第一篇:信息安全等级保护商用密码管理办法实施意办法
国家密码管理局文件
国密局发[2009]10号
关于印发《<信息安全等级保护商用密码
管理办法>实施意见》的通知
各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局,深圳市密码管理局:
为配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号)的实施,进一步规范信息安全等级保护商用密码管理工作,我局研究制定了《<信息安全等级保护商用密码管理办法>实施意见》。现印发你们,请认真贯彻执行。
执行中的意见和建议,请及时向我局反馈(联系电话:010-59703637)。
2009年12月15日
主题词:商用密码 等级保护 实施意见 通知 抄送:公安部十一局、工业和信息化部信息安全协调司、国家保密局中央和国家机关各部委,国务院各直属机构。
国家密码管理局办公室 2009年lo月29日印发
(共印l000份)《信息安全等级保护商用密码管理办法》
实施意见
为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号)的实施,进一步规范信息安全等级保护商用密码管理工作,特提出以下意见。
一、使用商用密码对信息系统进行密码保护,应当严格遵守国家商用密码相关政策和标准规范。
二、在实施信息安全等级保护的信息系统中,商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。
三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。
四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。方案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清单、商用密码应用系统的安全管理与维护策略、实施计划等内容。
五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。中央和国家机关各部委第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。设有密码管理部门的中央和国家机关部委,其第三级信息系统的商用密码应用系统建设方案可由本部门密码管理部门组织专家进行评审。
各省(区、市)第三级信息系统的商用密码应用系统建设方案,由信息系统的责任单位向所在省(区、市)密码管理部门提出评审申请,所在省(区、市)密码管理部门组织专家进行评审。
第四级以上信息系统的商用密码应用系统建设方案,由信息系统的责任单位向国家密码管理部门提出评审申请,国家密码管理部门组织专家进行评审。
六、第三级以上信息系统的商用密码应用系统建设必须严格按照通过评审的方案实施。需变更商用密码应用系统建设方案的,应当按照上述第五条的要求重新评审,评审通过后方可实施。
七、使用商用密码实施信息安全等级保护,选用的商用密码产品应当是国家密码管理部门准予销售的产品;选用的含有密码技术的产品,应当是通过国家密码管理部门指定测评机构密码测评的产品。
八、第三级以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等。信息系统的责任单位应当将测评结果报相应的密码 管理部门备案。
九、第二级以上信息系统的责任单位,应当填写《信息安全等级保护商用密码产品备案表》,并按照《信息安全等级保护商用密码管理办法》的要求进行备案。
十、第三级以上信息系统的责任单位,应当建立完善的商用密码使用管理制度,保障商用密码应用系统的安全运行。按照密码管理部门的要求办理相关事项。
十一、第三级以上信息系统发生重大变更时,信息系统的责任单位应当将变更情况及时报相应的密码管理部门,并按照密码管理部门的要求办理相关事项。
十二、第三级以上信息系统的商用密码应用系统需要由责任单位以外的单位负责日常维护的,应当选择具有商用密码相关资质的单位。
十三、第三级以上信息系统的责任单位,应当积极配合密码管理部门组织开展的商用密码检查工作。
十四、使用商用密码实施信息安全等级保护,应当符合《信息安全等级保护商用密码技术实施要求》(附后)。
十五、本意见施行前已建成的第三级以上信息系统的商用密码应用系统,应当按照本意见第八条的要求进行密码测评,并根据密码测评意见实施改造。
十六、本意见所称“以上”包含本级。
附件:《信息安全等级保护商用密码技术实施要求》
信息安全等级保护 商用密码技术实施要求
国家密码管理局 2 0 0 9年
引 言 ·································· 8 第一章 第一级信息系统商用密码技术实施要求 ················ 9 1.1商用密码技术基本要求 ·····································································································9 1.1.1功能要求 ·························································································································9 1.1.1.1真实性 ··························································································································9 1.1.1.2完整性 ··························································································································9 1.1.2密钥管理要求 ·················································································································9 1.1.3密码配用策略要求 ··········································································································9 1.1.4密码实现机制要求 ··········································································································9 1.1.5密码安全防护要求 ··········································································································9 1.2商用密码技术应用要求 ··································································································· 10 1.2.1物理安全 ······················································································································· 10 1.2.2 网络安全 ···················································································································· 10 1.2.3主机安全 ······················································································································· 10 1.2.4应用安全 ······················································································································· 10 1.2.5数据安全及备份恢复 ···································································································· 10 第二章 第二级信息系统商用密码技术实施要求 ················ 11 2.1商用密码技术基本要求 ··································································································· 11 2.1.1功能要求 ······················································································································· 11 2.1.1.1真实性 ························································································································ 11 2.1.1.2机密性 ························································································································ 11 2.1.1.3完整性 ························································································································ 11 2.1.3密码配用策略要求 ········································································································ 12 2.1.3.1密码算法配用策略 ····································································································· 12 2.1.3.2密码协议使用策略 ····································································································· 12 2.1.3.3密码设备使用策略 ····································································································· 12 2.1.4密码实现机制 ··············································································································· 12 2.1.5密码安全防护要求 ········································································································ 12 2.2商用密码技术应用要求 ··································································································· 12 2.2.1物理安全 ······················································································································· 12 2.2.2 网络安全 ···················································································································· 13 2.2.3主机安全 ······················································································································· 13 2.2.4应用安全 ······················································································································· 13 2.2.5数据安全及备份恢复 ···································································································· 14 第三章 第三级信息系统商用密码技术实施要求 ················ 15 3.1商用密码技术基本要求 ··································································································· 15 3.3.1功能要求 ······················································································································· 15 3.1.1.1真实性 ························································································································ 