关于进一步推进中央企业信息安全等级保护工作的通知
网络安全等级保护(安全通用要求)建设实施方案
网络安全等级保护建设案(安全通用要求)北京启明星辰信息安全技术有限公司Beijing Venustech Information Security Technology Co., Ltd.二零一九年五月目录1.项目概述 (4)1.1.项目概述 (4)1.2.项目建设背景 (4)1.2.1.法律依据 (4)1.2.2.政策依据 (5)1.3.项目建设目标及容 (6)1.3.1.建设目标 (6)1.3.2.建设容 (7)1.4.等级保护对象分析与介绍 (8)2.案设计说明 (8)2.1.设计依据 (8)2.2.设计原则 (9)2.2.1.分区分域防护原则 (9)2.2.2.均衡性保护原则 (9)2.2.3.技管并重原则 (9)2.2.4.动态调整原则 (9)2.2.5.三同步原则 (10)2.3.设计思路 (10)2.4.设计框架 (12)3.安全现状及需求分析 (12)3.1.安全现状概述 (12)3.2.安全需求分析 (13)3.2.1.物理环境安全需求 (13)3.2.2.通信网络安全需求 (14)3.2.3.区域边界安全需求 (15)3.2.4.计算环境安全需求 (17)3.2.5.安全管理中心安全需求 (18)3.2.6.安全管理制度需求 (18)3.2.7.安全管理机构需求 (19)3.2.8.安全管理人员需求 (19)3.2.9.安全建设管理需求 (20)3.2.10.安全运维管理需求 (21)3.3.合规差距分析 (22)4.技术体系设计案 (22)4.1.技术体系设计目标 (22)4.2.技术体系设计框架 (23)4.3.安全技术防护体系设计 (23)4.3.1.安全计算环境防护设计 (23)4.3.2.安全区域边界防护设计 (28)4.3.3.安全通信网络防护设计 (31)4.3.4.安全管理中心设计 (34)5.管理体系设计案 (35)5.1.管理体系设计目标 (35)5.2.管理体系设计框架 (35)5.3.安全管理防护体系设计 (35)5.3.1.安全管理制度设计 (36)5.3.2.安全管理机构设计 (36)5.3.3.安全管理人员设计 (37)5.3.4.安全建设管理设计 (38)5.3.5.安全运维管理设计 (39)6.产品选型与投资概算 (47)7.部署示意及合规性分析 (48)7.1.部署示意及描述 (48)7.2.合规性分析 (48)7.2.1.技术层面 (48)7.2.2.管理层面 (50)1.项目概述1.1.项目概述根据实际项目情况编写、完善。
信息系统安全等级保护测评过程及方法
等测特点
执行主体:符合条件的测评机构 执行的强制性:管理办法强制周期性执行 执行对象:已绊定级的信息系统 测评依据:依据《基本要求》 测评内容:单元测评(技术和管理)和整体测评 测评付出:丌同级别的测评力度丌同 测评方式:访谈、检查和测试 服务对象:主管部门,运维、使用单位,信息安全监管部门 判定准则:满足业务需求
二者共同指导等级测评工作。
48
《测评过程指南》目彔
目彔说明
一级目彔 二级目彔 三级目彔
×××活劢
×××活劢的工作流程 ×××活劢的主要仸务 ×××活劢的输出文档 ×××活劢中双方的职责
×××(仸务名称)
四级目彔
×××
具体内容
具体仸务描述
49
主要章节的描述结构
过程
活劢 仸务
仸务项
—等级测评过程
35
单元测评-网络层面
网络层面构成组件负责支撑信息系统迚行网络互联,为 信息系统各个构成组件迚行安全通信传输,一般包括网 络设备、连接线路以及它们构成的网络拓扑等。
测评对象:
网络互联设备 网络安全设备 网络管理平台 相应设计/验收文档,设备的运行日志等
36
单元测评-系统层面
系统层面主要是指主机系统,构成组件有服务器、终端 /工作站等计算机设备,包括他们的操作系统、数据库 系统及其相关环境等
洞令 扫更
本 升
档 管
…
记 描换 级 理
相应表栺 相应操作记彔
41
策略
制度 操作 规程
记彔
整体测评
安全控制点间 层面间 区域间
42
安全控制点间
同一层面内丌同安全控制乊间存在的功能增 强(补充)或削弱等关联作用。
物理访问控制不防盗窃和防破坏 身仹鉴别不访问控制 身仹鉴别不安全审计
(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
![(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)](https://img.taocdn.com/s3/m/391ef8630b1c59eef8c7b436.png)
—1—
抄送:各省、自治区、直辖市信息安全等级保护工作协调(领导) 小组。
—2—
关于开展信息安全等级保护 安全建设整改工作的指导意见
