第一篇:国家信息安全等级保护制度的贯彻与实施
国家信息安全等级保护制度的贯彻与实施
一、我国在信息安全保障工作中为什么要实行等级保护制度 随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施。这些基础信息网络和重要信息系统安全,已经严重关系国家安全和社会稳定,关系广大人民群众切身利益。当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重。一是针对基础信息网络和重要信息系统的违法犯罪持续上升。不法分子利用一些安全漏洞,使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。二是基础信息网络和重要信息系统安全隐患严重。由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,在操作系统、专用芯片和大型应用软件等方面不能自主可控,给我国的信息安全带来了深层的技术隐患。三是我国的信息安全保障工作基础还很薄弱。信息安全意识和安全防范能力薄弱,信息系统安全建设、监管缺乏依据和标准,安全保护措施和安全制度不落实,监管措施不到位。
面对当前信息安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁国家安全、社会稳定、经济发展,影响党的“十七大”和北京奥运会的胜利召开。1994年《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
实行信息安全等级保护是国际上通行的做法。
二、实行信息安全等级保护制度能够解决哪些主要问题 信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定、党的“十七大”胜利召开和北京奥运会成功举办的政治任务。通过开展信息安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的主要问题,充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。
信息安全等级保护是当今发达国家保护关键信息基础设施,保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。实施信息安全等级保护,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配臵,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
三、国家、有关部门和企业在信息安全等级保护工作中各自的责任和义务是什么
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全监管部门(包括公安机关、保密部门、国家密码工作部门)组织制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统实行分等级安全保护,对等级保护工作的实施进行监督、管理。
信息系统主管部门依照《信息安全等级保护管理办法》及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
信息系统运营使用单位按照国家有关等级保护的管理规范和 技术标准开展等级保护工作,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。
信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展技术服务、技术支持等工作,并接受信息安全监管部门的监督管理。
四、近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作
按照《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定和《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件精神,公安部会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。
一是出台了等级保护规范标准。2004年9月联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),2007年6月联合出台了《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要 求》等50多个国标和行标,初步形成了信息安全等级保护标准体系。
二是开展了等级保护基础调查工作。2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)。2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。
三是开展了等级保护试点工作。2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
四是部署开展定级工作。2007年7月16日联合出台了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。2007年7月20日,四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信 息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省(区、市)公安厅(局)、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。
为加强信息安全等级保护工作的领导,公安部、国家保密局、国家密码管理局联合成立了由公安部张新枫副部长任组长的“国家信息安全等级保护协调小组”,办公室设在公安部公共信息网络安全监察局。
五、信息安全等级保护工作的主要流程包括哪些,开展等级保护工作的基本要求是什么
等级保护的主要流程包括六项内容:一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。二是评审。在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第四级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全保护等级专家评审委员会评审。三是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。四是系统安全建设。信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定 并落实安全管理制度。五是等级测评。信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。六是监督检查。公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
开展等级保护工作的基本要求是:各基础信息网络和重要信息系统运营使用单位和主管部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。
六、重要信息系统安全等级保护定级工作的主要步骤是什么 信息系统定级是等级保护工作的首要环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。信息系统安全级别定不准,系统备案、建设整改、等级测评等工作都失去了针对性。定级工作的主要步骤是:
第一步:开展摸底调查。按照《定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。第二步:确定定级对象。在全国重要信息系统安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键、最复杂的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象:一是应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有安全管理责任。三是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
第三步:初步确定信息系统等级。信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。
跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。由各行业统一规划、统一建设、统一安全保护策略的信息系统,应由各部委统一确定一个级别;由各部委 统一规划、分级建设、运行的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统定级出现较大偏差问题。
第四步:信息系统等级评审。在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。