15 3.1.1.2机密性 ························································································································ 15 3.1.1.3完整性 ························································································································ 15 3.1.1.4抗抵赖性 ···················································································································· 16 3.1.2密钥管理要求 ··············································································································· 16 3.1.3密码配用策略要求 ········································································································ 17 3.1.3.1密码算法配用策略 ····································································································· 17 3.1.3.2密码协议使用策略 ····································································································· 17 3.1.3.3密码设备使用策略 ····································································································· 17 3.1.4密码实现机制 ··············································································································· 17 3.1.5密码安全防护要求 ········································································································ 17 3.2商用密码技术应用要求 ··································································································· 18 3.2.1物理安全 ······················································································································· 18 3.2.2网络安全 ······················································································································· 18 3.2.3主机安全 ······················································································································· 18 3.2.4应用安全 ······················································································································· 19 3.2.5数据安全及备份恢复 ···································································································· 19 第四章 第四级信息系统商用密码技术实施要求 ··············· 20 4.1商用密码技术基本要求 ··································································································· 20 4.1.1功能要求 ······················································································································· 20 4.1.1.1真实性 ························································································································ 20 4.1.1.1.2机密性 ····················································································································· 20 4.1.1.3完整性 ························································································································ 21 4.1.1.4抗抵赖 ························································································································ 21 4.1.2密钥管理要求 ··············································································································· 21 4.1.3密码配用策略要求 ········································································································ 22 4.1.3.1密码算法配用策略 ····································································································· 22 4.1.3.2密码协议使用策略 ····································································································· 22 4.1.3.3密码设备使用策略 ····································································································· 22 4.1.4密码实现机制 ··············································································································· 23 4.1.5密码安全防护要求 ········································································································ 23 4.2商用密码技术应用要求 ··································································································· 23 4.2.1物理安全 ······················································································································· 23 4.2.2网络安全 ······················································································································· 23 4.2.3主机安全 ······················································································································· 24 4.2.4应用安全 ······················································································································· 24 4.2.5数据安全及备份恢复 ···································································································· 25
引 言
密码技术作为信息安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是实行信息安全等级保护不可或缺的关键技术,充分利用密码技术能够有效地保障信息安全等级保护制度的落实,科学合理地采用密码技术及其产品,是落实信息安全等级保护最为有效、经济和便捷的手段。
国家标准(GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》(以下简称“《基本要求》”)规定了对不同安全保护等级信息系统的基本安全要求,对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项,密码技术都可以直接或间接地为满足这些要求提供支持,因此如何科学合理地应用密码技术对信息系统进行安全保护就成为实施等级保护的关键工作内容,直接影响着信息安全等级保护的全面推进。为此,我们以《商用密码管理条例》和《信息安全等级保护商用密码管理办法》为指导,结合《基本要求》中的相关安全要求项,在《信息安全等级保护商用密码技术要求》的基础上,编制了《信息安全等级保护商用密码技术实施要求》,用以规范使用商用密码实施等级保护的相关技术工作,并为商用密码产品的研发和系统的集成提供依据。
本要求明确了一、二、三、四级信息系统使用商用密码技术来实施等级保护的基本要求和应用要求。在基本要求中根据密码技术的特点,从技术实施上对商用密码应用系统的功能、密钥管理、密码配用、密码实现和密码保护等方面提出了相关要求和规定。在应用要求中,从应用密码技术来实现相应等级的物理安全、网络安全、主机安全、应用安全和数据安全提出了要求。为方便使用,我们将各级信息系统的商用密码需求和相关技术实施要求按照不同安全等级集中进行编排。第一章
第一级信息系统商用密码技术实施要求
1.1商用密码技术基本要求 1.1.1功能要求 1.1.1.1真实性
第一级信息系统使用商用密码进行真实性保护时,应提供以下功能; 1)提供基于实体的身份标识和鉴别服务; 2)为访问网络设备提供身份鉴别服务;
3)为登录操作系统和数据库提供身份鉴别服务; 4)为访问应用系统提供身份鉴别服务; 5)向访问控制系统提供身份真实性的凭证。1.1.1.2完整性
第一级信息系统使用商用密码进行完整性保护时,应提供以下功能; 1)应提供数据完整性校验服务;
2)为通信过程和数据传输提供完整性校验服务;3)为访问控制系统提供访问控制信息的完整性校验服务。1.1.2密钥管理要求
密钥管理至少应包括密钥的生成、存储和使用等过程,并满足;1)密钥生成:密钥应具有一定的随机性;
2)密钥存储:采取必要的安全防护措施,防止密钥被轻易非授权获取;3)密钥使用:采取必要的安全防护措施,防止密钥被非法使用。1.1.3密码配用策略要求
采用国家密码管理部门批准使用的算法。1.1.4密码实现机制要求 不做强制性要求。1.1.5密码安全防护要求
不做强制性要求。1.2商用密码技术应用要求 1.2.1物理安全
第一级物理安全基本技术要求的实现不需使用密码技术。1.2.2 网络安全
实现第一级网络安全基本技术要求在访问控制和身份鉴别方面可以使用密码技术。
在访问控制机制中,可以使用密码技术的完整性服务来保证访问控制列表的完整性。
在身份鉴别机制中,可以使用密码技术的真实性服务来实现鉴别信息的防假冒,可以使用密码技术的机密性服务来实现鉴别信息的防泄露。1.2.3主机安全
实现第一级主机安全基本技术要求在身份鉴别和访问控制方面可以使用密码技术。
在身份鉴别机制中,可以使用密码技术的真实性服务来实现鉴别信息的防假冒。
在访问控制机制中,可以使用密码技术的完整性服务来保证访问控制信息的完整性。1.2.4应用安全
实现第一级应用安全基本技术要求在身份鉴别、访问控制和通信安全方面可以使用密码技术。
在身份鉴别机制中,可以使用密码技术的真实性服务来实现鉴别信息的防假冒,保证应用系统用户身份的真实性。
在访问控制机制中,可以使用密码技术的完整性服务来保证系统功能和用户数据访问控制信息的完整性。
在通信安全方面,可以使用密码技术的完整性服务来实现对通信过程中数据完整性。
1.2.5数据安全及备份恢复
第一级数据安全及备份恢复基本技术要求在数据传输安全方面,可以使用密码技术的完整性服务来实现对重要用户数据在传输过程中完整性检测。第二章
第二级信息系统商用密码技术实施要求
