当前位置:文档之家 › (八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)

(八)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)

  • 格式:pdf
  • 大小:952.10 KB
  • 文档页数:53

下载文档原格式

  / 53

合集下载

卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知

卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知

卫⽣部关于印发《卫⽣⾏业信息安全等级保护⼯作的指导意见》的通知各省、⾃治区、直辖市卫⽣厅局,新疆⽣产建设兵团及计划单列市卫⽣局,部直属各单位,部机关各司局:为贯彻落实国家信息安全等级保护制度,规范和指导全国卫⽣⾏业信息安全等级保护⼯作,按照公安部《关于开展信息安全等级保护安全建设整改⼯作的指导意见》(公信安〔2009〕1429号)要求,我部结合卫⽣⾏业实际,研究制定了《卫⽣⾏业信息安全等级保护⼯作的指导意见》。

现印发给你们,请遵照执⾏。

⼆零⼀⼀年⼗⼀⽉⼆⼗九⽇卫⽣⾏业信息安全等级保护⼯作的指导意见卫⽣信息安全⼯作是我国卫⽣事业发展的重要组成部分。

做好信息安全等级保护⼯作,对于促进卫⽣信息化健康发展,保障医药卫⽣体制改⾰,维护公共利益、社会秩序和国家安全具有重要意义。

为贯彻落实国家信息安全等级保护制度,规范和指导全国卫⽣⾏业信息安全等级保护⼯作,制定本指导意见。

⼀、⼯作⽬标依据国家信息安全等级保护制度,遵循相关标准规范,在卫⽣⾏业全⾯开展信息安全等级保护定级备案、建设整改和等级测评等⼯作,明确信息安全保障重点,落实信息安全责任,建⽴信息安全等级保护⼯作长效机制,切实提⾼卫⽣⾏业信息安全防护能⼒、隐患发现能⼒、应急处置能⼒,为卫⽣信息化健康发展提供可靠保障,全⾯维护公共利益、社会秩序和国家安全。

⼆、⼯作原则(⼀)遵循标准,重点保护。

遵循国家信息安全等级保护相关标准规范,结合卫⽣⾏业信息系统特点,优先保护重要卫⽣信息系统,优先满⾜重点信息安全需求。

(⼆)⾏业指导,属地管理。

卫⽣⾏业信息安全等级保护⼯作实⾏⾏业指导、属地管理。

地⽅各级卫⽣⾏政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫⽣信息系统安全等级保护的指导和管理⼯作。

卫⽣⾏业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。

(三)同步建设,动态完善。

在信息系统规划设计与建设过程中,同步开展信息安全等级保护⼯作。

因信息和信息系统的业务类型、应⽤范围等条件改变导致安全需求发⽣变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。

信息安全相关政策解读

信息安全相关政策解读
13
政府部门信息技术外包服务机构申请信息 安全管理体系认证安全审查程序(暂行)
工业和信息化部公告(2011年第21号)
• 鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务
机构申请信息安全管理体系认证时,应选择国家认证认可监督管理委员 会批准开展信息安全管理体系认证的认证机构。
• 鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构
基本工作要求
应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维) 定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估
相关保障
参照标准:《信息安全风险评估规范》(GB/T 20984-2007)、 《信息安全风险管理指南》 (GB/Z 24364-2009)
服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服 务,要由国家专控的队伍来承担)
14
关于加强工业控制系统信息安全管理的 通知(工信部协[2011]451号)
工业控制系统信息安全事关工业生产运行、国家经济 安全和人民生命财产安全,为切实加强工业控制系统 信息安全管理,经国务院同意,现就有关事项通知如 下:
• 充分认识加强工业控制系统信息安全管理的重要性和紧迫性 • 明确重点领域工业控制系统信息安全管理要求 • 建立工业控制系统安全测评检查和漏洞发布制度 • 进一步加强工业控制系统信息安全工作的组织领导
十一五:试点 十二五:普及推广
5
我国信息安全政策的初步成效、后续展望
初步成效
依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求 、工作原则和重点工作内容
围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的 信息安全政策(风险评估、等级保护、电子政务类、应急预案等)

