第一篇:阜外医院率先通过国家信息安全等级保护第三级测评-胡睿
医疗信息安全参用军队考评体系
本报讯(记者 胡睿)1月6日,阜外心血管病医院对外公布称,“该院于2011年11月顺利通过国家信息安全等级保护第三级测评,成为国内第一家通过三级测评的医院”。卫生部统计信息中心网络与应用处副处长杨龙频解释说,医院信息安全保护测评方式最原始的参照版本是军队保密系统,第三级保护信息如果泄露,相当于对国家安全产生危害,或者是对社会秩序带来不良影响。
据了解,早在2009年卫生部就已经提出要加强医院信息安全保护,但由于我国医院信息化相对滞后,应用范围还相对有限,卫生部没有对此项工作提出硬性要求。直到2011年,卫生部才正是下发了《关于全面开展卫生行业信息安全等级保护工作的指导意见》的通知(卫办综函【2011】1126号文)。
通知明确指出,国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。根据现阶段医院信息化应用情况来看,我国要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级。
同时,通知要求各三级甲等医院于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评,阜外心血管病医院是提前三年完成了卫生部部署的工作。
阜外心血管病医院信息中心主任赵伟说,近年来该院从技术、管理、保证系统连续性三个方面入手,已经建成了一套以电子病历为核心、信息高度集成、流程严格控制、知识系统完备、具备事情控制能力、具备医疗成本控制体系、符合心血管专科医疗特色的信息化支撑平台。这些系统的安全保护都不低于第三级,特别是电子病历管理,目前已经达到了卫生部电子病历系统功能应用五级标准。
“另外,为了确保急诊患者信息不外露,阜外心血管病医院专门开发了独立于门诊之外的急诊信息应对系统,包括医生工作站、护士工作站、化验平台、交费系统四个主体部分。这个系统虽然是独立的,但他可以与门诊系统实现互通,所有的资料都可以上传给门诊系统,以便应用于今后的科研、医疗、教学等方面”。赵伟如是说。
实际上,国家对信息安全保护早已对各行各业提出了明确要求,只是由于医院的信息化建设晚于其他行业造成了现在的局面。北京公共卫生信息中心主任张文忠说,站在医院的角度来说,通常会把信息安全放在信息化发展的第二位考虑,第一位是信息化的应用。这个道理很简单,如果没有应用就无从谈及安全,所以说只有应用了信息化系统才能谈到安全保护问题。阜外医院通过等级评审,说明医院信息化的应用已经开始考虑安全问题,这也预示着我国医院信息化系统的应用已经步入了更高阶段。
但中国医院协会信息管理专业委员会副主任委员沈韬说,患者信息泄露的确会对社会造成一定的影响,但还不至于对社会秩序和国家安全造成较大影响。他认为,三级医疗机构的信息安全保护不低于第三级标准有些过高,不低于第二级已经可以确保医疗信息安全。
第二篇:国家信息安全等级保护制度第三级要求
CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
1.1.1.4 防雷击(G3)本项要求包括: a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。7.1.1.5 防火(G3)本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。1.1.1.6 防水和防潮(G3)本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。1.1.1.7 防静电(G3)本项要求包括: a)主要设备应采用必要的接地防静电措施;b)机房应采用防静电地板。1.1.1.8 温湿度控制(G3)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A3)本项要求包括: CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
1.1.2.2 访问控制(G3)本项要求包括: a)应在网络边界部署访问控制设备,启用访问控制功能;b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制;d)应在会话处于非活跃一定时间或会话结束后终止网络连接;e)应限制网络最大流量数及网络连接数;f)重要网段应采取技术手段防止地址欺骗;g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h)应限制具有拨号访问权限的用户数量。1.1.2.3 安全审计(G3)本项要求包括: a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应能够根据记录数据进行分析,并生成审计报表;d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。1.1.2.4 边界完整性检查(S3)本项要求包括: a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
本项要求包括: a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。1.1.3.2 访问控制(S3)本项要求包括: a)应启用访问控制功能,依据安全策略控制用户对资源的访问;b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c)应实现操作系统和数据库系统特权用户的权限分离;d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e)应及时删除多余的、过期的帐户,避免共享帐户的存在。f)应对重要信息资源设置敏感标记;g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;7.1.3.3 安全审计(G3)本项要求包括: a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;b)应根据安全策略设置登录终端的操作超时锁定;c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;d)应限制单个用户对系统资源的最大或最小使用限度;e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。7.1.4 应用安全 7.1.4.1 身份鉴别(S3)本项要求包括: a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;c)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
7.1.4.2 访问控制(S3)本项要求包括: a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;c)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;d)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e)应具有对重要信息资源设置敏感标记的功能;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
7.1.4.8 软件容错(A3)本项要求包括: a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
7.1.4.9 资源控制(A3)本项要求包括: a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;b)应能够对系统的最大并发会话连接数进行限制;c)应能够对单个帐户的多重并发会话进行限制;d)应能够对一个时间段内可能的并发会话连接数进行限制;e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警;g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
7.1.5 数据安全及备份恢复 7.1.5.1 数据完整性(S3)本项要求包括: a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
7.1.5.2 数据保密性(S3)本项要求包括: CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
c)应组织相关人员对制定的安全管理制度进行论证和审定;d)安全管理制度应通过正式、有效的方式发布;e)安全管理制度应注明发布范围,并对收发文进行登记。7.2.1.3 评审和修订(G3)本项要求包括: a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
7.2.2 安全管理机构 7.2.2.1 岗位设置(G3)本项要求包括: a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;c)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。7.2.2.2 人员配备(G3)本项要求包括: a)应配备一定数量的系统管理员、网络管理员、安全管理员等;b)应配备专职安全管理员,不可兼任;c)关键事务岗位应配备多人共同管理。7.2.2.3 授权和审批(G3)本项要求包括: a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
a)应指定或授权专门的部门或人员负责人员录用;b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;c)应签署保密协议;d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。7.2.3.2 人员离岗(G3)本项要求包括: a)应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;c)应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
