.1.1.2电子政务信息安全等级保护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (11)3.1 定级过程 (11)3.2 系统识别与描述 (12)3.2.1 系统整体识别与描述 (12)3.2.2 划分子系统的方法 (13)3.2.3 子系统识别与描述 (13)3.3 等级确定 (14)3.3.1 电子政务安全属性描述 (14)3.3.2 定级原则 (14)3.3.3 定级方法 (17)3.3.4 复杂系统定级方法 (18)4 安全规划与设计 (19)4.1 系统分域保护框架建立 (20)4.1.1 安全域划分 (20)4.1.2 保护对象分类 (20)4.1.3 系统分域保护框架 (22)4.2 选择和调整安全措施 (23)4.3 安全规划与方案设计 (25)4.3.1 安全需求分析 (25)4.3.2 安全项目规划 (26)4.3.3 安全工作规划 (26)4.3.4 安全方案设计 (26)5 实施、等级评估与运行 (27)5.1 安全措施的实施 (27)5.2 等级评估与验收 (27)5.3 运行监控与改进 (28)附录A 术语与定义 (28)附录B 大型复杂电子政务系统等级保护实施过程示例 (29)B.1 大型复杂电子政务系统描述 (29)B.2 等级保护实施过程描述 (30)B.3 系统划分与定级 (31)B.3.1 系统识别和子系统划分 (31)B.3.2 系统安全等级确定 (31)B.3.3 系统分域保护框架 (32)B.4 安全规划与设计 (35)B.4.1 安全措施的选择与调整 (35)B.4.2 等级化风险评估 (35)B.4.3 等级化安全体系设计 (36)B.4.4 安全规划与方案设计 (38)B.5 安全措施的实施 (41)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (12)图4-1安全规划与设计过程 (19)图4-2电子政务的保护对象及信息资产 (21)图4-3系统分域保护框架示意图 (23)图4-4确定安全措施的过程 (24)图4-5系统安全需求 (26)图5-1安全措施的实施 (27)图5-2等级保护的运行改进过程 (28)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (16)表4-1安全措施的调整因素和调整方式 (25)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
1、国家信息安全等级保护相关政策条例
施的具体步骤和时间表。把等级保护确认为国家信息安全的基本制度和 根本方法,把等级保护提到一个新的高度,确定了等级保护的实施方 法、原则分工和计划等。
2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制 定了《信息安全等级保护管理办法》(公通字[2006]7号)
2007年6月,四部委联合下发《信息安全等级保护管理办法》(公 通字[2007]43号)(43号文件),标志着等级保护的全面推广落实。43 号文明确了信息安全等级保护制度的基本内容、流程及工作要求,明确 了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工 作中的职责、任务等。 2007年10月,四部委联合下发了“关于开展全国重要信息系统安全等级 保护定级工作的通知”(公信安[2007]861号),全面部署了全国范围内 的重要信息系统定级工作。
浙江
浙江省人民政府令
等级保护的政策文件
2003年9月 中办国办颁发 《关于加强信息安全保障工作的意见》 中办发[2003]27号 2005年 公安部标准《基本要求》 《定级指南》 《实施指南》 《测评准则》 云南
云南省人民政府第130号令 国家级技术标准
国家级政策文件 地方政策文件 国家级政策文件
2004年11月 四部委会签 《关于信息安全等级保护工作的实施意见》 公通字[2004]66号 2005年9月 国信办文件 《 关于转发《电子政务信息安全等级保护实施指南》的通知 》 国信办[2004]25号 2006年1月 四部委会签 《 关于印发《信息安全等级保护管理办法的通知 》 公通字[2006]7号 北京
电子政务外网安全等级保护基本要求(试行)
电子政务外网安全等级保护基本要求(试行)附件 2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言 .............................................................................................................................................................. (1)引言 (2)适用范围 (3)2. 规范性引用文件 (3)3. 术语和定义 (3)4. 政务外网资产、威胁分析和脆弱性 (5)4.1. 资产分析 (5)4.2. 威胁分析 (6)4.3. 脆弱性分析 (7)5. 政务外网安全等级保护概述 (8)5.1. 政务外网安全保护等级 (8)5.2. 不同等级的安全保护能力 (8)6. 第二级基本要求 (9)6.1. IP 承载网96.1.1. 广域网 (9)6.1.2. 城域网 (9)6.1.3. 用户局域网 (10)6.2. 业务区域网络 (10)6.2.1. 公用网络区 (10)6.2.2. 互联网接入区 (10)6.3. 管理区域网络 (11)6.3.1. 网络管理区 (11)6.3.2. 安全管理区 (11)7. 第三级基本要求 (11)7.1. IP 承载网117.1.1. 广域网 (11)I7.1.2. 城域网 (12)7.1.3. 用户局域网 (13)7.2. 业务区域网络 (14)7.2.1. 公用网络区 (14)7.2.2. 互联网接入区 (14)7.2.3. 专用网络区 (15)7.3. 管理区域网络 (15)7.3.1. 网络管理区 (15)7.3.2. 安全管理区 (16)7.3.3. 电子认证区 (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规范国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
电子政务信息安全等级保护实施指南