为进一步贯彻落实《国家信息化领导小组关于加强信息安全 保障工作的意见》和《关于信息安全等级保护工作的实施意见》、 《信息安全等级保护管理办法》(以下简称《管理办法》)精神, 指导各部门在信息安全等级保护定级工作基础上,开展已定级信 息系统(不包括涉及国家秘密信息系统)安全建设整改工作,特 提出如下意见:
(二)开展信息安全等级保护安全技术措施建设,提高信息 系统安全保护能力。按照《管理办法》、《信息系统安全等级保护 基本要求》,参照《信息系统安全等级保护实施指南》、《信息系 统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系 统等级保护安全设计技术要求》等标准规范要求,结合行业特点 和安全需求,制定符合相应等级要求的信息系统安全技术建设整 改方案,开展信息安全等级保护安全技术措施建设,落实相应的 物理安全、网络安全、主机安全、应用安全和数据安全等安全保 护技术措施,建立并完善信息系统综合防护体系,提高信息系统 的安全防护能力和水平。
06 未定级备案信息 系统数量
07 已定级备案信息系 统数量
第二级系统 第四级系统
第三级系统
合
计
(1)是否明确主管领导、责任部门和具体负责人员
08 信 息 系统安全 建设整改 工作情况
(2)是否对信息系统安全建设整改工作进行总体部署 (3)是否对信息系统进行安全保护现状分析 (4)是否制定信息系统安全建设整改方案 (5)是否组织开展信息系统安全建设整改工作
附件:1、《信息安全等级保护安全建设整改工作情况统计表》 2、《信息安全等级保护安全建设整改工作指南》
关于开展信息安全等级保护安全建设整改工作的指导意见
关于开展信息安全等级保护安全建设整改工作的指导意见信息安全是企业发展的重要基石,而信息安全等级保护是信息安全管理的重要手段。
为了进一步加强信息安全等级保护,保障企业信息系统、数据和业务的安全稳定运行,我们制定了以下。
一、重视信息安全等级保护工作信息安全等级保护是信息安全管理体系的重要组成部分,是企业信息安全管理的重要手段。
信息安全等级保护工作不仅关系到企业的核心业务和重要数据安全,更关乎企业的声誉和信誉。
因此,企业领导和各级管理人员要高度重视信息安全等级保护工作,明确信息安全等级保护的重要性和紧迫性,加强组织领导,明确责任分工,统筹推进。
二、建立完善的信息安全管理体系建立完善的信息安全管理体系是信息安全等级保护工作的基础和前提。
企业要根据自身情况,建立健全的信息安全管理组织架构,明确信息安全管理的工作职责和权限,制定信息安全相关政策和规范,确保信息安全管理工作的顺利开展。
同时,企业要健全信息安全管理制度,建立健全的信息安全管理流程,确保信息安全管理工作的科学化、规范化和持续化。
三、加强信息安全风险评估和防范信息安全等级保护工作需要加强风险管理和风险防范。
企业要开展信息安全风险评估,识别和评估信息安全风险,明确主要的信息安全威胁与风险,制定相应的风险防范措施,加强对信息安全风险的管控和防范,确保信息系统、数据和业务的安全稳定运行。
四、加强信息安全技术和管理能力建设信息安全技术和管理能力是信息安全等级保护的核心竞争力。
企业要加强信息安全技术和管理能力建设,培养信息安全专业人才,提升信息安全防护技术能力,加强信息安全管理水平,建立信息安全技术和管理能力的持续改进机制,保障信息安全工作的顺利开展。
五、监督检查和整改落实监督检查和整改落实是信息安全等级保护工作的核心环节。
企业要建立健全的信息安全等级保护监督检查机制,加强对信息安全等级保护工作的监督检查,发现并及时纠正信息安全管理存在的问题和风险,确保信息安全等级保护工作的有效落实。
国家信息化领导小组关于加强信息安全保障工作的意见
国家信息化领导小组关于加强信息安全保障工作的意见文章属性•【制定机关】国家信息化领导小组•【公布日期】•【文号】中办发[2003]27号•【施行日期】•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分。
近年来,在党中央国务院的领导下,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定、保障和促进信息化建设健康发展发挥了重要作用。
但是必须看到,我国信息安全保障工作仍存在一些亟待解决的问题:网络与信息系统的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键技术整体上还比较落盾,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱。
与此同时,网上有害信息传播、病毒入侵和网络攻击日趋严重,网络失泄密事件屡有发生,网络犯罪呈快速上升趋势,境内外敌对势力针对广播电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖撅,严重危害公众利益和国家安全,影响了我国信息化建设的健康发展。
