您的位置:360文档中心› (七)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知

(七)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知

合集下载

国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知

国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知

国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知文章属性•【制定机关】国家发展和改革委员会•【公布日期】2008.09.24•【文号】发改高技[2008]2544号•【施行日期】2008.09.24•【效力等级】部门规范性文件•【时效性】失效•【主题分类】电子信息正文国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知(发改高技[2008]2544号)中央和国家机关各部委,各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委:为进一步加强国家电子政务工程建设项目(以下简称“电子政务项目”)的管理,促进我国电子政务的健康发展,结合当前电子政务项目建设中存在的主要问题,根据《国家电子政务工程建设项目管理暂行办法》(国家发展和改革委员会令[2007]第55号)的有关规定,现将有关工作要求通知如下:一、项目建设部门要高度重视电子政务项目的管理工作。

严格按照国家发展改革委第55号令的有关要求,加强对电子政务项目立项、建设、验收和运行等全过程的规范管理,确保电子政务项目的建设质量和投资效益。

二、项目建设部门要进一步加强电子政务项目的组织保障工作。

坚持“一把手”负责制,建立健全项目管理责任制,在充分发挥部门内部业务单位主导作用的基础上,强化业务单位与技术支持单位的协调配合,确保电子政务项目更好的服务于政务业务,更好的实现应用系统的协同互动,以及有关基础设施和信息资源的共享。

三、项目建设部门应严格按照批复的初步设计方案和投资概算实施项目建设。

主要建设内容或投资概算确需调整的,应事先向国家发展改革委提交调整报告,履行报批手续。

对于投资规模未超出概算批复、原有建设目标不变且总概算规模内单项工程之间概算调整的数额不超过概算总投资15%的项目,并符合以下三种情况之一的可由项目建设部门自行调整,同时将调整批复文件报国家发展改革委备案:(1)确属于对原项目技术方案进行完善优化的;(2)根据国家出台的新政策或中央领导部署的新任务要求,改变或增加相应建设内容的;(3)根据所建电子政务项目业务发展的需要,在国家已批复项目建设规划的框架下适当调整相关建设进度的。

国家发展改革委关于加强和完善国家电子政务工程建设管理的意见

国家发展改革委关于加强和完善国家电子政务工程建设管理的意见

国家发展改革委关于加强和完善国家电子政务工程建设管理的意见文章属性•【制定机关】国家发展和改革委员会•【公布日期】2013.02.16•【文号】发改高技[2013]266号•【施行日期】2013.02.16•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电子信息正文国家发展改革委关于加强和完善国家电子政务工程建设管理的意见(发改高技〔2013〕266号)中央和国家机关各部委、直属机构,各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委:为贯彻落实《“十二五”国家政务信息化工程建设规划》(以下简称《规划》),规范国家电子政务工程建设,加强国家电子政务工程建设项目(以下简称“电子政务项目”,主要指国家统一电子政务网络、国家基础信息资源库、国家网络与信息安全基础设施、重点业务信息系统、政府数据中心以及电子政务相关支撑体系等使用中央财政性资金建设的政务信息化工程建设项目。

)的管理,促进政府信息共享和业务协同,提高投资效益,现提出如下意见。

一、电子政务项目建设的思路和原则(一)电子政务建设思路要实现三个转变。

一是在建设目标上,要从过去注重业务流程电子化、提高办公效率,向更加注重支撑部门履行职能、提高政务效能、有效解决社会问题转变;二是在建设方式上,要从部门独立建设、自成体系,向跨部门跨区域的协同互动和资源共享转变;三是在系统模式上,要从粗放离散的模式,向集约整合的模式转变,确保电子政务项目的可持续发展。

(二)电子政务项目建设要坚持三个原则。

一是解决社会问题的原则,电子政务项目建设内容的确定,要以解决广大人民群众最关心最直接最现实的利益问题为出发点,以服务公众为落脚点,加快促进政府职能转变;二是提升政务部门信息能力的原则,要充分利用信息化手段,提升政务部门宏观调控、市场调节、社会管理和公共服务的能力,切实发挥电子政务支撑政务部门履行职能的作用;三是注重顶层设计的原则,要推进部门间的互联互通、业务协同和信息共享,发挥电子政务项目促进多部门协同解决经济社会问题的作用,避免重复投资、重复建设,发挥投资效益。

发改高技[2008]2544号

发改高技[2008]2544号

国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知发改高技[2008]2544号国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知中央和国家机关各部委,各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委:为进一步加强国家电子政务工程建设项目(以下简称“电子政务项目”)的管理,促进我国电子政务的健康发展,结合当前电子政务项目建设中存在的主要问题,根据《国家电子政务工程建设项目管理暂行办法》(国家发展和改革委员会令[2007]第55号)的有关规定,现将有关工作要求通知如下:一、项目建设部门要高度重视电子政务项目的管理工作。

