信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
国家信息安全产品认证 流程详解 V2.0 中国信息安全认证中心制 发布日期:二〇一〇年九月八日
目录 1集中受理 (1) 1.1集中受理认证流程图 (1) 1.2认证申请 (1) 1.2.1获取申请书 (1) 1.2.2递交申请书 (1) 1.2.3资料审查 (1) 1.3申请方送样 (2) 1.3.1实验室选择 (2) 1.3.2送样原则和数量 (2) 1.3.3型式试验及报告提交 (2) 1.4申请方缴费 (2) 1.5初始工厂检查 (2) 1.6颁发证书 (2) 1.6.1认证决定 (2) 1.6.2颁发证书 (2) 1.6.3证书的有效性 (2) 1.6.4变更与扩展申请 (2) 1.6.5证书的暂停、注销和撤消 (2) 1.7证后监督 (2) 1.7.1监督的频次 (2) 1.7.2监督的内容 (3) 1.7.3获证后监督结果的评价 (3) 2分段受理 (4)
1集中受理 1.1集中受理认证流程图 集中受理认证流程如下图所示: 图1:集中受理认证流程图 1.2认证申请 1.2.1获取申请书 1)从中国信息安全认证中心网站(https://www.doczj.com/doc/d514072753.html,/)资料中心下载。 2)向中国信息安全认证中心索取。 1.2.2递交申请书 向中国信息安全认证中心提交认证申请书(包括申请书所要求的其他资料)纸质版1式2份,电子版1份。 含有密码技术的产品应向国家密码管理局指定检测实验室提交密码技术检测申请。 拟用于涉密信息系统的产品,按照国家有关保密规定和标准执行,不适用本申请指南。 1.2.3资料审查 中国信息安全认证中心在收到申请资料后对其进行审查,如果资料不符合要求,申请方
关注"基地" --探访张江国家信息安全成果产业化(东部)基地 □ 本报记者薛蓉 从去年7月西部信息安全产业基地在成都落户之后,东部信息安全产业基地随之在浦东张江尘埃落定。此举显示了国家对自主产权的信息安全产品的期望,对国内涌出更多信息安全人才的期望,对信息安全类企业快速发展的期望等等……众多的期望之下,更多的目光落在了"基地"上。 国家信息安全成果产业化(东部)基地(简称"基地")是由国家科技部立项的国家863 计划重点项目之一。基地在上海的建立,得到了国家科技部和上海市有关领导大力支持。旨在聚集国内信息安全领域的人才、技术和资源,尽快形成信息安全产品产业化规模,改变我国信息安全技术领域的落后状况和被动局面,促进我国信息安全体系的建立。目标是"以从事网络信息安全的骨干企业为龙头,依托相关科研院所,通过多元化的投资、技术创新、企业孵化等方式,形成信息安全技术与产品的科研开发、生产制造、评估认证、人才培养和市场开拓等较为完善的国内一流的信息安全产业体系"。 重要的"12·28会议" 2000年12月28日,国家科技部在张江高科技园区组织召开国家信息安全成果产业化(东部)基地规划会议,科技部、上海市科委、上海市信息办等领导,深圳西风科技、武汉达梦、上海交大慧谷、上海万达等30多家国内知名的信息安全企业负责人纷纷到会,大家在会上畅所欲言,提要求、谈设想,对基地规划表示出极大的热情。事实上,在此前基地揭牌以后一直未见有实质性动作出台。原因相当简单:运作经验缺乏,产业环境也不成熟。 上海国家信息安全产业基地有限公司副总经理黄嘉民说:"2000年12月28日对基地而言是一个重要的日子,会议之后,基地开发进入了实质性的启动阶段"。但基地的孕育已非一朝一夕的事情。 2000年8月,国家科技部正式发文,把上海列入第二批863计划成果产业化基地的名单。9月28日,时任科技部副部长的徐冠华为国家信息安全成果产业化(东部)基地在张江高科技园区揭牌。到2000年12月28日,基地"政府指导、专家参与、市场化运作"的运作模式确定;基地管理委员会、专家委员会成立;四个国家级研究中心(国家信息安全工程技术中心、国家863计划公共信息安全基础设施PKI重点研究中心、国家863计划计算机病毒技术重点研究中心、上海交通大学信息安全工程技术学院)准备落户基地,同时,许多企业已经通过各种渠道得知基地成立的消息,要求入驻基地。
国家标准《信息安全技术安全漏洞分类规范》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。 2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则
编号: 国家信息安全测评 信息安全服务资质申请书 (安全开发类一级) 申请单位(公章): 填表日期: ?2011—中国信息安全测评中心 2011年1月1日
目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (8) 五、申请单位技术能力基本情况 (8) 六、申请单位安全开发过程能力 (8) 6.1安全意识和安全教育 (8) 6.2启动安全开发过程 (8) 6.3产品风险评估和分析 (8) 6.4定义安全设计原则 (8) 6.5提供安全文档和安全配置工具 (8) 6.6进行安全编码 (8) 6.7进行安全测试 (8) 6.8安全最终评审与产品发布 (8) 6.9安全响应服务 (8) 七、申请单位的项目和组织过程能力 (8) 7.1实现质量保证的能力 (8) 7.2实现配置管理的能力 (8) 7.3管理项目风险的能力 (8) 7.4规划项目技术活动的能力 (8) 7.5监控技术活动的能力 (8) 7.6提供不断发展的知识和技能的能力 (8) 7.7与供应商协调的能力 (8) 八、申请单位安全服务项目汇总 (8) 九、申请单位获奖、资格授权情况 (8) 十、申请单位在安全开发服务方面的发展规划 (8) 十一、申请单位其他说明情况 (8) 十二、申请单位附加信息 (8) 申请单位声明 (8)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下容: 1.