随着我国信息化的逐步推进,特别是互联网的广泛应用,信息安全还将面临更多新的挑战。
为进一步提高信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展,现提出以下意见。
一、加强信息安全保障工作的总体要求和主要原则加强信息安全保障工作的总体要求是:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
教育行业等级保护(二级)解决方案V1
教育行业等级保护(二级)解决方案2017年1月文档信息作者:何汉强日期:2017年1月19日复审人:日期:单击或点击此处输入日期。
密级:☐公开资料☒内部资料☐保密资料☐机密资料文档类型:☐管理文档☐计划文档☐需求文档☒设计文档☐测试文档☐用户文档☐工程文档☐维护文档版本控制版本编号修订人修订日期修订说明V1.0 何汉强2017.01.19 创建文档版权声明Copyright ©2017 福建六壬网安股份有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
目录1项目概述 (1)1.1项目背景 (1)1.2项目目标 (2)1.3项目内容 (2)2等级保护咨询服务 (3)2.1咨询服务依据 (3)2.1.1政策依据 (3)2.1.2标准依据 (4)2.2咨询服务原则 (4)2.3等级保护咨询服务介绍 (5)3等级保护差距分析 (8)4等级保护整改建议 (10)4.1等级保护整改保护措施 (10)4.2网络安全 (11)4.3主机安全 (12)4.4应用安全 (12)4.5数据安全与备份恢复 (13)5等级保护整改投资概算 (14)5.1编制说明 (14)5.1.1编制依据 (14)5.1.2各种费率的取定 (14)5.2概算表格 (15)5.2.1项目总投资概算 (15)5.2.2分项投资概算清单 (15)6六壬网安等保咨询服务的优势 (17)7典型成功案例列表 (18)1项目概述1.1项目背景随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用,加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。
为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。
公安部、国资委联合召开中央企业行业主管部门信息安全等级保护工作座谈会
4)正 确 开 发 测 评 作 业 指 导书 。 存 开发 测 评 作 业 指 导 书 时, 应结合网络设备的物理 和逻辑位置,正确识 别网络设备承担的 具体功能 ,合理地将测评指标结合到具体 的网络设备上。以 级信息 系统 为例 ,在 针对 接人交换 机开发测评 作业指 导书时, 考虑到其不承担访问控制功能,故应将访 问控制方面的测评项 标 为不适用项 。此外,要根 据网络设备 的实际情况『合当选取测 评 指标 ,如 网络设备未启用远程拨号连接时,应将测评作业指 导书中与远程拨号连接相关的测评项标 为不适用项。
4结 语
当前 各类 网络 安 全 威 胁 不 断 增多 ,网络 安 全 防 范雉 度 不 断 加大,维护信 息系统安全的任务仍然十分严峻。在信息系统安全 保 护 的工作 中,网络 安全 测评 r作 的有 效 开展能 够 帮助 系统运 维 、 使 用 单位 及 时发现 系统 中存在 的网络 安全 问题 ,从而 为开展信 息
公安部、国务院国有资产监督管理委员会关于进一步推进中央企业信
公安部、国务院国有资产监督管理委员会关于进一步推进中央企业信息安全等级保护工作的通知【法规类别】保密【发文字号】公通字[2010]70号【发布部门】公安部国务院国有资产监督管理委员会【发布日期】2010.12.26【实施日期】2010.12.26【时效性】现行有效【效力级别】部门规范性文件公安部、国务院国有资产监督管理委员会关于进一步推进中央企业信息安全等级保护工作的通知(公通字[2010]70号)各省、自治区、直辖市公安厅(局),新疆生产建设兵团公安局,中央企业:保护中央企业信息系统的安全稳定运行对于促进企业健康发展,维护国家经济安全和社会稳定具有重要意义。
为全面落实国家信息安全等级保护制度,加强中央企业的信息安全工作,保障和促进中央企业的信息化发展,现就进一步推进中央企业信息安全等级保护工作的有关要求通知如下:一、高度重视,切实将信息安全等级保护工作纳入企业信息化工作同步推进近年来,中央企业全面推进信息化建设,企业信息系统数量大幅增加,系统复杂程度大幅提高,业务依赖程度大幅增强,特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展,提高企业核心竞争力的重要载体和主要手段,已成为国家关键基础设施。