严格按照国家发展改革委第55号令的有关要求,加强对电子政务项目立项、建设、验收和运行等全过程的规范管理,确保电子政务项目的建设质量和投资效益。

二、项目建设部门要进一步加强电子政务项目的组织保障工作。

坚持“一把手”负责制,建立健全项目管理责任制,在充分发挥部门内部业务单位主导作用的基础上,强化业务单位与技术支持单位的协调配合,确保电子政务项目更好的服务于政务业务,更好的实现应用系统的协同互动,以及有关基础设施和信息资源的共享。

三、项目建设部门应严格按照批复的初步设计方案和投资概算实施项目建设。

主要建设内容或投资概算确需调整的,应事先向国家发展改革委提交调整报告,履行报批手续。

对于投资规模未超出概算批复、原有建设目标不变且总概算规模内单项工程之间概算调整的数额不超过概算总投资15%的项目,并符合以下三种情况之一的可由项目建设部门自行调整,同时将调整批复文件报国家发展改革委备案:(1)确属于对原项目技术方案进行完善优化的;(2)根据国家出台的新政策或中央领导部署的新任务要求,改变或增加相应建设内容的;(3)根据所建电子政务项目业务发展的需要,在国家已批复项目建设规划的框架下适当调整相关建设进度的。

四、项目建设部门应做好电子政务项目建设情况的通报工作。

发改高技(2008)2544号国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知

发改高技(2008)2544号国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知

发改高技[2008]2544号国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知中央和国家机关各部委,各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委:为进一步加强国家电子政务工程建设项目(以下简称“电子政务项目”)的管理,促进我国电子政务的健康发展,结合当前电子政务项目建设中存在的主要问题,根据《国家电子政务工程建设项目管理暂行办法》(国家发展和改革委员会令[2007]第55号)的有关规定,现将有关工作要求通知如下:一、项目建设部门要高度重视电子政务项目的管理工作。

严格按照国家发展改革委第55号令的有关要求,加强对电子政务项目立项、建设、验收和运行等全过程的规范管理,确保电子政务项目的建设质量和投资效益。

二、项目建设部门要进一步加强电子政务项目的组织保障工作。

坚持“一把手”负责制,建立健全项目管理责任制,在充分发挥部门内部业务单位主导作用的基础上,强化业务单位与技术支持单位的协调配合,确保电子政务项目更好的服务于政务业务,更好的实现应用系统的协同互动,以及有关基础设施和信息资源的共享。

三、项目建设部门应严格按照批复的初步设计方案和投资概算实施项目建设。

主要建设内容或投资概算确需调整的,应事先向国家发展改革委提交调整报告,履行报批手续。

对于投资规模未超出概算批复、原有建设目标不变且总概算规模内单项工程之间概算调整的数额不超过概算总投资15%的项目,并符合以下三种情况之一的可由项目建设部门自行调整,同时将调整批复文件报国家发展改革委备案:(1)确属于对原项目技术方案进行完善优化的;(2)根据国家出台的新政策或中央领导部署的新任务要求,改变或增加相应建设内容的;(3)根据所建电子政务项目业务发展的需要,在国家已批复项目建设规划的框架下适当调整相关建设进度的。

四、项目建设部门应做好电子政务项目建设情况的通报工作。

按照国家发展改革委第55号令的规定,项目建设部门应在每年七月底和次年一月底前,向国家发展改革委和财政部报告电子政务项目上半年和全年的建设进度、实施内容、招标投标、概预算执行和存在的问题等情况。

信息安全等级保护制度的主要内容和工作要求

信息安全等级保护制度的主要内容和工作要求

码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求


一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。

优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和

信息安全相关政策解读

信息安全相关政策解读
13
政府部门信息技术外包服务机构申请信息 安全管理体系认证安全审查程序(暂行)
工业和信息化部公告(2011年第21号)
• 鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务
机构申请信息安全管理体系认证时,应选择国家认证认可监督管理委员 会批准开展信息安全管理体系认证的认证机构。
• 鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构
基本工作要求
应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维) 定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估
相关保障
参照标准:《信息安全风险评估规范》(GB/T 20984-2007)、 《信息安全风险管理指南》 (GB/Z 24364-2009)
服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服 务,要由国家专控的队伍来承担)
14
关于加强工业控制系统信息安全管理的 通知(工信部协[2011]451号)
工业控制系统信息安全事关工业生产运行、国家经济 安全和人民生命财产安全,为切实加强工业控制系统 信息安全管理,经国务院同意,现就有关事项通知如 下:
• 充分认识加强工业控制系统信息安全管理的重要性和紧迫性 • 明确重点领域工业控制系统信息安全管理要求 • 建立工业控制系统安全测评检查和漏洞发布制度 • 进一步加强工业控制系统信息安全工作的组织领导
十一五:试点 十二五:普及推广
5
我国信息安全政策的初步成效、后续展望
初步成效
依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求 、工作原则和重点工作内容
围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的 信息安全政策(风险评估、等级保护、电子政务类、应急预案等)