信息安全等级保护安全建设整改工作政策解读

信息安全等级保护安全建设整改工作政策解读

计 算机 信息 系统安 全保护 等级 划分 准则 (G 1 8 9 ) B75
图2 等级保护相关标准与等级保护各工作环节的关 系
的共 同努力下 ,全 国信 息安全标准 化技术委 员会和公 安 部信 息系统安 全标准化 技术委 员会 组织 制订 了信息 安全 等级 保护工作 需要 的一 系列标准 ,形成 了比较完 整的信
意见 》中已经明确。可概况为:利用三年时间 , 开展三
项重 点工作 ,实现五方面 目标 。 1 三 年时 间 。由于 一些 重要 行业 信息 系统 较 多 , . 受资金 、人 员等条件 限制 , 虑实际情 况 ,全 国已定 级 考 信息 系统安全 建设整 改工作总体 上用三年 时间完成 。各 行 业主管 ( 管 ) 门应按照 时间要 求 ,根据本行 业信 监 部 息系统数量 和实际情况 ,合理部署 总体工作 进度。
1 各单 位 、各 部 门要将 已备 案的第 二级 ( ) . 含 以 上信息系统纳入安全 建设整改的范 围。 2 尚未 开 展 定 级 备 案 的信 息 系 统 ,要 先定 级 备 .
案 ,再开展安全建设 整改。 3 新建系统 要同步开展安全 建设 工作。 .
3 五方面 目标。通过开展安全建设整改工作 , , 关标准 与等级保护各 相
工作环 节的关 系如图2 所示 。 上述 标 准在 应 用 中需注 意 以下 问题 :一是 《基本
以下五方面 目 标:一是信息系缎 全管理水平明显提高,
二是信息系统安全防范能力明显增强 ,三是信息系统安全 隐患 和安全事故 明显减 少 ,四是有 效保障信 息化健康发 展 ,五是有效维护国家安全 、社会秩序和公共利益。
网络 技 要求
三 、信 息安全 等级保 护 安 全 建 设 整 改 的 工 作 目标

等保行业知识问题

等保行业知识问题

一.等保行业知识1。

什么是信息安全等级保护?答:根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定.信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

2.信息安全等级保护的实施原则是什么?根据《信息系统安全等级保护实施指南》精神,山东省软件测评中心信息系统安全等级保护实施过程中,在工作手册上明确了以下基本原则:○1自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。

○2重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。

○3同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。

错误!动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。

由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。

我国等级保护发展历程

我国等级保护发展历程

我国等级保护发展历程1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。

1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级。

2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。

2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠基。

2007年6月,四部门联合出台《信息安全等级保护管理办法》。

明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。

2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。

2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。

2009年10月,公安部出台了《关于开展信息安全等级保护建设整改工作的指导意见》(公信安[2009]1429号),并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训,评估中心对建设整改工作的技术方法和流程进行了培训。

同年,公安部以(公信安[2009]1487号)文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板(试行)》。

2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。

2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。

国家信息安全等级保护制度的主要内容和要求

国家信息安全等级保护制度的主要内容和要求
国家信息安全等级保护制度 的主要内容和要求


公安部 网络安全保卫局 郭启全

全国公安机关网络安全保卫部门 机构和职责
机构:公安部:网络安全保卫局

各省:网络警察总队 地市:网络警察支队
区县:网络警察大队
安 职责:制定信息安全政策
互联网安全管理,网上监控

打击网络犯罪
重要系统安全监察
网络与信息安全通报
部 对故意将信息系统安全级别定低,逃避公 安、保密、密码部门监管,造成信息系统 出现重大安全事故的,要追究单位和人员 的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系

近几年,公安部根据国务院147号 令的授权,会同国家保密局、国家密
码管理局、发改委、原国务院信息办

出台了一些文件,公安部对有些具体 工作出台了一些指导意见和规范,构
部 (三)通过对信息系统开展等级测评,及时 发现了信息系统的安全隐患、漏洞和薄弱 环节,初步掌握了重要信息系统安全保护 状况。
近年来等级保护工作成效
(四)通过开展信息安全等级保护安全