各级公安机关、国资监管及有关行业主管(监管)部门要高度重视中央企业的信息安全等级保护工作,特别是各企业要将这项工作摆在重要位置,认真贯彻落实国家信息安全等级保护制度,将信息安全等级保护工作纳入企业信息化工作的整体布局中,将信息安全等级保护工作与信息化工作同步规划、同步实施、同步考核。
二、明确职责,建立分工负责、协作配合的工作机制国资委负责部署中央企业信息安全等级保护工作,其中电力、军工、民航企业和电信运营商的信息安全等级保护工作由相关主管(监管)部门组织部署和落实。
国资委和有关行业主管(监管)部门按照国家信息安全等级保护制度的总体要求和相关管理文件,组织中央企业开展信息。
关于印发《信息安全等级保护管理办法》的通知
关于印发《信息安全等级保护管理办法》的通知各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。
现印发给你们,请认真贯彻执行。
公安部国家保密局国家密码管理局国务院信息工作办公室二〇〇七年六月二十二日主题词:信息安全等级保护管理办法抄送:中央办公厅、国务院办公厅。
中央和国家机关各部委,国务院各直属机构、办事机构、事业单位,国务院部委管理的各国家局。
国家保密局、国家密码管理局、国务院信息化工作办公室有关部门。
公安部党委,部属有关局级单位。
(存档3份共印2500份)公安部办公厅2007年6月27日印发承办人:郭启全刘伟校对:郭启全信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
等保行业知识问题
一.等保行业知识1。
什么是信息安全等级保护?答:根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定.信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.信息安全等级保护的实施原则是什么?根据《信息系统安全等级保护实施指南》精神,山东省软件测评中心信息系统安全等级保护实施过程中,在工作手册上明确了以下基本原则:○1自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
○2重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
○3同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
错误!动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
我国等级保护发展历程
我国等级保护发展历程1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。
1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级。
2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠基。
2007年6月,四部门联合出台《信息安全等级保护管理办法》。
明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。
2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。
2009年10月,公安部出台了《关于开展信息安全等级保护建设整改工作的指导意见》(公信安[2009]1429号),并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训,评估中心对建设整改工作的技术方法和流程进行了培训。
同年,公安部以(公信安[2009]1487号)文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板(试行)》。
2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。
2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
国资委关于进一步推进中央企业信息化工作的意见
国资委关于进一步推进中央企业信息化工作的意见国资发[2009]102号关于进一步推进中央企业信息化工作的意见各中央企业:为进一步贯彻落实《关于加强中央企业信息化工作的指导意见》(国资发[2007]8号),加快推进中央企业信息化建设,实现2010年信息化发展目标,结合中央企业信息化工作的实际情况,针对存在的不足与差距,提出如下意见。
一、制订信息化发展“登高计划”。