515-教育信息系统安全风险概述

515-教育信息系统安全风险概述

3.教育信息系统所面临的恶意攻击 拒绝服务攻击
(系统瘫痪、停止服
非法入侵
务)
(网页被篡改、被挂马)
恶意代码
(破坏、盗取)
跨站脚本 (盗取、挂马)
一、教育信息系统安全风险概述
4.教育信息系统安全事件
2010年上半年教育网网站挂马数量和月度挂马率统计
数据来源:北京大学网络与信息安全实验室
一、教育信息系统安全风险概述
4.等级保护工作的主要内容
1)系统定级:参考意见
❖ 第三级信息系统
▪ 地市级以上国家机关、企业、事业单位内部重要的信 息系统,例如涉及工作秘密、商业秘密、敏感信息的 办公系统和管理系统。
▪ 跨省或全国联网运行的用于生产、调度、管理、指挥、 作业、控制等方面的重要信息系统以及这类系统在省、 地市的分支系统。
❖ 管理风险,内部人员的违规\违法操作,口令和密钥管理不 当、制度遗漏、岗位、职责设置不全面等因素引起的风险;
❖ 无意错误风险,是指由于人为或系统错误而影响信息的完 整性、机密性和可用性。
❖ 物理风险,比如自然灾害,电力供应突然中断,静电、强 磁场破坏硬件设备以及设备老化等引起的风险;
一、教育信息系统安全风险概述
评报告、风险评估报告)
二、国家信息安全等级保护政策解读
等 级 保 护
标 准 体 系
信息系统安全等级保护定级指南
分析状况 方法指导
信息系统安全等级保护行业定级细则
保信 护息 测系 评统 过安 程全 指等 南级
信 保息 护系 测统 评安 要全 求等

安全等级
信息系统安全等级保 护建设
基线要求
信息系统安全等级保护基本要求的行业细则
强信息安全保障工作的意见》 管理办法(试行)》(

信息安全等级保护制度的主要内容和工作要求

信息安全等级保护制度的主要内容和工作要求
信息安全等级保护制度的主要内容和 工作要求
三、等级保护工作的具体内容和要求
2、确定信息系统安全保护等级 《管理办法》规定的五个等级:
◆第一级,信息系统受到破坏后,会对公民、法人和其
他组织的合法权益造成损害,但不损害国家安全、社会 秩序和公共利益。 ◆第二级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩序和公共 利益造成损害,但不损害国家安全。
信息安全等级保护制度的主要内容和 工作要求
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系 近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发 改委、原国务院信息办出台了一些文件,公 安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
(二)信息安全等级保护标准体 系
基础标准: 《计算机信息系统安全保护等级划分准则》。
在此基础上制定出技术类、管理类、产品类标 准。 安全要求:
《信息系统安全等级保护基本要求》 信息系统安全等级保护的行业规范
信息安全等级保护制度的主要内容和 工作要求
(二)信息安全等级保护标准体系
系统定级: 《信息系统安全等级保护定级指南》 信息系统安全等级保护行业定级细则 方法指导: 《信息系统安全等级保护实施指南》 《信息系统等级保护安全设计技术要求》 现状分析: 《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》
信息安全等级保护制度的主要内容和 工作要求
(二)信息安全等级保护标准体系
在应用有关标准中需注意的几个问题: 1、《基本要求》是阶段性目标,《信息系统等级

国家信息安全等级保护制度的主要内容和要求

国家信息安全等级保护制度的主要内容和要求
国家信息安全等级保护制度 的主要内容和要求


公安部 网络安全保卫局 郭启全

全国公安机关网络安全保卫部门 机构和职责
机构:公安部:网络安全保卫局

各省:网络警察总队 地市:网络警察支队
区县:网络警察大队
安 职责:制定信息安全政策
互联网安全管理,网上监控

打击网络犯罪
重要系统安全监察
网络与信息安全通报
部 对故意将信息系统安全级别定低,逃避公 安、保密、密码部门监管,造成信息系统 出现重大安全事故的,要追究单位和人员 的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系

近几年,公安部根据国务院147号 令的授权,会同国家保密局、国家密
码管理局、发改委、原国务院信息办

出台了一些文件,公安部对有些具体 工作出台了一些指导意见和规范,构
部 (三)通过对信息系统开展等级测评,及时 发现了信息系统的安全隐患、漏洞和薄弱 环节,初步掌握了重要信息系统安全保护 状况。
近年来等级保护工作成效
(四)通过开展信息安全等级保护安全

建设整改,重要信息系统安全防护能 力显著增强,信息安全事件(事故)
数量明显下降。
安 (五)重要行业、部门以等级保护工作
部 支持、服务等工作,并接受监管部门的
监督管理。
一、等级保护制度的主要内容
专家组
公 宣传等级保护相关政策、标准; 指 导备案单位研究拟定贯彻实施意见和建设 规划、技术标准的行业应用;参与定级和
安 安全建设整改方案论证、评审;协助发现
树立典型、总结经验并推广;跟踪国内外
部 信息安全技术最新发展,开展等级保护关