建设整改,重要信息系统安全防护能 力显著增强,信息安全事件(事故)
数量明显下降。
安 (五)重要行业、部门以等级保护工作
部 支持、服务等工作,并接受监管部门的
监督管理。
一、等级保护制度的主要内容
专家组
公 宣传等级保护相关政策、标准; 指 导备案单位研究拟定贯彻实施意见和建设 规划、技术标准的行业应用;参与定级和
安 安全建设整改方案论证、评审;协助发现
树立典型、总结经验并推广;跟踪国内外
部 信息安全技术最新发展,开展等级保护关

9-网络安全等级保护安全技术建设整改-20190111-CGY-V1

网络安全等级保护培训安全技术建设整改陈广勇公安部信息安全等级保护评估中心目录23132333等级保护主要工作等级保护5个规定动作:一是:系统定级(运营使用单位)二是:系统备案(公安机关,运营使用单位)三是:建设整改(运营使用单位)四是:等级测评(测评机构)五是:监督检查(公安机关)4网络安全等级保护工作流程5安全建设整改目的达到相应等级的基本保护水平满足自身需求的安全保护能力基本需求特殊需求6安全建设整改的目的达到相应等级的基本保护水平基本需求第三级安全保护能力应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。

7安全建设整改工作阶段启动阶段工作部署规划设计定级备案方案设计建设实施建设实施等级测评运行维护安全运维工作部署定级备案差距分析整改设计整改实施等保测评定期测评定期测评废弃阶段废弃阶段废弃阶段等级保护对象生命周期新建系统等保建设已有系统等保建设8涉及的主要政策文件安全建设整改环节1.《中华人民共和国网络安全法》,2017年6月1日2.《关键信息基础设施安全保护条例》,即将颁布3.《网络安全等级保护条例》,征求意见稿4.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)9涉及的主要技术标准和规范安全建设整改环节1.《信息安全技术网络安全等级保护基本要求》GB/T 22239-20192.《信息安全技术网络安全等级保护测评要求》GB/T 289448-20193.《信息安全技术网络安全等级保护安全设计技术要求》GB 25070-20194.《信息安全技术网络安全等级保护实施指南》GB/T 25058-201910安全建设整改基本流程安全管理建设安全技术建设开展安全自查和等级测评等级保护对象安全保护现状分析网络安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理人员安全建设管理安全运维管理安全管理机构11安全技术建设整改基本流程开展安全自查和等级测评确定安全策略,开展总体技术方案设计等级保护对象安全保护技术现状分析开展安全建设整改方案论证和评审安全技术建设安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心其他安全技术要求开展安全建设整改方案详细设计建设并落实安全技术措施工程实施及验收12新建或已建信息系统⏹新建信息系统的安全建设⏹根据其安全保护等级的相应基本要求,结合其特殊安全需求,自项目立项之初,同步开展安全建设方案规划设计和系统集成实施工作。

云数据中心安全等级保护建设方案

1项目综述1.1项目背景为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX 数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。

1.2安全目标XX的信息安全等级保护建设工作的总体目标是:“遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。

”具体目标包括(1)体系建设,实现按需防御。

通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。

(2)安全运维,确保持续安全。

通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。

(3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。

1.3建设范围本方案的设计范围覆盖XX的新建云平台基础设施服务系统。

安全对象包括:●云内安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护;●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。

1.4建设依据1.4.1国家相关政策要求(1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);(2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号);(3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);(4)《信息安全等级保护管理办法》(公通字[2007]43号);(5)《信息安全等级保护备案实施细则》(公信安[2007]1360号);(6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号);(7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。

卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知

附件:卫生部文件卫办发…2011‟85号卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安…2009‟1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。

现印发给你们,请遵照执行。

联系人:卫生部统计信息中心杨慧清、矫涌本联系电话:010-、传真:010-二〇一一年十二月二日卫生行业信息安全等级保护工作的指导意见卫生信息安全工作是我国卫生事业发展的重要组成部分。