中国信息安全测评中心对下列对象进行测评: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类一级)》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写容较多,可另加附页。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:市海淀区上地西路8号院1号楼 邮编:100085 :(010)82341188或82341118 传真:82341100 网址:https://www.doczj.com/doc/d514072753.html, 电子:https://www.doczj.com/doc/d514072753.html,
信息安全管理机构 1.组织架构 中国文联文艺资源中心为适应单位发展,促进和加强信息化建设,确保信息化网络和设备安全、稳定运行,组织成立了信息化领导小组,信息化领导小组是信息安全管理的最高管理层,单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度,配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有:
委员会主任:向云驹 委员会副主任:冉茂金、彭宽 信息化领导小组职责(信息安全领导小组/信息安全工作委员会): (1)负责指导和管理信息化建设和信息安全工作。 (2)负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组 信息化领导小组下设应急领导小组。其成员包括: 组长:向云驹 副组长:冉茂金、彭宽 下设领导小组办公室: 下设领导小组办公室:由中国文联文艺资源中心综合部和各业务部门负责人组成。 应急领导小组职责: (1)拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。 (2)督促检查各处室应急预案的执行情况,并给予指导。 (3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。 (4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。(5)监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。 (6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
国内外信息安全产品认证标准简介信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提 出制定。CC标准的发展过程见附图。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架,以及安全功能要求和安全保证要求,目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型,描述了信息安全相关的基本概念和模型,以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求,包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT
信息安全管理组织机构及岗位职责. 组织机构 1.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3 信息安全领导小组下设两个工作组: 信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4 信息安全工作组的主要职责包括: 1.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作 1.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行 1.4.5 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 1.4.6 负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施
1.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5 应急处理工作组的主要职责包括: 1.5.1 审定公司网络与信息系统的安全应急策略及应急预案 1.5.2 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6 公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 . 关键岗位 2.1 设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2 系统管理员主要职责有: 2.2.1 负责系统的运行管理,实施系统安全运行细则 2.2.2 严格用户权限管理,维护系统安全正常运行 2.2.3 认真记录系统安全事项,及时向信息安全人员报告安全事件 2.2.4 对进行系统操作的其他人员予以安全监督。 2.3 网络管理员主要职责有: 2.3.1 负责网络的运行管理,实施网络安全策略和安全运行细则 2.3.2 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