信息安全风险管理知识点标注版

信息安全风险管理知识点标注版
9
可能性
❖ 某件事发生的机会 ❖ 威胁源利用脆弱性造成不良后果的机会 ❖ 举例
▪ 脆弱性只有国家级测试人员采用专业工具才能利用 ,发生不良后果的机会很小
▪ 系统存在漏洞,但只在与互联网物理隔离的局域网 运行,发生不良后果的机会较小
▪ 互联网公开漏洞且有相应的测试工具,发生不良后 果的机会很大
10
对风险概念的理解
8
脆弱性
❖ 可能被威胁所利用的资产或若干资产的薄弱环节 ❖ 造成风险的内因 ❖ 脆弱性本身并不对资产构成危害,但是在一定条
件得到满足时,脆弱性会被威胁源利用恰当的威 胁方式对信息资产造成危害 ❖ 脆弱性举例
▪ 系统程序代码缺陷 ▪ 系统设备安全配置错误 ▪ 系统操作流程有缺陷 ▪ 维护人员安全意识不足
2255
信息安全风险管理相关的国内外标准
❖ GB/T 20984-2007《信息安全风险评估规范》 ❖ GB/Z 24364-2009《信息安全风险管理指南》 ❖ ISO/IEC 27005:2011《信息安全风险管理》 ❖ ISO GUIDE 73:2009《风险管理-术语》 ❖ ISO 31000:2009《风险管理-主要原则和指南》 ❖ IEC/ISO 31010:2009《风险管理-风险评估技术》 ❖ NIST SP800-30 (2012)《实施风险评估指南》 ❖ NIST SP800-39 (2011) 《管理信息安全风险:组织、使命和信息系统梗概》 ❖ NIST SP800-37 (2010) 《联邦信息系统应用风险管理框架指南:安全生命周期方法》 ❖ NIST SP800-53 (2010) 《为联邦信息系统和组织推荐的安全控制措施》 ❖ NIST SP800-53A (2010) 《联邦信息系统和组织安全控制措施评估指南:建立有效的

CISP总结-风险评估

CISP总结-风险评估

1.风险评估在27号文件中有,风险评估等级与安全等级之间的关系。

通常要比等级保护级低。

风险评估与等级保护的高低可以判断等级保护的超前滞后性。

标准在执行过程中都是弹性的。

2.评估承担单位:涉密:保密局。

非密:测评中心、国家信息技术安全研究中心、公安部信息安全等级保护中心。

3.一次测评工作,提交两个测评报告,即风险评估报告和等保测评报告4.识别:安全控制措施、资产、威胁、漏洞。

5.一个简化的风险评估流程:准备(Readiness)、识别(Realization)、计算(Calculation)[威胁概率、事件影响、风险定级]、报告(Report)6.威胁:威胁源、威胁目标、威胁方式。

威胁分为人为和自然两类7.风险衡量的方法?威胁的概率、脆弱性的概率、资产识别的概率。

计算时:脆弱性乘两次。

即风险值=(资产值*脆弱性)*(脆弱性*威胁)资产*脆弱=资产的损失值脆弱性*威胁=每年发生损失的概率8.定量分析:制定资产价值。

单一预期损失ALE,13600 9.计算题要考。

10.安全投资收益:(实施控制前的ALE)-(实施控制后的ALE)-(安全投资成本)11.GB/T 20274-2006 信息系统安全保障评估框架12.GB/T 20984-2007 信息安全风险评估规范13.GB/T 18336-2001 信息技术安全性评估准则14.好的风险管理过程具有成本效益性,遵循PDCA15.正确的风险管理方法是前瞻性风险管理和风险管理的结合。

16.资产是对组织有价值的东西,重要性等级由资产所有者确定,存在多种形式。

17.安全风险的可能性是威胁利用脆弱造成后果的可能性。

是两个结合的结果。

18.信息安全风险是――信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。

19.风险管理包括四个阶段两个过程20.风险处置包括减低、转移、规避、接受风险。

21.《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》国信办[2006]5号,规定了风险评估工作的的相关要求。