做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。

为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。

一、工作目标依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。

二、工作原则(一)遵循标准,重点保护。

遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。

(二)行业指导,属地管理。

卫生行业信息安全等级保护工作实行行业指导、属地管理。

地方各级卫生行政部门要按照2国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。

卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。

网络安全建设方案

网络安全建设方案2020年1月目录1. 背景概述 (3)2. 需求分析 (3)2.1. 网络安全防护需求 (3)2.2. 高级威胁检测需求 (3)2.3. 终端安全防护需求 (4)2.4. 专业安全服务需求 (4)3. 建设依据和目标 (5)3.1. 设计思路 (5)3.2. 设计依据 (6)3.3. 设计目标 (8)3.4. 总体安全策略 (8)3.4.1. 信息安全管理体系总体策略 (8)3.4.2. 信息安全技术体系总体策略 (8)3.4.3. 信息安全服务体系策略 (9)4. 建设原则 (9)5. 技术解决方案 (10)5.1. 安全区域边界建设 (10)5.1.1. 边界访问控制 (10)5.1.2. 入侵防御系统 (11)5.1.3. 防病毒网关 (11)5.1.4. 安全接入控制防护系统 (12)5.1.5. Web应用防火墙 (12)5.1.6. 安全隔离与信息交换系统 (13)5.2. 安全计算环境建设 (14)5.2.1. 数据库审计系统 (14)5.2.2. 日志审计系统 (14)5.2.3. 运维审计与访问控制系统 (15)5.2.4. 脆弱性扫描与管理系统 (16)5.2.5. VPN安全网关系统 (17)5.2.6. 恶意代码防范 (18)1.背景概述随着网络技术的不断发展,网络应用已经遍布各行各业,网络系统的安全问题显得越来越重要;由此看来,网络安全已经成为网络管理员在网络构建、网络升级和网络日常管理中的头等大事。

建设一个安全、稳定、先进的网络环境已经迫在眉睫了;本方案将提供一个合适的、专业的安全建设方案。

2.需求分析2.1.网络安全防护需求网络层是网络入侵者攻击信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。

目前不同区域边界没有严格的边界访问控制、病毒防护、入侵防护等措施,这样将会给对核心业务带来极大的安全风险。

网络攻击不仅来自于外部网络,在内部也同样存在。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3 安全技术措施建设.................................................10 3.1 信息系统安全保护技术现状分析 ............................... 11 3.1.1 信息系统现状分析......................................11 3.1.2 信息系统安全保护技术现状分析..........................12 3.1.3 安全需求论证和确定....................................12 3.2 信息系统安全技术建设整改方案设计 ........................... 12 3.2.1 确定安全技术策略,设计总体技术方案..............................................12 3.2.1.1 确定安全技术策略 ................................ 12 3.2.1.2 设计总体技术方案 ..........................................................................12 3.2.2 安全技术方案详细设计..................................13 3.2.2.1 物理安全设计 ...................................................................................13 3.2.2.2 通信网络安全设计 ..........................................................................13 3.2.2.3 区域边界安全设计 ..........................................................................13 3.2.2.4 主机系统安全设计 ..........................................................................13 3.2.2.5 应用系统安全设计 ..........................................................................14 3.2.2.6 备份和恢复安全设计 .....................................................................14 3.2.3 建设经费预算和工程实施计划............................14 3.2.3.1 建设经费预算 ...................................................................................14
(6)是否组织开展信息系统安全自查工作
09 已开展安全建设整 改的信息系统数量
第二级系统 第四级系统
第三级系统


□是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否
10 已开展等级测评的 信息系统数量
第二级系统 第四级系统
第三级系统