各中央企业要根据2007年度信息化水平评价结果,制订信息化发展“登高计划”。
“登高计划”主要包括:信息化水平登高目标、主要任务、采取的措施及达到目标的时间进度等内容。
信息化水平处于E级和D级的企业,“登高计划”目标要在2010年底以前达到C级以上。
处于C级、B级的企业要制订达到上一级别的“登高计划”。
A级企业要与国际先进水平全面对标,努力达到和超过世界先进水平。
各中央企业“登高计划”请于6月底前报国资委备案。
国资委将定期监督检查“登高计划”的执行情况。
二、建立首席信息官(CIO)制度,设立信息化专职管理部门。
为加强企业信息化工作的组织领导,各中央企业可建立首席信息官制度,设立首席信息官。
首席信息官的主要职责是:挖掘企业信息资源、制定企业信息化战略、为企业信息化布局、评估信息化价值;负责信息流、物流、资金流的整合,完成信息系统的选型实施;收集研究企业内外部的信息,为决策提供依据;协助完成企业业务流程重组、运用信息管理技术重建企业的决策体系和执行体系;安排企业信息化方面的培训,发现信息应用的瓶颈、观察研究企业运作中的信息流及其作用。
对应首席信息官的职责要求,各企业应赋予首席信息官相应的决策权和审批权,有关重大决策应听取首席信息官的意见。
条件暂不成熟的企业,可先由现任信息化主管领导兼任首席信息官。
到2009年底,所有中央企业都应建立信息化专职管理部门,做到机构、职能、人员和责任“四落实”。
三、全面建立信息化绩效考核制度。
2009年,所有中央企业都应建立信息化工作绩效考核制度,切实把信息化建设的责任和义务传递到各级领导和全体员工,实现“一把手工程”向“全员工程”的转变。
2010年信息安全等级保护工作力口快推进成效显著有力促进了国家信息安全保障工作的深入开展
安机关抓住世 博会 、亚 运会 等契机 ,认 真组织开展本地信息 系统测评和安 全建设 整改 工作 ,有效维 护了涉博 、涉亚 网络和重要 信息系统安全 。黑龙 江、上海 、内蒙古 、湖北、宁夏 、四川 、重庆等 l 2个地方 陆续出台了本地 有关 等级保 护的地方法规 ,为等 级保护工作 的开展 提供了制度保 障。同时,公安部 和各地公 安机关 均组织 成立了信息安全 等级保 护专家委 ( ) 组 ,为重要行业部 门开展 等级保护T作提 供了及时指导。 公 安部与围资委 、 电监会 、 信部 、 民航总局 、 国防科上局等部门召开了座谈会 , 共同研 究了中央企业等级保护1作 , 二 出台了《 关 于进一步推进 中央企业信息安 全等级保 护T作的通知》 ,进 一步明确中央企业等级保 护 T 作的要求 、 目标和职责分工,建立长效 工作机制和等级保护工作 考核机制 ,为进 一步推进 中央企业等级保护 T作奠定了基础。此 外,为指导信息系统备案单位和各地公 安机关开展等级保护工作 ,公 安部网络安全保卫局会 同公安部金盾影视 文化中组织拍摄 了等级保护工作宣传片及教学片,将发送 各行 、 各部门、各地 区。
息 全 级 护 作口推 成 显 安等保工力 进效著 快
有力 促进了国家信息安全保障工作的 深入开 展
( 安 部 网络 安 全 保 卫 局 ) 公
摘 要 : 年来 , 近 经过全 国各地 区 、 单位 、 各 各部 门的不懈努 力 , 国信 息安全等级 保护制 度不 断推进 实施 。 我
密码 、经信等部门组 织召开了全市 2 0多个单位参加的信息安全 等级 保护安全建设 整改 —作部署 会 ; 0 r 河北 、江苏 、安徽 、天津 、
广 西 、江 西 、山东 、辽 宁、 山西 、重 庆 等 地 公 安 机 关 组 织 了大 规 模 的集 中培训 ,加 强 对 本 地 备 案 单 位 的 指 导 ;上 海 、广 东 等 地公
网络安全等级保护详细全面介绍
2.2 为什么需要对信息系统进行等级测评
• 公安部/发改委
• 关于加强国家电子政务工程建设项目信息安全风险评估工作的 通知(发改高技[2008] 2071号):
• 项目建设单位向审批部门提出项目竣工验收申请时,应提交非涉密信息系统 安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估 报告等。
省辖市以上党政机关的重要网站和办公信息系统;
电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息 服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、 公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、 教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系 统。
5.1.1.1.3 结果判定
5.2 安全管理测评
...