等级保护测试题

等级保护测试题

等级保护测试题1、国家实施信息安全等级保护制度的原因____A 网络发展的要求B信息安全形势严峻C个人需求D维护国家安全2、《中华人民共和国计算机系统安全保护条例》是____A 中办发【2003】27号B国务院147号令C公通字【2007】861号D公通字【2007】43号3、《国家信息化领导小组关于加强信息安全保障工作的意见》是_____A中办发【2003】27号 B 公通字【2007】43号 C 公通字【2007】861号D公信安【2009】1487号4、《关于信息安全等级保护工作的实施意见》是_____A发改高技【2008】2071号B公信安【2009】1429号C公信安【2007】1360号D公通字【2004】66号5、《信息安全等级保护管理办法》是______A公信安【2010】303号B公信安【2008】736号C公通字【2007】43号D公通字【2004】66号6、《关于开展全国重要信息系统安全等级保护定级工作的通知》是_____A公通字【2007】861号B公通字【2007】43号C公通字【2004】66号D公信安【2007】1360号7、《信息安全等级保护备案实施细则》_______A公通字【2007】43号B公信安【2009】1429号C公信安【2010】303号D公信安【2007】1360号8、《关于开展信息系统等级保护安全建设整改工作的指导意见》是_______A公信安【2010】303号B公信安【2009】1429号C公通字【2007】861号D公信安【2008】736号9、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》是____A公信安【2009】1429号B公通字【2007】43号C发改高技【2008】2071号D公信安【2007】1360号10、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》是______A公信安【2010】303号B公通字【2007】43号C发改高技【2008】2071号D公信安【2008】736号11、关于印发《信息系统安全等级测评报告模板(试行)》的通知是_____A公信安【2007】1360号B公信安【2009】1487号C公信安【2008】736号D公信安【2010】303号12、《公安机关信息安全等级保护检查工作规范(试行)》是_______A公信安【2007】1360号B公信安【2009】1487号C公信安【2008】736号D公信安【2010】303号13、实施等级保护制度的主要目的是________A明确重点、突出重点、保护重点B有利于同步建设、协调发展C优化信息安全资源的配置D推动信息安全产业发展14、等级保护工作的主要内容_____A信息系统分等级安全保护和监管B等级测评C信息安全产品分等级使用管理D信息安全事件分等级响应、处置15、信息安全等级保护标准体系_______A系统等级B方法指导 C 风险评估D现状分析16、信息系统定级原则_______A公安机关审核B专家评审C自主定级D主管部门审批17、涉及中央各部委、省(区、市)门户网站和重要网站的信息系统是______A第一级信息系统B第二级信息系统C第三级信息系统D第四级信息系统18、下列是物理测评范畴的是______A物理位置的选择B物理访问控制C防火D防尘E防雷击19、安全管理机构包括______人员配置岗位配置沟通和合作审核和检查授权和审批20、系统建设管理包括A系统等级和安全方案设计B产品采购和自行软件开发C外包软件开发和工程实施D 测试验收和系统交付E系统备案和等级测试问题:一、物理访问控制哪些具体的控制点,并举例说明物理访问控制措施各级别逐级增强的特点二、简述一下如何对现场测评活动过程进行管理?三、简述等级测评的主要目的四、定级工作的主要步骤是什么?五、简述物理安全现场测评活动的主要工作及内容六、简述等级保护与风险评估之间的区别与联系。

信息安全风险评估 国家首次明确电子政务项目风险评估要求

信息安全风险评估 国家首次明确电子政务项目风险评估要求

评 估 报 告 格 式 》 并且 也 可 咨 询 相 关 信 息

接 的方 式
明确 了我 国 电子 政 务工 程 建
条 对 电 子 政 务 项 目的 定 义 是
电子 政 务 网 络



国家统
安全风 险 评估 机 构

那么

都 有哪 些 机
设 项 目的信息安 全 风 险 评 估 工 作 的具 体 要求
子 政 务 项 目不 清 楚

部 门 和 参 与 国家电子 政 务 项 目建设 的 地 方
政 务部 门

理 规 定 》 《 及 国家秘 密的信 息系统 分 涉

可 以 参考 《 家 电子 国

级 保 护 测 评 指 南 》等 国 家有 关 保 密 规
政 务 工 程 建 设 项 目 管理 暂 行 办 法 》 国 家 (
具 体 都解 决了 哪 些 问题 呢 ? 下
一 一
国 家 电 子 政 务 标 准 化 体 系和 电子 政 务 相 关


国 家 电子 政 务 的 涉 密 和 非 涉 密 信 息
面 我们 以 问答和 评论 的方 式 向大 家
支撑 体 系等建设 项 目

电 子 政 务 项 目建 设

系统 的信 息安 全 风 险 评 估 的标 准 及 要 求
员会

公 安部 和 国家保 密局 联 合发布 了


关于
项 目建设 单 位 或 其 委 托 的 专业

内容 包 括 : 分 析信 息 系统 资产 的重 要 程 度

《 于 加 强 国 家 电子 政 务工 程 建 设 项 目 关 信 息安 全 风 险 评 估 工 作 的 通 知 》( 发 改

电子政务工程建设项目验收管理_赛迪监理

电子政务工程建设项目验收管理_赛迪监理
摸索、执行
循序改进过程
第三阶段
55号令出台前
按照国标执行 文档编制和提交 文档分类和归档 文档传送和借阅
文件完善
按照55号令及相关 文件规定要求 《项目档案管理暂行 办法》及附表 合同补充协议
遵照执行
按照前述文件及合 同要求 收集、整理、归档 文件 分类按照附表执行
三、文档准备
第一阶段