2.1商用密码技术基本要求 2.1.1功能要求 2.1.1.1真实性
第二级信息系统使用商用密码进行真实性保护时,应提供以下功能; 1)提供基于单个实体的身份鉴别功能;
2)能唯一标识并有效区分实体,包括用户、设备、系统等; 3)为建立网络会话提供身份鉴别服务; 4)为访问网络设备提供身份鉴别服务; 5)保证身份鉴别信息的唯一性;
6)向访问控制系统提供身份真实性的凭证。2.1.1.2机密性
第二级信息系统使用商用密码进行机密性保护时,应提供以下功能; 1)提供数据机密性服务;2)为初始化会话过程中提供加密保护;3)对通信过程中的重要字段提供加密保护; 4)对存储的鉴别信息提供加密保护。2.1.1.3完整性
第二级信息系统使用商用密码进行完整性保护时,应提供以下功能; 1)对鉴别信息和重要业务数据在传输过程中提供完整性校验服务; 2)对系统资源的访问控制信息提供完整性校验服务;3)对文件/数据库表等客体的访问控制信息提供完整性校验服务; 4)对审计记录提供完整性校验服务。
密钥管理应包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、更换等过程,并满足: 1)密钥生成:应使用随机数发生器产生密钥;
2)密钥存储:密钥应加密存储,并采取必要的安全防护措施,防止密钥被非法获取。3)密钥分发:密钥分发应采取有效的安全措施,防止在分发过程中泄露。4)密钥导入与导出:密钥的导入与导出应采取有效的安全措施,保证密钥的导入与导出安全,以及密钥的正确。
5)密钥使用:密钥必须明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;应按照密钥更换周期要求更换密钥,密钥更换允许系统中断运行。6)密钥备份与恢复:应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复。
2.1.3密码配用策略要求 2.1.3.1密码算法配用策略
采用国家密码管理部门批准使用的算法。2.1.3.2密码协议使用策略
采用经国家密码管理部门安全性评审的密码协议实现密码功能。2.1.3.3密码设备使用策略
使用密码设备时应符合以下要求:
1)应选用国家密码管理部门批准的密码设备;
2)信源加密、完整性校验、身份鉴别应选用智能密码钥匙、智能IC卡、可信密码模块TCKI、密码卡、密码机等密码设备;
3)信道加密应选用链路密码机、网络密码机、YPN密码机等密码设备。2.1.4密码实现机制
应采用专用固件或硬件方式实现。2.1.5密码安全防护要求
密码安全防护应符合以下要求:
1)专用固件或硬件应具有有效的物理安全保护措施;,2)专用固件或硬件应满足相应运行环境的可靠性要求。2.2商用密码技术应用要求 2.2.1物理安全
实现第二级物理安全基本技术要求不需使用密码技术。2.2.2 网络安全
实现第二级网络安全基本技术要求在访问控制和身份鉴别方面推荐使用密码技术。
在访问控制方面,推荐使用密码技术的完整性服务来保证网络边界访问控制信息、系统资源访问控制信息的完整性。
在身份标识与鉴别方面,推荐使用密码技术的真实性服务来实现鉴别信息的防重用和防冒用,保证网络设备用户身份的真实性;推荐使用密码技术的机密性服务来保证网络设备远程管理时,鉴别信息传输过程中的机密性。2.2.3主机安全
实现第二级主机安全基本技术要求在身份鉴别、访问控制和审计记录方面推荐使用密码技术。
在身份鉴别方面,推荐使用密码技术的真实性服务来实现鉴别信息的防冒用和防重用,保证操作系统和数据库系统用户身份的真实性;推荐使用密码技术的机密性服务来实现鉴别信息远程传输过程中的机密性。
在访问控制方面,推荐使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。
在审计记录方面,推荐使用密码技术的完整性服务来对审计记录进行完整性保护。2.2.4应用安全
实现第二级应用安全基本技术要求在身份鉴别、访问控制、审计记录和通信安全方面推荐使用密码技术。
在身份鉴别方面,推荐使用密码技术的真实性服务来实现鉴别信息的防重用和防冒用,保证应用系统用户身份的真实性和通信双方身份的真实性。
在访问控制方面,推荐使用密码技术的完整性服务来保证文件、数据库表等客体访问控制信息的完整性。
在审计记录方面,推荐使用密码技术的完整性服务来保证审计记录的完整性,防止对审计记录的非法修改。
在通信安全方面,推荐使用密码技术的完整性服务来保证通信过程中数据的完整性;推荐使用密码技术的机密性服务来对通信过程中敏感数据加密,保证通信过程中敏感信息的机密性。2.2.5数据安全及备份恢复
实现第二级数据安全及备份恢复基本技术要求在数据传输安全和数据存储安全方面可以使用密码技术。
在数据传输安全方面,推荐使用密码技术的完整性服务来实现对鉴别信息和重要业务数据在传输过程中完整性检测。
在数据存储安全方面,推荐使用密码技术的机密性服务来实现鉴别信息的存储机密性。第三章 第三级信息系统商用密码技术实施要求
3.1商用密码技术基本要求 3.3.1功能要求 3.1.1.1真实性
第三级信息系统使用商用密码进行真实性保护时,应提供以下功能; 1)提供重要区域进入人员身份真实性鉴别服务;
2)提供安全访问路径中通信主体身份的真实性鉴别服务; 3)提供访问网络设备用户身份的真实性鉴别服务;
4)提供登录操作系统和数据库系统用户的身份真实性的鉴别服务; 5)提供应用系统用户身份真实性鉴别服务; 6)提供通信双方身份真实性鉴别服务; 7)能够提供组合鉴别方式;
8)在建立网络会话时提供身份鉴别服务; 9)保证身份鉴别信息的唯一性;
10)向访问控制系统提供身份真实性的凭证。3.1.1.2机密性
第三级信息系统使用商用密码进行机密性保护时,应提供以下功能: 1)提供通信过程中整个报文或会话过程的机密性保护服务;
2)提供存储过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务;
3)提供传输过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务。
3.1.1.3完整性
第三级信息系统使用商用密码进行完整性保护时,应提供以下功能: 1)提供电子门禁系统记录的完整性服务; 2)提供安全访问路径中路由信息的完整性服务;
3)提供网络边界和系统资源访问控制信息的完整性服务; 4)提供审计记录的完整性服务; 5)提供系统资源访问控制信息的完整性服务; 6)提供重要信息资源敏感标记的完整性服务; 7)提供重要程序的完整性服务;
8)提供文件、数据库表等客体访问控制信息的完整性服务; 9)提供重要信息资源敏感标记的完整性服务; 10)提供通信过程中所有数据的完整性服务;
11)提供存储过程中系统管理数据、鉴别信息和重要业务数据的完整性服务。
3.1.1.4抗抵赖性
第三级信息系统使用商用密码进行抗抵赖保护时,应提供以下功能: 1)提供进入重要区域人员行为的抗抵赖服务; 2)支持原发抗抵赖服务; 3)支持接收抗抵赖服务。3.1.2密钥管理要求
密钥管理应包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档和销毁等环节进行管理和策略制定的全过程,并满足:
1)密钥生成:应使用国家密码管理部门批准的硬件物理噪声源产生随机数;密钥必须在密码设备内部产生,不得以明文方式出现在密码设备之外;应具备检查和剔除弱密钥的能力。