7.2.3.3 人员考核(G3)本项要求包括: a)应定期对各个岗位的人员进行安全技能及安全认知的考核;b)应对关键岗位的人员进行全面、严格的安全审查和技能考核;c)应对考核结果进行记录并保存。7.2.3.4 安全意识教育和培训(G3)本项要求包括: a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;d)应对安全教育和培训的情况和结果进行记录并归档保存。7.2.3.5 外部人员访问管理(G3)本项要求包括: a)应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
b)应确保密码产品采购和使用符合国家密码主管部门的要求;c)应指定或授权专门的部门负责产品的采购;d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
7.2.4.4 自行软件开发(G3)本项要求包括: a)应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;c)应制定代码编写安全规范,要求开发人员参照规范编写代码;d)应确保提供软件设计的相关文档和使用指南,并由专人负责保管;e)应确保对程序资源库的修改、更新、发布进行授权和批准。7.2.4.5 外包软件开发(G3)本项要求包括: a)应根据开发需求检测软件质量;b)应在软件安装之前检测软件包中可能存在的恶意代码;c)应要求开发单位提供软件设计的相关文档和使用指南;d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。7.2.4.6 工程实施(G3)本项要求包括: a)应指定或授权专门的部门或人员负责工程实施过程的管理;b)应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程;c)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
7.2.4.7 测试验收(G3)CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
a)在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;b)应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评;d)应指定或授权专门的部门或人员负责等级测评的管理。7.2.4.11 安全服务商选择(G3)本项要求包括: a)应确保安全服务商的选择符合国家的有关规定;b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;c)应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。
7.2.5 系统运维管理 7.2.5.1 环境管理(G3)本项要求包括: a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定;d)应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
7.2.5.2 资产管理(G3)本项要求包括: a)应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;e)应确保信息处理设备必须经过审批才能带离机房或办公地点。7.2.5.5 监控管理和安全管理中心(G3)本项要求包括: a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
7.2.5.6 网络安全管理(G3)本项要求包括: a)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;e)应实现设备的最小服务配置,并对配置文件进行定期离线备份;f)应保证所有与外部系统的连接均得到授权和批准;g)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。7.2.5.7 系统安全管理(G3)本项要求包括: CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告;c)应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;d)应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
7.2.5.11 备份与恢复管理(G3)本项要求包括: a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;b)应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;d)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;e)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
7.2.5.12 安全事件处置(G3)本项要求包括: a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;b)应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;d)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;e)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的CHISC.NET-国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
所有文件和记录均应妥善保存;f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
7.2.5.13 应急预案管理(G3)本项要求包括: a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;e)应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。
第三篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第四篇:国家信息安全等级保护制度
《信息安全等级保护管理办法》 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。2 制定目的 规范信息安全等级保护管理。文号
公通字200743号文 第一章 总则 第一条
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。第二条
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。第三条
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造 1
成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理 第九条
信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。第十条
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。第十一条
信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。第十三条
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十六条
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。第十八条
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民 共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。第二十三条
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平
总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。第三十二条
涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。第五章
信息安全等级保护的密码管理 第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。
根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。第六章 法律责任 第四十条
第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。第四十一条
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第七章 附则
第四十二条
已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数(级)。第四十四条本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7 7
号)同时废止。
第五篇:《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。
点击咨询 