参照、摸索、执行

在发改委55号令文件颁布前 主要的工作依据
做好电子政务项目档案工作的两个方面:
1、宏观管理方面:制度建设、管理模式等; 2、微观管理方面:档案实体管理(收集、整理、归档、移交)
说明:从项目筹建至竣工验收阶段。 性质:是我国第一个针对信息化项目档案工作提出的系统性管理规范。
一、文件要求
[发改高技〔2008〕2071号]
配套文件
国家发展和改革委员会、中华人民共和国公安部、国家保密局
一、文件要求
1、什么是电子政务工程
2、电子政务工程建设流程和验收流程 3、验收流程的主要工作 4、涉及验收管理的3个文件的摘要解读
小结
提 纲
一、电子政务项目验收的有关文件要求 二、验收准备阶段的主要工作 三、验收档案收集、整理及归档 四、有关的咨询建议和办法 五、监理实践有关案例简介
二、验收准备工作
一、文件要求
定义
2007年8月13日颁布,2007年9月1日起实施。
什么是电子政务项目
《国家电子政务工程建设项目管理暂行办法》【国家发展和改革委员会55号令】
第二条 使用中央财政性资金的国家电子政务工程建设项目(以下简称“电子政务 项目”)。 第三条 电子政务项目主要是指: 国家统一电子政务网络; 国家重点业务信息系统; 国家基础信息库; 国家电子政务网络与信息安全保障体系相关基础设施; 国家电子政务标准化体系; 电子政务相关支撑体系等建设项目。

重要信息系统定级工作有关具体问题说明

重要信息系统定级工作有关具体问题说明
1关于信息安全等级保护工作的实施意见公通字200466号2信息安全等级保护管理办法公通字200743号3关于开展全国重要信息系统安全等级保护定级工作的通知公通字2007861号4信息安全等级保护备案实施细则公信安20071360号5关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091429号6关于加强国家电子政务工程建设项目信息安全风险评估工作的通知发改高技20082071号7关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安2010303号
二、等级保护定级备案工作的具体内容和要求 1. 确定定级对象 • 起支撑、传输作用的信息网络(包括专网 、内网、外网、网管系统)。 • 用于生产、调度、管理、指挥、作业、控 制、办公等目的的各类业务系统 。 • 各单位网站。
二、等级保护定级备案工作的具体内容和要求
2.确定信息系统安全保护等级
《管理办法》规定的五个等级: • 第一级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益。 • 第二级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益造成损害,但不损害国 家安全。
二、等级保护定级备案工作的具体内容和要求
• 隶属于中央的在京单位,其跨省或者全国 统一联网运行并由主管部门统一定级的信 息系统,由主管部门向公安部备案;其他 信息系统向北京市公安局备案。 • 跨省或者全国统一联网运行的信息系统在 各地运行、应用的分支系统,应当向当地 设区的市级以上公安机关备案。 • 各部委统一定级信息系统在各地的分支系 统,即使是上级主管部门定级的,也要到 当地公安网络安全保卫部门备案。
(一)信息安全等级保护政策体系 基础标准: 《计算机信息系统安全保护等级划分准则 》。 在此基础上制定出技术类、管理类、 产品类标准。 安全要求: 《信息系统安全等级保护基本要求》 信息系统安全等级保护的行业规范

关于加强国家电子政务工程建设项目信息安全风险评估工作的通知

关于加强国家电子政务工程建设项目信息安全风险评估工作的通知

关于加强国家电子政务工程建设项目信息安全风险评估工作的
通知
佚名
【期刊名称】《电子政务》
【年(卷),期】2008(000)009
【摘要】2008年8月6日.国家发展和改革委员会、公安部.国家保密局联合发出了《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》。

全文如下:
【总页数】1页(P118-118)
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.做好信息安全风险评估工作——防患于未然——国家信息化专家咨询委员会委员曲成义 [J],
2.国家信息安全风险评估工作历程 [J], 吴亚非
3.关于加强国家电子政务工程建设项目管理工作的几点意见——国家发改委高技术司顾大伟副司长在国家电子政务工程建设情况通报会上的讲话 [J],
4.加强信息安全风险评估工作的研究 [J], 付沙
5.信息安全风险评估国家标准编制完成信息安全风险评估工作启动 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。