深圳市2016年重大项目清单 声明:清单排名不分先后。本清单仅用作政府各级部门加快项目报建手续用途,其他单位或个人不得用作其他用途,我委保留依法追责权利。 深圳市创维群欣安防科技有限公司创维群欣电子化教育设备产业化项目 深圳市果菜贸易有限公司深圳国际种业电子交易市场项目 深圳市特区建设发展集团有限公司深圳市海洋新兴产业基地海域使用项目 富通光纤光缆(深圳)有限公司富通光电科技园 深圳诺普信农化股份有限公司基于O2O的农资大平台建设项目 深圳市中盈贵金属股份有限公司李朗珠宝文化创意产业园 深圳市宏宝实业有限公司深圳市深商(国际)生命科学产业园 深圳市华讯方舟投资有限公司中国天谷(西乡街道超材料产业集聚区一期) 深圳普益电池科技有限公司高能量密度锂离子动力电池集成系统生产线技术改造项目 深圳飞扬兴业科技有限公司环保高性能3D打印聚合物新材料二期续建工程 深圳市数影动漫传媒有限公司宝安数影科技文化研发基地 深圳能源资源综合开发有限公司海水淡化试点工程 深圳市龙岗回龙埔股份合作公司深圳龙岗回龙埔物联网创客新城产业基地项目 深圳市贝特瑞新能源材料股份有限公司贝特瑞总部及新能源技术研究院 深圳市鹏城建筑集团有限公司鹏城智慧创意都市工业园 深圳赤湾石油基地股份有限公司国际油气设备及配件交易平台 深圳市富城资产经营有限公司龙华新区福城街道莫立克循环再生新型聚酯材料研发总部基地 深圳市金环宇电线电缆有限公司金环宇现代数字高速网线研发总基地 深圳华大基因研究院深圳国家基因库地下样本库 深圳市天地混凝土有限公司天地创智中心 深圳市新国都技术股份有限公司深圳市新国都技术股份有限公司研发总部基地(电子支付研发基地及电子支付数据支持中心)深圳思创光电信息技术有限公司基于云平台的大数据备份容灾系统 深圳市沙井东塘股份合作公司智能硬件产业园 深圳市迈世纪海洋工程科技有限公司迈世纪海洋高端装备产业基地 深圳市华艾实业发展有限公司华艾信息产业园 深圳市绿景房地产开发有限公司美景工业苑城市更新单元 深圳市神州通投资集团有限公司神州通集团总部及研发中心建设项目 深圳宝昌胜群电力有限公司观澜宝昌创意科技园 深圳市汇鑫产业发展有限公司超材料产业集聚区(二期) 深圳市亚辉龙生物科技股份有限公司高通量全自动免疫分析仪及配套试剂的研发和产业化 深圳市甘坑生态文化发展有限公司甘坑客家小镇二期 深圳市爱施德股份有限公司爱施德股份移动互联网研发及运营中心项目 深圳国瓷永丰源股份有限公司永丰源观澜瓷谷创意产业园 深圳派成铝业科技有限公司派成科技园暨中南大学深圳(龙岗)创新产业园 深圳市润杰中医药研发有限公司深圳润杰中医药研发及产业化应用 深圳市华氏创展投资有限公司满京华艺象IDTOWN国际艺术区(大鹏新区葵涌街道鸿华印染厂产业升级综合整治项目)深圳市一健科技开发有限公司一健科技生命安全产业园 深圳科技工业园(集团)有限公司深圳市材料基因组工程设计与应用基地 银盛通信有限公司深圳银盛金融集团总部及第三方支付产业基地
信息安全管理机构及岗位设置
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。
3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治
国家注册信息安全管理体系(ISMS)审核员 培训招生简章 中国信息安全认证中心(China Information Security Certification Center,英文缩写:ISCCC)是经中央编制委员会批准成立,由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证(产品认证、服务资质认证和ISMS、ITSM认证)的专门机构。 中国信息安全认证中心是经国家批准的ISMS审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构。 国家注册ISMS审核员是国家认可的ISMS认证审核执业资格,从事和提供第三方ISMS认证的认证机构必须具备规定数量的国家注册ISMS审核员。另外,ISMS审核员也是一个组织中不可缺少的、重要的信息安全岗位,其职责是持续评审组织ISMS的符合性,以保证组织的信息安全符合法规、标准和业务的要求。 为各类人员对培训的需求,我们将定期举办ISMS审核员培训班,欢迎报名参加。 培训班的培训与考试内容、时间与方式见附件。
报名回执: 国家注册ISMS 审核员培训班报名表 注: 1. 学员报名条件按国家ISMS 注册审核员注册基本要求执行(见CCAA网站人员注册-新领域确认-关于发布《信息安全管理体系认证审核员确认方案的》通知)。 2. 请随回执一并提交480*640的数码登记照。 3. 回执请联系:
李智贾梦妮 北京市朝阳区朝外大街甲10号中认大厦,100020 中国信息安全认证中心 电话:传真: 电子邮件:
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容: 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或