6 第二级信息系统单元测评 7 第三级信息系统单元测评 8 第四级信息系统单元测评 9 第五级信息系统单元测评 10 信息系统整体测评 11 等级测评结论 附录A 附录B
2.4 等级测评相关标准
2.4 等级测评相关标准
• 《测评要求》
• 明确测评内容
目录
1.2 为什么要做 网络安全等级保 护
1.1 什么是网络
01
安全等级保护
1.3 网络安全等 级保护对象范围
2.2 为什么需要 对信息系统进行 等级测评
2.1 什么是等级 测评
2.3 如何开展等 级测评
02
2.4 等级测评相 关标准
2.5 测评实施工 作流程
网络安全等级保护简介
网络安全等级作流程-现场测评
国务院国有资产监督管理委员会关于加强国资监管信息化工作的指导意见
国务院国有资产监督管理委员会关于加强国资监管信息化工作的指导意见文章属性•【制定机关】国务院国有资产监督管理委员会•【公布日期】2007.10.26•【文号】国资发[2007]182号•【施行日期】2007.10.26•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】国有资产监管正文国务院国有资产监督管理委员会关于加强国资监管信息化工作的指导意见(国资发[2007]182号)各省、自治区、直辖市及计划单列市、新疆生产建设兵团国资委:国资监管信息化是2006-2020年国家信息化发展战略的重要内容,是国民经济和社会发展信息化“十一五”规划的重大工程之一。
大力推进国资监管信息化,既是加强国有资产监督管理,实现国有资产保值增值的迫切需要,也是落实国家信息化发展战略的紧迫任务。
各级国资委成立以来,都相继开发建设了信息网络、信息网站、网上办公和业务管理系统,取得了一定成绩,为做好国资监管工作提供了有力支持。
但从总体上看,全国国资监管信息化建设仍处于起步阶段,存在一些问题,主要是:基础网络不健全,互联互通不畅;业务系统水平较低,应用和服务范围较窄;信息资源开发利用滞后,共享和对外公开程度不高;标准不统一,制度建设薄弱,存在安全隐患;缺少统筹规划,自成体系,重复建设现象严重。
国资监管信息化水平与加强国资监管工作的要求相比,还有较大差距。
为进一步加强国资监管信息化工作,根据中共中央、国务院关于信息化工作的方针政策,结合国资监管工作的实际,现提出以下意见。
一、指导思想和基本原则(一)指导思想。
认真贯彻落实科学发展观,按照国家信息化发展战略的要求,充分利用信息技术,深入开发利用信息资源,创新国资监管方式,强化综合监管,规范监管行为,提高监管能力和水平,促进国有资产保值增值。
(二)基本原则。
1. 统筹规划,分级负责。
统筹规划国资监管信息系统的网络平台和核心业务应用,统一建立标准规范。
按照分别负担、分级管理的原则,各级国资委分别落实建设任务和资金,分级负责做好系统的建设、运行和管理工作。
四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》
四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》关于开展全国重要信息系统安全等级保护定级工作的通知公信安[2007]861号各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作(以下简称“定级工作”)。
现就有关事项通知如下:一、定级范围(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
二、定级工作的主要内容(一)开展信息系统基本情况的摸底调查。
各行业主管部门、运营使用单位要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
信息安全等级保护安全建设指导专家委员会会议在北京召开