网络安全三级等保解决方案

网络安全三级等保解决方案

网络安全三级等保解决方案202X年10月目录1项目综述 (4)1.1 建设必要性 (4)1.2 建设目标 (4)1.3 等保定级 (5)1.4 建设依据 (5)1.4.1国家相关政策要求 (5)1.4.2等级保护及信息安全相关国家标准 (6)2信息安全保障风险分析 (7)2.1 系统建设风险 (7)2.1.1建设质量计量、监督风险 (7)2.1.2安全规划风险 (7)2.1.3建设计划风险 (7)2.2 安全技术风险 (8)2.2.1物理安全风险 (8)2.2.2网络安全风险 (8)2.2.3主机安全风险 (9)2.2.4应用安全风险 (10)2.2.5数据安全风险 (10)2.3 安全管理风险 (11)2.3.1安全组织建设风险 (11)2.3.2人员风险 (11)2.3.3安全策略风险 (12)2.3.4安全审计风险 (12)3解决方案总体设计 (12)3.1 设计原则 (12)3.2 安全保障体系构成 (13)3.2.1安全技术体系 (14)3.2.2安全管理体系 (17)3.2.3安全运维体系 (17)3.3 安全技术方案详细设计 (17)3.3.1网络安全拓扑设计 (17)3.3.2安全区域边界设计 (25)3.3.3安全通信网络设计 (27)3.3.4安全管理中心设计 (29)3.4 安全管理体系详细设计 (32)3.4.1安全管理建设设计指导思想 (32)3.4.2建立安全管理制度及策略体系的目的 (33)3.4.3设计原则 (33)3.4.4安全方针 (33)3.4.5信息安全策略框架 (34)3.4.6总体策略 (34)3.4.7安全管理组织机构 (35)3.4.8服务交付物 (38)3.5 安全运维体系详细设计 (40)3.5.1安全管理体系建设咨询服务 (40)3.5.2安全巡检服务 (40)3.5.3日常监测服务 (40)3.5.4应急响应服务 (42)3.5.5安全培训服务 (43)3.5.6检查抽查支撑服务 (43)3.6 验收测试要求 (44)3.6.1等级保护测评 (44)4设备配置及服务清单 (44)1项目综述1.1建设必要性依据《网络安全等级保护条例》、《网络安全法》、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),明确了等级保护是我国开展信息安全保障工作的基本制度、基本国策和基本方法,确定了系统定级、备案、等级测评、安全建设整改、监督检查等工作流程及要求,为开展信息安全等级保护工作提供了规范保障。

(七)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)[1]

(七)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)[1]
3.1.3 子系统构成及定级 ........................................................................................................ 3
3.2 评估对象等级保护措施 ...................................................................................................... 3
三、评估对象 ..................................................................................................................................... 3
3.1 评估对象构成与定级 ........................................................................................................... 3
1.1 工程项目概况.......................................................................................................................... 1
1.1.1 建设项目基本信息 ........................................................................................................ 1
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

国家发展和改革委员会文件中华人民共和国公安部国家保密局发改高技[2008]2071号关于加强国家电子政务工程建设项目信息安全风险评估工作的通知中央和国家机关各部委,国务院各直属机构、办事机构、事业单位,各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅、保密局:为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),加强基础信息网络和重要信息系统安全保障,按照《国家电子政务工程建设项目管理暂行办法》(国家发展和改革委员会令[2007]第55号)的有关规定,加强和规范国家电子政务工程建设项目信息安全风险评估工作,现就有关事项通知如下:一、国家的电子政务网络、重点业务信息系统、基础信息库以— 1 —及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作。

二、电子政务项目信息安全风险评估的主要内容包括:分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。

三、电子政务项目信息安全风险评估工作按照涉及国家秘密的信息系统(以下简称涉密信息系统)和非涉密信息系统两部分组织开展。

四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准,进行系统测评并履行审批手续。

五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。

等级测评报告参照公安部门制订的格式编制,风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》(见附件)编制。

六、电子政务项目涉密信息系统的信息安全风险评估,由国家保密局涉密信息系统安全保密测评中心承担。

非涉密信息系统的信息安全风险评估,由国家信息技术安全研究中心、中国信息安全测— 2 —评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担。

七、项目建设单位应在项目建设任务完成后试运行期间,组织开展该项目的信息安全风险评估工作,并形成相关文档,该文档应作为项目验收的重要内容。

八、项目建设单位向审批部门提出项目竣工验收申请时,应提交该项目信息安全风险评估相关文档。

主要包括:《涉及国家秘密的信息系统使用许可证》和《涉及国家秘密的信息系统检测评估报告》,非涉密信息系统安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估报告等。