2)密钥存储:密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在专用硬件中。
3)密钥分发:密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性。4)密钥导入与导出:密钥的导入与导出应采取有效的安全措施,保证密钥的导入与导出安全,以及密钥的正确。
5)密钥使用:密钥必须明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;应按照密钥更换周期要求更换密钥,密钥更换允许系统中断运行;密钥泄露时,必须停止使用,并启动相应的应急处理和响应措施。
6)密钥备份与恢复:应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生成审计信息;审计信息包括备份或恢复的主体、备份或恢复的时间等。7)密钥归档:应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。8)密钥销毁:应具有在紧急情况下销毁密钥的措施。3.1.3密码配用策略要求
3.1.3.1密码算法配用策略
采用国家密码管理部门批准使用的算法。3.1.3.2密码协议使用策略
采用经国家密码管理部门安全性评审的密码协议实现密码功能。
3.1.3.3密码设备使用策略
使用密码设备时应符合以下要求:
1)应选用国家密码管理部门批准的密码设备;
2)信源加密、完整性校验、身份鉴别、抗抵赖应选用可信密码模块TCM、智能密码钥匙、智能IC卡、密码卡、密码机等密码设备;
3)信道加密应选用链路密码机、网络密码机、VPN密码机等密码设备; 4)需要配用独立的密钥管理系统或使用数字证书认证系统提供的密钥管理服务。
3.1.4密码实现机制
必须采用专用固件或硬件方式实现。3.1.5密码安全防护要求
密码安全防护应符合以下要求:
1)专用固件或硬件以及密码设备应具有有效的物理安全保护措施; 2)专用固件或硬件以及密码设备应满足相应运行环境的可靠性要求: 3)应建立有效的密码设备安全管理制度。3.2商用密码技术应用要求 3.2.1物理安全
第三级物理安全基本技术要求在电子门禁系统方面推荐使用密码技术。在电子门禁系统中,推荐使用密码技术的真实性服务来保护身份鉴别信息,保证重要区域进入人员身份的真实性;推荐使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。3.2.2网络安全
第三级网络安全基本技术要求在安全访问路径、访问控制和身份鉴别方面应当使用密码技术。
在建立安全访问路径过程中,应当使用密码技术的真实性服务来保证通信主体身份鉴别信息的可靠,实现安全访问路径中通信主体身份的真实性;应当使用密码技术的完整性服务来保证安全访问路径中路由控制信息的完整性。
在访问控制机制中,应当使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。
在审计记录方面,应当使用密码技术的完整性服务来对审计记录进行完整性保护。
在身份标识与鉴别方面,应当使用密码技术来实现组合鉴别,使用密码技术的机密性和真实性服务来实现防窃听、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备用户身份的真实性。3.2.3主机安全
第三级主机安全基本技术要求在身份鉴别、访问控制、审计记录和程序安全方面应当使用密码技术。
在身份标识与鉴别方面,应当使用密码技术来实现组合鉴别,使用密码技术的真实性服务来实现鉴别信息的防假冒和防重用,保证操作系统和数据库系统用户身份的真实性,并在远程管理时使用密码技术的机密性服务来实现鉴别信息的防窃听。
在访问控制方面,应当使用密码技术的完整性服务来保证系统资源访问控制信息的完整性,并使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。
在审计记录方面,应当使用密码技术的完整性服务来对审计记录进行完整性保护。
在程序安全方面,推荐使用密码技术的完整性服务来实现对重要程序的完整性检测。3.2.4应用安全
第三级应用安全基本技术要求在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
在身份鉴别方面,应当使用密码技术来实现组合鉴别,使用密码技术的机密性和真实性服务来实现防窃听、防假冒和防重用,保证应用系统用户身份的真实性。
在访问控制方面,应当使用密码技术的完整性服务来保证文件、数据库表访问控制信息和重要信息资源敏感标记的完整性。
在审计记录方面,应使用密码技术的完整性服务来实现对审计记录完整性的保护。
在通信安全方面,应当使用密码技术的完整性服务来保证通信过程中数据完整性;应当使用密码技术的真实性服务来实现通信双方会话初始化验证;应当使用密码技术的机密性服务来实现对通信过程中整个报文或会话过程加密保护;应当使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。3.2.5数据安全及备份恢复
第三级数据安全及备份恢复基本技术要求在数据传输安全和数据存储安全方面应当使用密码技术。
在数据传输安全方面,应当使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在传输过程中完整性的检测。应当使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的传输机密性。
在数据存储安全方面,应当使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在存储过程中完整性的检测。应当使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的存储机密性。第四章 第四级信息系统商用密码技术实施要求
4.1商用密码技术基本要求 4.1.1功能要求 4.1.1.1真实性
第四级信息系统使用商用密码进行真实性保护时,应提供以下功能: 1)应提供基于单个实体(用户、主机)的身份鉴别功能; 2)能唯一标识并有效区分实体,包括用户、设备、系统等; 3)能够提供两种或两种以上的身份鉴别方式; 4)身份鉴别信息具备不易被冒用的防范能力; 5)身份鉴别信息具备不可伪造性; 6)保证身份鉴别信息的唯一性;
7)提供进入重要区域人员身份真实性鉴别服务; 8)在建立网络会话时提供身份鉴别服务;
9)提供安全访问路径中通信主体身份的真实性鉴别服务; 10)提供通信双方身份真实性鉴别服务;
11)支持在网络设各身份鉴别时提供身份鉴别服务;
12)提供主机平台基于可信密码模块TCM的身份真实性鉴别服务; 13)提供登录操作系统和数据库系统用户的身份真实性的鉴别服务; 14)提供应用系统用户身份真实性鉴别服务; 15)应向访问控制系统提供身份真实性的凭证。4.1.1.1.2机密性
第四级信息系统使用商用密码进行机密性保护时,应提供以下功能: 1)能提供数据机密性服务;
2)提供通信过程中整个报文或会话过程的机密性保护服务;
3)提供存储过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务;
4)提供传输过程中系统管理数据、鉴别信息和重要业务数据的机密性保护服务。4.1.1.3完整性
第四级信息系统使用商用密码进行完整性保护时,应提供以下功能: 1)能够提供对数据的完整性保护;