11 信息系统发生安全事 件、事故数量
第二级系统 第四级系统
第三级系统


12 已达到等级保护要 求的信息系统数量
填表人:
第二级系统 第四级系统
审核人:
第三级系统


填表时间:
年月日
—7—
附件 2:
信息安全等级保护安全 建设整改工作指南
中华人民共和国公安部 二〇〇九年十月
前言
为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全 建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方 法,公安部编写了《信息安全等级保护安全建设整改工作指南》,供参考。
附件:1、《信息安全等级保护安全建设整改工作情况统计表》 2、《信息安全等级保护安全建设整改工作指南》
—6—
附件 1:
信息安全等级保护安全建设整改工作情况统计表
01 单位名称 02 单位地址
03 单位负责人
姓名 办公电话
职务/职称
04 单位联系人
姓名 办公电话
职务/职称 移动电话
05 信息系统总数
三、落实工作要求 (一)统一组织,加强领导。要按照“谁主管、谁负责”的原 则,切实加强对信息安全等级保护安全建设整改工作的组织领 导,完善工作机制。要结合各自实际,统一规划和部署安全建设 整改工作,制定安全建设整改工作实施方案。要落实责任部门、 责任人员和安全建设整改经费。要利用多种形式,组织开展宣传、 培训工作。 (二)循序渐进,分步实施。信息系统主管部门可以结合本 行业、本部门信息系统数量、等级、规模等实根据需要 和实际情况,选择有代表性的第二、三、四级信息系统先进行安 全建设整改和等级测评工作试点、示范,在总结经验的基础上全 面推开。 (三)结合实际,制定规范。重点行业信息系统主管部门可
—5—
以按照《信息系统安全等级保护基本要求》等国家标准,结合行 业特点,确定《信息系统安全等级保护基本要求》的具体指标; 在不低于等级保护基本要求的情况下,结合系统安全保护的特殊 需求,在有关部门指导下制定行业标准规范或细则,指导本行业 信息系统安全建设整改工作。
(四)认真总结,按时报送。自2009年起,要对定级备案、 等级测评、安全建设整改和自查等工作开展情况进行年度总结, 于每年年底前报同级公安机关网安部门,各省(自治区、直辖市) 公安机关网安部门报公安部网络安全保卫局。信息系统备案单位 每半年要填写《信息安全等级保护安全建设整改工作情况统计 表》并报受理备案的公安机关。
(三)开展信息系统安全等级测评,使信息系统安全保护状 况逐步达到等级保护要求。选择由省级(含)以上信息安全等级 保护工作协调小组办公室审核并备案的测评机构,对第三级(含)
—4—
以上信息系统开展等级测评工作。等级测评机构依据《信息系统 安全等级保护测评要求》等标准对信息系统进行测评,对照相应 等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分 析其风险,提出改进建议,按照公安部制订的信息系统安全等级 测评报告格式编制等级测评报告。经测评未达到安全保护要求 的,要根据测评报告中的改进建议,制定整改方案并进一步进行 整改。各部门要及时向受理备案的公安机关提交等级测评报告。 对于重要部门的第二级信息系统,可以参照上述要求开展等级测 评工作。
2 安全管理制度建设..................................................6 2.1 落实信息安全责任制 .......................................... 7 2.2 信息系统安全管理现状分析 ....................................7 2.3 确定安全管理策略,制定安全管理制度 .......................... 8 2.4 落实安全管理措施 ............................................ 8 2.4.1 人员安全管理........................................... 8 2.4.2 系统运维管理........................................... 8 2.4.2.1 环境和资产安全管理 ............................... 8 2.4.2.2 设备和介质安全管理 ............................... 9 2.4.2.3 日常运行维护 .....................................9 2.4.2.4 集中安全管理 .....................................9 2.4.2.5 事件处置与应急响应 ............................... 9 2.4.2.6 灾难备份 .........................................9 2.4.2.7 安全监测 ........................................10 2.4.2.8 其他安全管理 ....................................10 2.5 系统建设管理 ............................................... 10 2.6 安全自查与调整 ............................................. 10
中华人民共和国公安部
关于印送《关于开展信息安全等级保护 安全建设整改工作的指导意见》的函
公信安[2009]1429 号 中央和国家机关各部委,国务院各直属机构、办事机构、事业单 位:
为进一步贯彻落实国家信息安全等级保护制度,指导各地 区、各部门在信息安全等级保护定级工作基础上,深入开展信息 安全等级保护安全建设整改工作,我部制定了《关于开展信息安 全等级保护安全建设整改工作的指导意见》。现印送给你们,请 在实际工作中参照。
—3—
主管领导、责任部门、人员及有关岗位的信息安全责任;二是人 员安全管理制度,明确人员录用、离岗、考核、教育培训等管理 内容;三是系统建设管理制度,明确系统定级备案、方案设计、 产品采购使用、密码使用、软件开发、工程实施、验收交付、等 级测评、安全服务等管理内容;四是系统运维管理制度,明确机 房环境安全、存储介质安全、设备设施安全、安全监控、网络安 全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处 置、应急预案等管理内容。建立并落实监督检查机制,定期对各 项制度的落实情况进行自查和监督检查。