国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性,先进性和符合性的技术规范和技术依据。因此,世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准,用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范,包括欧洲ITSEC、美国TCSEC(桔皮书)、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等,由6个国家(美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰)共同提出制定。 国际上,很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》,目前,最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法,并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度,国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下,我国已经制修订了几十个信息安全标准,为信息安全产品检测认证提供了技术基础。 2001年,我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前,国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005.即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求,包括安全功能要求、安全保证要求和安全保证级的定义方法,以及标准的框架结构等。例如,GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求,包括安全环境、安全目的和安全要求(安全功能要求和安全保证要求)等内容,以及CC标准预先定义的安全保证级别(EAL4)。同时,结合国内信息安全产品产业的实际情况,我国信息安全标准还规定了产品功能要求和性能要求,以及产品的测试方法。有些标准描述产品分级要求时,还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家,特别是美国,非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局,分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等,主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初,美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月,日本信息技术战略本部及信息安全
国家信息安全服务资质 灾难恢复服务资质(一级)认证指南 (试行) ?版权2008—中国信息全安全测评中心 2008年5月1日
目录 目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) (一)基本资格要求 (3) (二)基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) (三)灾难恢复服务过程能力 (4) 四、申请流程 (6) (一)申请流程图 (6) (二)申请阶段 (6) (三)资格审查阶段 (6) (四)能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) (五)证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)
一、认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
一.组织机构 1.公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室, 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。 职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括: 1)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落 实; 3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安 全总体策略规划,并监督执行; 4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原 因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括: 1)审定公司网络与信息系统的安全应急策略及应急预案; 2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障, 恢复系统;