监督检 查等 重要工作 ,初步 建立 了 有中国特 色的信息 安 全等级 保 具 护制度 ,有 力促进 了国家信 息安全 保障 工作 ,有效 提高 了我 国基础
信 息网络和重要信息 系统 的安全保护能力。
全标 ; 化技术委员会等单位的领导和有关 同志共 1 2 隹 6 人参加 了 会议 。 为办好此次会议 ,也为了充分调 动测评 机构开展等级保护理论和 技术研究 工作 ,公安部三所在 前期开展了会议论文征 集活动,得 到了
共评选 出优 秀论 文 1 篇 ,特别论文和入选论 文 6 篇 ,汇编成 《 息 5 2 信 网络安 全 》 刊发表。会议 期间,公 安部三所 对 1 篇优 秀论文的作 增 5 者进行 了表彰,6 位优 秀论文 的作 者和公安部信息安 全等级保护评估
中心的 5位同志分别从等级保护定 级技术研究、等级测评与风 险评估、 测评机构和人 员管理、测评项 目实施、测评能 力和测评服务报价 等几 个主要方面 在会 议上进行了论文交流。与会代表还 分组 进行了热烈 的
总结 了 级保 护定 级工作 以来 ,公 等
安机 关开展 的各 项工作 以及等 级保 护取得 的各 项成 绩。他 指 出,近 几 年来 ,公 安 部会 同有关部 门切 实加 强对 等 级保 护工作 的组 织领 导 ,建 立健全 了等级 保护政 策体 系和 标准 体 系,在全 国范 围内先后 组 织开展 了信息 系统 定级 备案、安 全建 设整 改、等 级 测 评体 系建 设和 等 级 测 评、
工作 的责 任 感和 使命 感。对 于下一 步 的具体 工作,赵 副局 长指 出,
一
是要进 一步提 高对信息 安全 等级保 护的认识,学 习借鉴 美国等发
达 国家在关键基础 设施保护 ( 和关键信息基础设 旋保护 ( l CI P) Cl P) 方面的政策、理论 、技术和方法 , 不断丰富等级保护工作 内涵和 外延。 二是积极 推动 中央 企业等 级保护工作 ,各地 公安机 关要按 照公 安部
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于进一步推进中央企业信息安全等级
保护工作的通知
公安部国务院国有资产监督管理委员会
关于进一步推进中央企业信息安全等级保护工作的通知
各省、自治区、直辖市公安厅(局),新疆生产建设兵团公安局,中央企业:
保护中央企业信息系统的安全稳定运行对于促进企业健康发展,维护国家经济安全和社会稳定具有重要意义。
为全面落实国家信息安全等级保护制度,加强中央企业的信息安全工作,保障和促进中央企业的信息化发展,现就进一步推进中央企业信息安全等级保护工作的有关要求通知如下:
一、高度重视,切实将信息安全等级保护工作纳入企业信息化工作同步推进
近年来,中央企业全面推进信息化建设,企业信息系统数量大幅增加,系统复杂程度大幅提高,业务依赖程度大幅增强,特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展,提高企业核心竞争力的重要载体和主要手段,已成为国家关键基础设施。
各级公安机关、国资监管及有关行业主管(监管)部门要高度重视中央企业的信息安全等级保护工作,特别是各企业要将这项工作摆在重要位置,认真贯彻落实国家信息安全等级保护制度,将信息安全等级保护工作纳入企业信息化工作的整体布局中,将信息安全等级保护工作与信息化工作同步规划、同步实施、同步考核。
二、明确职责,建立分工负责、协作配合的工作机制
国资委负责部署中央企业信息安全等级保护工作,其中电力、军工、民航企业和电信运营商的信息安全等级保护工作由相关主管(监管)部门组织部署和落实。
国资委和有关行业主管(监管)部门按照国家信息安全等级保护制度的总体要求和相关管理文件,组织中央企业开展信息安全等级保护各项工作,制定具体实施方案或细则,开展宣传、培训和先进经验推广工作,加强对中央企业信息安全等级保护工作的检查监督、指导和考核。