电子政务信息安然等级庇护实施指南国务院信息化工作办公室2005年9月目录1 引言 (1)编写目的 (1)适用范围 (1)文档布局 (1)2 底子道理 (2)底子概念 (2)电子政务等级庇护的底子含义 (2)电子政务安然等级的层级划分 (3)电子政务等级庇护的底子安然要求 (4)底子方法 (4)等级庇护的要素及其关系 (4)电子政务等级庇护实现方法 (5)实施过程 (6)角色及职责 (9)系统间互联互通的等级庇护要求 (10)3 定级 (10)定级过程 (11)系统识别与描述 (11)系统整体识别与描述 (11)划分子系统的方法 (12)子系统识别与描述 (13)等级确定 (13)电子政务安然属性描述 (13)定级原那么 (14)定级方法 (16)复杂系统定级方法 (17)4 安然规划与设计 (18)系统分域庇护框架成立 (18)安然域划分 (18)庇护对象分类 (19)系统分域庇护框架 (21)选择和调整安然办法 (22)安然规划与方案设计 (24)安然需求阐发 (24)安然工程规划 (24)安然工作规划 (25)安然方案设计 (25)5 实施、等级评估与运行 (25)安然办法的实施 (25)等级评估与验收 (25)运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级庇护实施过程例如 (27)大型复杂电子政务系统描述 (27)等级庇护实施过程描述 (28)系统划分与定级 (29)系统识别和子系统划分 (29)系统安然等级确定 (29)系统分域庇护框架 (30)安然规划与设计 (33)安然办法的选择与调整 (33)等级化风险评估 (34)等级化安然体系设计 (34)安然规划与方案设计 (36)安然办法的实施 (39)图表目录图2-1电子政务等级庇护的实现方法 (6)图2-2电子政务等级庇护的底子流程 (7)图2-3等级庇护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安然规划与设计过程 (18)图4-2电子政务的庇护对象及信息资产 (20)图4-3系统分域庇护框架示意图 (22)图4-4确定安然办法的过程 (22)图4-5系统安然需求 (24)图5-1安然办法的实施 (25)图5-2等级庇护的运行改进过程 (26)表2-1电子政务系统五个安然等级的底子内容 (3)表3-1电子政务安然等级在安然属性方面的描述 (15)表4-1安然办法的调整因素和调整方式 (23)电子政务信息安然等级庇护实施指南〔试行〕1 引言1.1 编写目的国家信息化带领小组关于加强信息安然保障工作的定见〔中办发[2003]27号,以下简称“27号文件〞〕明确要求我国信息安然保障工作实行等级庇护制度,提出“抓紧成立信息安然等级庇护制度,制定信息安然等级庇护的办理方法和技术指南〞。
关于电子政务信息安全等级保护
关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004 年9 月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27 号文件和66 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
电子政务信息安全等级保护实施指南
电子政务信息安全等级保护实施指南一、引言随着信息技术的快速发展,电子政务已经逐渐成为政府机构重要的工作手段和服务方式。
然而,电子政务也伴随着信息安全的风险和挑战。
为了保障电子政务信息的安全,政府机构需要制定和实施信息安全等级保护措施,确保电子政务系统的安全稳定运行。
本文将详细介绍电子政务信息安全等级保护实施指南。
二、电子政务信息安全等级划分针对电子政务系统,应根据其重要程度和风险程度,将其划分为多个安全等级。
划分安全等级可参考以下因素:1.信息价值:根据电子政务系统所涉及的敏感信息、业务流程、数据量等方面的综合评估,确定其信息价值。
2.风险评估:通过对潜在威胁和风险的评估,确定系统的风险程度。
3.法规要求:根据国家相关法规和标准,确定需要达到的安全等级。
在划分安全等级时,应确保安全等级与系统的敏感性和价值相适应,以确保资源和投入的有效利用。
1.安全政策和管理措施:建立并定期修订电子政务系统的安全政策,明确责任和权限,制定信息安全管理措施,保证系统的安全运行。
2.组织与人员安全:建立信息安全保护组织机构,明确各部门和人员的职责和权限。
配备专业的信息安全管理人员,通过培训和考核提升员工的信息安全意识和技能。
3.物理安全控制:采取物理安全措施,保护电子政务系统的物理环境安全。
包括门禁控制、机房布局、监控摄像等措施,防止物理攻击和非法入侵。
4.系统与网络安全管理:建立完善的系统和网络安全管理制度,包括身份认证、访问控制、日志审计等措施,保护系统和网络免受非法入侵和恶意活动的侵害。
5.数据安全管理:制定数据安全保护政策和措施,包括数据备份、加密和恢复等,确保敏感信息的机密性和完整性。
6.应用系统安全:建立应用系统安全管理制度,包括软件开发和安全测试、安全访问控制、漏洞修复等措施,保护应用系统的安全。
7.通信与传输安全:采取安全的通信和传输措施,保护数据在传输过程中的安全。
使用加密技术、防火墙等,防止数据泄露和篡改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子政务信息安全等级保护实施指南(试行)国务院信息化工作办公室2005年9月目录1 引言 (1)1.1 编写目的 (1)1.2 适用范围 (1)1.3 文档结构 (1)2 基本原理 (2)2.1 基本概念 (2)2.1.1 电子政务等级保护的基本含义 (2)2.1.2 电子政务安全等级的层级划分 (3)2.1.3 电子政务等级保护的基本安全要求 (4)2.2 基本方法 (4)2.2.1 等级保护的要素及其关系 (4)2.2.2 电子政务等级保护实现方法 (5)2.3 实施过程 (6)2.4 角色及职责 (9)2.5 系统间互联互通的等级保护要求 (10)3 定级 (10)3.1 定级过程 (11)3.2 系统识别与描述 (11)3.2.1 系统整体识别与描述 (11)3.2.2 划分子系统的方法 (12)3.2.3 子系统识别与描述 (13)3.3 等级确定 (13)3.3.1 电子政务安全属性描述 (13)3.3.2 定级原则 (13)3.3.3 定级方法 (16)3.3.4 复杂系统定级方法 (17)4 安全规划与设计 (18)4.1 系统分域保护框架建立 (18)4.1.1 安全域划分 (18)4.1.2 保护对象分类 (19)4.1.3 系统分域保护框架 (21)4.2 选择和调整安全措施 (22)4.3 安全规划与方案设计 (24)4.3.1 安全需求分析 (24)4.3.2 安全项目规划 (24)4.3.3 安全工作规划 (25)4.3.4 安全方案设计 (25)5 实施、等级评估与运行 (25)5.1 安全措施的实施 (25)5.2 等级评估与验收 (25)5.3 运行监控与改进 (26)附录A 术语与定义 (27)附录B 大型复杂电子政务系统等级保护实施过程示例 (27)B.1 大型复杂电子政务系统描述 (27)B.2 等级保护实施过程描述 (28)B.3 系统划分与定级 (29)B.3.1 系统识别和子系统划分 (29)B.3.2 系统安全等级确定 (29)B.3.3 系统分域保护框架 (30)B.4 安全规划与设计 (33)B.4.1 安全措施的选择与调整 (33)B.4.2 等级化风险评估 (34)B.4.3 等级化安全体系设计 (34)B.4.4 安全规划与方案设计 (36)B.5 安全措施的实施 (39)图表目录图2-1电子政务等级保护的实现方法 (6)图2-2电子政务等级保护的基本流程 (7)图2-3等级保护过程与新建和已建系统生命周期对应关系 (9)图3-1定级工作流程 (11)图4-1安全规划与设计过程 (18)图4-2电子政务的保护对象及信息资产 (20)图4-3系统分域保护框架示意图 (22)图4-4确定安全措施的过程 (22)图4-5系统安全需求 (24)图5-1安全措施的实施 (25)图5-2等级保护的运行改进过程 (26)表2-1电子政务系统五个安全等级的基本内容 (3)表3-1电子政务安全等级在安全属性方面的描述 (15)表4-1安全措施的调整因素和调整方式 (23)电子政务信息安全等级保护实施指南(试行)1 引言1.1 编写目的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。
因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域保护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
附录A介绍了本指南术语定义;附录B介绍了大型复杂电子政务系统等级保护实施过程的示例。
除明确声明外,本指南中所提到的等级保护、电子政务等级保护都是指电子政务信息安全等级保护。
2 基本原理2.1 基本概念2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
27号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
电子政务等级保护工作分为管理层面和用户层面两个方面的工作。
管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。
用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。
本指南的内容主要针对用户层面的工作。
电子政务信息安全等级保护遵循以下原则:a)重点保护原则电子政务等级保护要突出重点。
对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。
b)“谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。
c)分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
d)同步建设原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
5) 动态调整原则由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。
2.1.2 电子政务安全等级的层级划分66号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。
按66号文件的规定,对电子政务的五个安全等级定义如表2-1所示。
表2-1电子政务系统五个安全等级的基本内容2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。
对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。
电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。
a)安全策略安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。
安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。
b)安全组织安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。
c)安全技术安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。
d)安全运行安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。
具体的电子政务等级保护基本安全要求参见相关的国家标准。
2.2 基本方法2.2.1 等级保护的要素及其关系电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。
电子政务等级保护包含以下七个要素:a)电子政务系统电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以及执行信息处理、存储、传输的软硬件设备等。
b)目标目标是指电子政务系统的业务目标和安全目标,电子政务等级保护要保障业务目标和安全目标的实现。
c)电子政务信息安全等级电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。
d)安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。
e)安全风险安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。
安全风险由安全事件发生的可能性及其造成的影响这两种指标来综合衡量。
f)安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施。
g)安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。