九、电子政务项目信息安全风险评估经费计入该项目总投资。

十、电子政务项目投入运行后,项目建设单位应定期开展信息安全风险评估,检验信息系统对安全环境变化的适应性及安全措施的有效性,保障信息系统的安全可靠。

十一、中央和地方共建电子政务项目中的地方建设部分信息安全风险评估工作参照本通知执行。

附件:《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》— 3 —(此页无正文)国家发展改革委公安部国家保密局二○○八年八月六日主题词:风险评估通知抄送:中央办公厅、全国人民代表大会常务委员会办公厅、国务院办公厅、中国人民政治协商会议全国委员会办公厅、最高法院办公厅、最高检察院办公厅— 4 —附件:国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称:项目建设单位:风险评估单位:年月日目录一、风险评估项目概述 (1)1.1工程项目概况 (1)1.1.1 建设项目基本信息 (1)1.1.2 建设单位基本信息 (1)1.1.3承建单位基本信息 (2)1.2风险评估实施单位基本情况 (2)二、风险评估活动概述 (2)2.1风险评估工作组织管理 (2)2.2风险评估工作过程 (2)2.3依据的技术标准及相关法规文件 (2)2.4保障与限制条件 (3)三、评估对象 (3)3.1评估对象构成与定级 (3)3.1.1 网络结构 (3)3.1.2 业务应用 (3)3.1.3 子系统构成及定级 (3)3.2评估对象等级保护措施 (3)3.2.1XX子系统的等级保护措施 (3)3.2.2子系统N的等级保护措施 (3)四、资产识别与分析 (4)4.1资产类型与赋值 (4)4.1.1资产类型 (4)4.1.2资产赋值 (4)4.2关键资产说明 (4)五、威胁识别与分析 (4)5.1威胁数据采集 (5)5.2威胁描述与分析 (5)5.2.1 威胁源分析 (5)5.2.2 威胁行为分析 (5)5.2.3 威胁能量分析 (5)5.3威胁赋值 (5)六、脆弱性识别与分析 (5)6.1常规脆弱性描述 (5)6.1.1 管理脆弱性 (5)6.1.2 网络脆弱性 (5)6.1.3系统脆弱性 (5)6.1.4应用脆弱性 (5)6.1.5数据处理和存储脆弱性 (6)6.1.6运行维护脆弱性 (6)6.1.7灾备与应急响应脆弱性 (6)6.1.8物理脆弱性 (6)6.2脆弱性专项检测 (6)6.2.1木马病毒专项检查 (6)6.2.2渗透与攻击性专项测试 (6)6.2.3关键设备安全性专项测试 (6)6.2.4设备采购和维保服务专项检测 (6)6.2.5其他专项检测 (6)6.2.6安全保护效果综合验证 (6)6.3脆弱性综合列表 (6)七、风险分析 (6)7.1关键资产的风险计算结果 (6)7.2关键资产的风险等级 (7)7.2.1 风险等级列表 (7)7.2.2 风险等级统计 (7)7.2.3 基于脆弱性的风险排名 (7)7.2.4 风险结果分析 (7)八、综合分析与评价 (7)九、整改意见 (7)附件1:管理措施表 (8)附件2:技术措施表 (9)附件3:资产类型与赋值表 (11)附件4:威胁赋值表 (11)附件5:脆弱性分析赋值表 (12)一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息1.1.2 建设单位基本信息工程建设牵头部门如有多个参与部门,分别填写上11.1.3承建单位基本信息1.2 风险评估实施单位基本情况二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。

2.2 风险评估工作过程工作阶段及具体工作内容.2.3 依据的技术标准及相关法规文件2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。

三、评估对象3.1 评估对象构成与定级3.1.1 网络结构文字描述网络构成情况、分区情况、主要功能等,提供网络拓扑图。

3.1.2 业务应用文字描述评估对象所承载的业务,及其重要性。

3.1.3 子系统构成及定级描述各子系统构成。

根据安全等级保护定级备案结果,填写各子系统的安全保护等级定级情况表:3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。

根据需要,以下子目录按照子系统重复。

3.2.1XX子系统的等级保护措施根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。

根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。

3.2.2子系统N的等级保护措施3四、资产识别与分析4.1 资产类型与赋值4.1.1资产类型按照评估对象的构成,分类描述评估对象的资产构成。

详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。

4.1.2资产赋值填写《资产赋值表》。

4.2 关键资产说明在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:五、威胁识别与分析对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析。

5.1 威胁数据采集5.2 威胁描述与分析依据《威胁赋值表》,对资产进行威胁源和威胁行为分析。

5.2.1 威胁源分析填写《威胁源分析表》。

5.2.2 威胁行为分析填写《威胁行为分析表》。

5.2.3 威胁能量分析5.3 威胁赋值填写《威胁赋值表》。

六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。

6.1 常规脆弱性描述6.1.1 管理脆弱性6.1.2 网络脆弱性6.1.3系统脆弱性6.1.4应用脆弱性56.1.5数据处理和存储脆弱性6.1.6运行维护脆弱性6.1.7灾备与应急响应脆弱性6.1.8物理脆弱性6.2脆弱性专项检测6.2.1木马病毒专项检查6.2.2渗透与攻击性专项测试6.2.3关键设备安全性专项测试6.2.4设备采购和维保服务专项检测6.2.5其他专项检测包括:电磁辐射、卫星通信、光缆通信等。

6.2.6安全保护效果综合验证6.3 脆弱性综合列表填写《脆弱性分析赋值表》。

七、风险分析7.1 关键资产的风险计算结果填写《风险列表》7.2 关键资产的风险等级7.2.1 风险等级列表填写《风险等级表》7.2.2 风险等级统计7.2.3 基于脆弱性的风险排名7.2.4 风险结果分析八、综合分析与评价九、整改意见7附件1:管理措施表附件2:技术措施表9附件3:资产类型与赋值表针对每一个系统或子系统,单独建表附件4:威胁赋值表11附件5:脆弱性分析赋值表13。

相关文档
最新文档