中央企业要按照国家信息安全等级保护制度要求和有关部门的工作部署,切实加强对信息安全等级保护工作的组织领导,建立健全工作机制,及时开展信息系统定级备案、安全建设整改、等级测评和自查等各项工作,并利用等级保护综合管理系统使信息安全等级保护工作常态化。
公安机关要加强对中央企业信息安全等级保护工作的监督、检查、指导,为中央企业开展信息安全等级保护工作提供服务和支持。
建立由公安部牵头、国资委和有关行业主管(监管)部门共同参加的中央企业信
息安全等级保护工作协调配合机制,按照各自职责分工,加强协调,密切配合,定期沟通和通报工作进展,及时交流备案数据、整改测评情况和检查结果等,共同组织推动中央企业信息安全等级保护工作的顺利开展。
三、全面梳理企业信息网络和系统,认真做好企业信息系统安全等级保护定级、备案工作
中央企业要全面梳理本企业信息系统和信息网络,摸清底数,根据《信息安全等级保护管理办法》等有关规定和《信息系统安全等级保护定级指南》等技术标准,准确确定信息系统安全保护等级。
对尚未开展信息系统定级的企业,应按照“企业自主定级、聘请专家评审、主管部门审批、公安机关监督”的原则,开展信息系统定级备案工作,国资委或行业主管(监管)部门要对所负责的中央企业信息系统安全保护等级进行审批。
各企业在系统定级之后要及时向公安机关备案,中央企业跨省或者全国统一联网运行的第二级(含)以上信息系统,向公安部网络安全保卫局备案,其他信息系统向当地公安厅(局)网安部门备案。
对于已定级的信息系统由于定级不准、需求变更或撤销的,应重新开展定级备案。
新建系统要在规划设计阶段确定系统安全保护等级,并在等级确定后30日内到公安机关备案。
公安机关要及时受理备案,对符合要求的颁发备案证明。
四、开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系
中央企业要在信息系统定级备案工作基础上,按照开展信息安全等级保护安全建设整改工作的有关要求,组织开展等级保护安全建设整改工作。
对照《信息系统安全等级保护基本要求》等有关标准,通过开展等级测评、风险评估等方式,确定信息系统安全建设整改需求,对信息系统进行加固改造和完善,落实安全保护技术措施和安全管理制度,建立信息系统综合防护体系,提高网络和信息系统的整体保护能力。
各企业要根据企业特点,从《全国信息安全等级保护测评机构推荐目录》中择优选择测评机构,对本企业第三级(含)以上信息系统定期开展等级测评,查找发现信息系统的安全问题、漏洞和安全隐患并及时整改。
信息系统测评后,各企业要及时将等级测评报告向公安机关备案。
五、加强检查和考核,确保信息系统安全保护能力达到等级保护要求
各企业应当定期对信息系统安全保护状况、安全保护制度及技术措施的落实情况进行自查,及时发现系统中存在的安全问题并整改;国资委或行业主管(监管)部门要定期督导、检查企业信息安全等级保护制度落实情况,指导企业开展信息安全等级保护各项工作;公安机关要会同国资委、行业主管(监管)部门定期对中央企业开展信息安全等级保护工作情况进行监督检查,推动中央企业重要信息系统安全保护能力逐步达到信息安全等级保护要求。
国资委将把中央企业开展信息安全等级保护工作情况纳入信息化水平评价考核体系,制定等级保护工作具体评价指标并进行量化考核。
各中央企业要按照有关要求,向国资委报送开展信息安全等级保护工作的有关情况和数据。
各企业要认真总结开展信息安全等级保护工作的经验,进一步加强和改进等级保护工作,每年应对等级保护工作情况进行
总结,填写《中央企业信息安全等级保护工作情况统计表》(见附件)报国资委或相关行业主管(监管)部门和受理备案的公安机关。
国资委和行业主管(监管)部门应每年对所属中央企业开展信息安全等级保护工作情况进行总结并报公安部。
行业主管(监管)部门对所属行业中央企业等级保护工作已做过部署的,所属中央企业按照原计划和要求执行,其他企业按照本通知要求执行。
附件:《中央企业信息安全等级保护工作情况统计表》
(公安部国资委印)
二〇一〇年十二月二十六日。