3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全 技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有: 1)负责系统的运行管理,实施系统安全运行细则; 2)严格用户权限管理,维护系统安全正常运行; 3)认真记录系统安全事项,及时向信息安全人员报告安全事件; 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有: 1)负责网络的运行管理,实施网络安全策略和安全运行细则; 2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运 行; 3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向 信息安全人员报告安全事件; 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有: 1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的 准确实现; 2)系统投产运行前,完整移交系统相关的安全策略等资料; 3)不得对系统设置“后门”; 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督,主要职能包括:
杭州远方光电信息股份有限公司 生物识别信息安全产品生产基地及研发中心项目 可行性研究报告 一、项目背景 杭州远方光电信息股份有限公司(以下简称“远方光电”或“公司”)与邹 建军等18位股东签署了《发行股份及支付现金购买资产协议》,拟以向交易对方发行47,159,841股股份及支付30,600万元现金购买转让方合计持有的浙江维尔 科技股份有限公司(以下简称“维尔科技”或“目标公司”)100%股份。本次交 易完成后,维尔科技将成为远方光电全资子公司。 维尔科技是一家专业从事信息安全领域生物识别检测(指纹、人脸、指静脉等)核心技术研究、软硬件产品开发、系统集成与运营服务的产品与解决方案提供商。维尔科技成立于1999年10月,注册资金5000万元人民币,维尔科技 集研发、生产、销售、运营、服务为一体,依托在业内领先的核心技术优势及遍布全国的运营服务团队,为交通、金融、军队、移动互联、公安、安防、电子政务等高端行业客户提供信息安全核心技术、产品和应用解决方案,经过多年的耕耘与积淀,维尔科技凭借突出的核心技术优势与市场地位已成为国内信息安全领域生物识别检测行业的领军企业。 维尔科技的未来战略,是以身份识别检测技术为核心,为各行业和个人用户提供更为安全、便捷、高效的信息安全产品。维尔科技始终保持业内最具领先优势的核心技术,深入研究指纹识别超级算法基础,发展人脸识别、指静脉识别等多种身份识别技术,不断拓宽信息安全技术的深度与广度,打造符合市场需求的各类产品。 在战略业务上,维尔科技正面向四个方面进行发力。一、在交通行业领域,维尔科技正在构建基于车联网的包括驾培与驾考在内的驾驶人前端生态圈,并通过“互联网+培训”打造互联网学车服务平台,逐步延伸至汽车后服务市场。维 尔科技在交通驾培市场将继续发挥行业优势开发新的驾培产品、开拓新的驾培市场,同时进入驾考市场,完善交通类产品的产品线,因而维尔科技亟需在现有基
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。 3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作;
2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。 4.2信息安全管理人应有计算机专业工作三年以上经历,具备专科以上学历。 4.3违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。 5 信息安全人员管理 5.1 信息安全人员的配备和变更情况,应向分管院长报告、备案。
连云港石化产业基地智慧园区建设规划方案编制任务书 连云港石化产业园有限公司 2019年4月19日
目录 一、项目概况 (3) (一)工作背景 (3) (二)建设目标 (3) (三)建设原则 (3) (四)建设成效 (4) 二、编制依据及参考 (5) 三、主要任务 (7) (一)总体规划设计 (7) (二)数据库及网络总体架构及规划 (8) (三)园区信息化基础设施建设规划 (9) (四)云 + 边 + 端协同立体感知体系 (9) (五)应急安环一体化平台 (9) (六)智慧供应链一体化平台 (10) (七)公用工程一体化平台 (11) (八)石化产业基地管理服务创新一体化平台 (12) 四、编制内容及深度要求 (13) 五、工作要求 (14) 六、成果要求 (14) 七、时间节点要求 (14)
一、项目概况 (一)工作背景 徐圩新区石化产业基地规划面积62 平方公里,规划建设4000 万吨级炼油、 300 万吨级乙烯、 400 万吨级芳烃的年生产加工规模,将逐步建成达到国内外先进水准的石化产 业基地。目前,基地内一批重大投资的石化项目已经陆续投 入生产。石化产业基地是整个徐圩新区产业集聚、可持续发 展的基础和引擎。与此同时,通过智慧石化产业基地与智慧 港口建设形成联动发展,以港口航运物流能力为牵引,以石 油化工产业为主导产业,可以逐步建设形成港口、产业、新 区一体发展新格局。因此,当前构建一套完备的智慧石化产 业基地建设和发展体系,以支撑和完善石化产业基地在运营 管理服务方面的能力水平显得尤为重要。 (二)建设目标 总体目标:在充分借鉴国内外先进化工产业基地经验的 基础上,结合连云港石化产业发展特色,通过先进信息技术 应用和管理运营方式的创新,构建石化产业基地智慧化应用 发展体系,提高管理和决策水平,不断提升基地综合运营管 理能力。在规模化、绿色发展的前提下,进一步提升基地整 体发展水平,实现资源利用最大化、产业结构最优化、节能 减排常态化、安全监督智能化、公共服务一体化、基地环境 生态化,基地内企业互动服务的一体化,将石化产业基地建 设成为世界一流的智慧化石化产业基地。 (三)建设原则 1 、统筹规划、协同工作原则。按照统一部署,统一规