2)支持对重要信息资源敏感标记提供完整性服务; 3)提供电子门禁系统记录的完整性服务; 4)支持对通信过程数据提供完整性服务; 5)提供安全访问路径中数据的完整性服务;
6)提供网络边界和系统资源访问控制信息的完整性服务; 7)提供系统资源访问控制信息的完整性服务;
8)支持对系统管理数据、鉴别信息和业务数据在传输过程中提供完整性服务,并能够检测完整性错误,提供必要的恢复手段;
9)支持对系统管理数据、鉴别信息和业务数据在存储过程中提供完整性服务,并能够检测完整性错误,提供必要的恢复手段; 10)提供主机平台基于可信密码模块TCM的完整性服务; 11)提供重要程序的完整性服务;
12)提供文件、数据库表等客体访问控制信息的完整性服务; 13)提供审计记录的完整性服务。4.1.1.4抗抵赖
第四级信息系统使用商用密码进行抗抵赖保护时,应提供以下功能: 1)提供进入重要区域人员行为的抗抵赖服务; 2)支持原发抗抵赖服务; 3)支持接收抗抵赖服务。4.1.2密钥管理要求
密钥管理应包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档和销毁等环节进行管理和策略制定的全过程,并满足:
1)密钥生成:应使用国家密码管理部门批准的硬件物理噪声源产生随机数;密钥必须在密码设备内部产生,不得以明文方式出现在密码设备之外:应具备检查和剔除弱密钥的能力;生成密钥审计信息,密钥审计信息包括:种类、长度、拥有者信息、使用起始时间、使用终止时间。
2)密钥存储:密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在专用硬件中;应具有密钥可能泄露时的应急处理和响应措施。
3)密钥分发:密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截获、假冒、篡改、重放等攻击,保证密钥的安全性。应具有密钥可能泄露时的应急处理和响应措施。
4)密钥导入与导出:密钥的导入与导出应采取有效的安全措施,保证密钥的导入与导出安全,以及密钥的正确;密钥的导入与导出应采用密钥分量的方式或者专用设备的方式:密钥的导入与导出应保证系统密码服务功能不间断。
5)密钥使用:密钥必须明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;应按照密钥更换周期要求更换密钥,密钥更换允许系统中断运行;密钥泄露时,必须停止使用,并启动相应的应急处理和响应措施。
6)密钥备份与恢复:应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生成审计信息:审计信息包括备份或恢复的主体、备份或恢复的时间等。7)密钥归档:应采取有效的安全措施,保证归档密钥的安全性和正确性:归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。8)密钥销毁:应具有在紧急情况下销毁密钥的措施。4.1.3密码配用策略要求 4.1.3.1密码算法配用策略
采用国家密码管理部门批准使用的算法。4.1.3.2密码协议使用策略
采用经国家密码管理部门安全性评审的密码协议实现密码功能。4.1.3.3密码设备使用策略
使用密码设备时应符合以下要求:
1)应选用国家密码管理部门批准的密码设备;
2)信源加密、完整性校验、身份鉴别、抗抵赖应选用可信密码模块TCM、智能密码钥匙、智能IC卡、密码卡、密码机等密码设备;
3)信道加密应选用链路密码机、网络密码机、VPN密码机等密码设备; 4)需要配用独立的密钥管理系统或使用数字证书认证系统提供的密钥管理服务。
4.1.4密码实现机制
必须采用专用硬件或固件方式实现。4.1.5密码安全防护要求
密码安全防护应符合以下要求;
1)专用硬件或固件以及密码设备应具有严格的物理安全保护措施; 2)专用硬件或固件以及密码设备应满足相应运行环境的可靠性要求; 3)应建立严格的密码设备安全管理制度。4.2商用密码技术应用要求 4.2.1物理安全
第四级物理安全基本技术要求在电子门禁系统方面应当使用密码技术。在电子门禁系统中,应当使用密码技术的真实性服务来实现对进入重要区域人员的身份鉴别,并使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。4.2.2网络安全
第四级网络安全基本技术要求在安全访问路径、访问控制和身份鉴别方面应当使用密码技术。
在建立安全访问路径过程中,应当使用密码技术的真实性服务来保证通信主体身份鉴别信息的可靠,实现安全访问路径中通信主体身份的真实性应当使用密码技术的完整性服务来保证安全访问路径中路由控制信息的完整性。
在访问控制方面,应当使用密码技术的完整性服务来保证网络边界访问控制信息和数据敏感标记的完整性。’
在审计记录方面,应当使用密码技术的完整性服务来对审计记录进行完整性保护。
在身份标识与鉴别方面,应当采用密码技术实现组合鉴别,使用密码技术的机密性和真实性服务来实现传输过程中鉴别信息防窃听、防假冒和防重用,保证网络设备用户身份的真实性。4.2.3主机安全
第四级主机安全基本技术要求在身份鉴别、访问控制、安全信息传输路径、审计记录和程序安全方面可以使用密码技术。
在身份鉴别方面,应当采用密码技术来实现组合鉴别,使用密码技术的真实性服务来实现鉴别信息的防假冒和防重用,并在远程管理时使用密码技术的机密性服务来实现鉴别信息的防窃听。.在访问控制方面,应当使用密码技术的完整性服务来保证细粒度访问控制信息的完整性和所有主体和客体敏感标记的完整性。
在审计记录方面,应当使用密码技术的完整性服务来实现对审计记录和重要程序的完整性检测。4.2.4应用安全
第四级应用安全基本技术要求在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
在身份鉴别方面,应当采用密码技术来实现组合鉴别,使用密码技术的真实性和机密性服务来实现鉴别信息的防重用、防冒用、防泄露,保证应用系统用户身份的真实性;
在访问控制方面,应使用密码技术的完整性服务来保证主体对客体访问控制信息和敏感标记的完整性。
在建立安全的信息传输路径过程中,应当使用密码技术的真实性服务来实现通信主体身份鉴别,并综合使用密码技术的机密性和完整性服务来建立安全通道。
在审计记录方面,应使用密码技术的完整性服务来对审计记录进行完整性保护。
在通信安全方面,应当使用密码技术的完整性服务来保证通信过程中数据完整性;
应当使用密码技术的真实性服务来实现通信双方会话初始化验证;应当使用密码技术的机密性服务来实现对通信过程中整个报文或会话过程加密保护;应当使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。4.2.5数据安全及备份恢复
第四级数据安全及备份恢复基本技术要求在数据传输安全、数据存储安全和安全通信协议方面应当使用密码技术。
在数据传输安全方面,应使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在传输过程中完整性的检测;应使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的传输机密性。
在数据存储安全方面,应使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在存储过程中完整性的检测;应使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的存储机密性。
在安全通信协议方面,应综合使用密码技术的真实性、完整性和机密性服务来建立安全通信协议。
第二篇:信息安全等级保护管理办法
关于印发《信息安全等级保护管理办法》的通知
各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们,请认真贯彻执行。
公
安
部
国 家 保 密 局 国家密码管理局
国务院信息工作办公室
二〇〇七年六月二十二日
信息安全等级保护管理办法
第一章 总则
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)信息系统安全整改情况;
(七)备案材料与运营、使用单位、信息系统的符合情况;
(八)其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一)信息系统备案事项变更情况;
(二)安全组织、人员的变动情况;
(三)信息安全管理制度、措施变更情况;
(四)信息系统运行状况记录;
(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)(四)
(五)从事相关检测评估工作两年以上,无违法记录; 工作人员仅限于中国公民;
法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机 密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性 质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数(级)。
第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。
第三篇:信息安全等级保护管理办法(精)
信息安全等级保护管理办法
第一章
总则
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理 规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部 门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系 统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保 护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)信息系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)信息系统安全整改情况;
(七)备案材料与运营、使用单位、信息系统的符合情况;
(八)其他应当进行监督检查的事项。
第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一)信息系统备案事项变更情况;
(二)安全组织、人员的变动情况;
(三)信息安全管理制度、措施变更情况;
(四)信息系统运行状况记录;
(五)运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整 改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的 企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉及国家秘密信息系统的分级保护管理
第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保 护。
非涉密信息系统不得处理国家秘密信息。
第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四 级、第五级的水平。
第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信 息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密 码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条 第三级以上信息系统运营、使用单位违反本 办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条 本办法所称“以上”包含本数(级)。第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。
第四篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第五篇:安全等级保护管理办法
安全等级保护管理办法
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定以下办法:
第1条 网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
第2条 根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录。
第3条 根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录。
第4条 根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录。
第5条 根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录。
第6条 每周对网络信息系统安全管理策略进行数据备份,并作详细记录。第7条 网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
第8条 网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
第9条 每天根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报保密局,并做详细记录。
第10条 每周登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录。
第11条 每月通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录,并将安全评估分析报告上报保密办。
第12条 每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录。
第13条 每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录。第14条 涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第15条 根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第16条 每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录,遇有重大问题上报保密部门。
第17条 涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录。
第18条 新增涉密计算机联入涉密网络,需经保密局审批,由安全保密管理员统一进行操作,并做详细记录。