第五步:信息系统等级的最终确定与审批。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
第六步:备案。第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成为标志。基础信息网络和重要信息系统的定级、备案工作9月底前完成。第七步:备案审核。受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时,应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的,应颁发信息系统安全等级保护备案证明。发现定级不准的,通知备案单位重新审核确定。
第八步:及时总结并提交总结报告。各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,及时总结定级工作经验,形成定级工作总结报告,并于10月中旬报送公安部。
七、定级工作完成后需要开展哪些工作
一是开展安全建设和整改。信息系统定级、备案工作完成后,运营使用单位应按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,制定并落实符合本系统安全保护等级要求的安全管理制度。
二是开展等级测评。信息系统建设、整改完成后,运营使用单位或者其主管部门选择符合《管理办法》规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
三是开展自查。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行 自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。
八、开展安全等级保护工作依据的主要标准有哪些 信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作。为保障全面实施信息安全等级保护制度,必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力,多年攻关,目前,已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系,基本能够满足国家信息安全等级保护制度全面实施的需求。《管理办法》规定了信息系统运营使用单位在等级保护工作中按照或参照国家、行业技术标准开展系统定级、建设、整改、测评等工作。鼓励重要行业根据行业特点制定等级保护行业标准。
1、《计算机信息系统安全保护等级划分准则》(GB17859-1999)是强制性国标,从技术法规角度对信息系统安全保护划分了五级。是开展等级保护工作的基础性标准,是信息安全等级保护系列标准编制、系统建设与管理、产品研发、监督检查的科学技术基础和依据。
2、《信息系统安全等级保护实施指南》是信息系统安全等级保护实施的过程控制标准,规范了信息系统安全等级保护的实施各阶段内容和过程控制问题。
3、《信息系统安全等级保护定级指南》是信息系统安全保护等级确定标准,属于管理规范,规范了信息系统安全保护等级的定级方法。
4、《信息系统安全等级保护基本要求》(国标报批稿试用,全国信息安全标准化技术委员会文件 信安字[2007]12号)。是以GB17859为基础的分等级信息系统的安全建设和管理系列标准之一,是现阶段五个级别的信息系统的基本安全保护技术和管理要求,提出了各级信息系统应当具备的基本安全保护能力和技术与管理措施,该标准需与《信息安全技术 系统安全等级保护通用安全技术要求》GB/T20271-2006《信息安全技术 操作系统安全技术要求》GB/T20272-2006、《信息安全技术 操作系统安全评估准则》GB/T20009-2005、《信息安全技术 数据库管理系统安全技术要求》GB/T20273-2006、《信息安全技术 数据库管理系统安全评估准则》GB/T20009-2005、《信息安全技术 网络基础安全技术要求》GB/T20270-2006等安全等级保护系列标准配合使用,规范、指导信息系统安全等级保护整改建设工作。
5、《信息安全技术 服务器安全技术要求》GB/T20273-2006和《信息安全技术 终端计算机系统技术要求》GA/T672-2006是信息系统关键设备安全等级保护标准,规范和解决信息系统主机和终端安全等级保护问题。
6、《信息安全技术 系统安全等级防护工程管理要求》GB/T20282-2006是信息系统安全等级保护管理标准之一,规范信息系统安全等级保护方案技术集成和工程实施过程控制问题。《信 息安全技术 系统安全等级保护管理要求》GB/T20269-2006是信息系统安全等级保护管理标准,规范信息系统生命周期的安全等级保护技术和相关人员问题的管理工作。《信息安全技术 系统安全等级保护测评准则》和《信息安全技术 系统安全等级保护测评指南》即将出台,规范了信息系统安全等级保护测评工作。
九、公安机关组织开展信息安全等级保护中的职责任务是什么
《中华人民共和国警察法》第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。组织开展信息安全等级保护工作是公安机关在信息网络领域开展的面向全社会的管理监察工作,是公安机关在社会信息化条件的一项新的职责。实施信息安全等级保护是公安机关依法保障重要信息系统安全的重要手段。《人民警察法》和《中华人民共和国计算机信息系统安全保护条例》规定了公安机关负责监督管理信息系统特别是重点领域信息系统安全保护工作。具体职责是:组织、指导信息系统运营使用单位和主管部门开展信息安全等级保护工作;监督、检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况。
十、公安机关如何对实施信息安全等级保护进行监督管理 一是指导定级。指导信息系统运营使用单位及其主管部门科学、合理地确定定级对象,准确确定信息系统安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止忽视安全定级偏低。二是受理备案。对备案单位提交的备案材料进行完整性审核和定级准确性审核,对定级不准确的信息系统运行使用单位提出整改意见;对符合等级保护要求的第二级以上信息系统,颁发信息系统安全保护等级备案证明。
三是定期检查。定期对三级以上重要信息系统的安全保护状况进行检查。检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况。发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,通知运营使用单位进行整改。
第二篇:国家信息安全等级保护制度的贯彻与实施
国家信息安全等级保护实施计划
定级工作的主要步骤:
第一步:开展摸底调查。按照《定级工作通知》确定的定级范围,对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。
第二步:确定定级对象。应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认单位对所定级系统具有安全管理责任。三是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
第三步:初步确定信息系统等级。信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。
第四步:信息系统等级评审。在信息系统安全保护等级确定过程中,聘请专家进行咨询评审,并出具定级评审意见。
第五步:信息系统等级的最终确定与审批。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。
第六步:备案。第二级以上信息系统,在安全保护等级确定后30日内,到深圳网监办理备案手续。
定级工作完成后需要开展的工作:
一是开展安全建设和整改。信息系统定级、备案工作完成后,按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,制定并落实符合本系统安全保护等级要求的安全管理制度。
二是开展等级测评。信息系统建设、整改完成后,选择符合规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。
三是开展自查。定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,应当制定方案进行整改。
开展安全等级保护工作依据的主要标准: 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》
《信息安全技术 系统安全等级保护通用安全技术要求》 《信息安全技术 操作系统安全技术要求》 《信息安全技术 操作系统安全评估准则》 《信息安全技术
数据库管理系统安全技术要求》 《信息安全技术 数据库管理系统安全评估准则》 《信息安全技术 网络基础安全技术要求》
《信息安全技术 服务器安全技术要求》 《信息安全技术 终端计算机系统技术要求》
《信息安全技术
系统安全等级防护工程管理要求》 《信息安全技术
系统安全等级保护管理要求》
第三篇:国家信息安全等级保护制度
《信息安全等级保护管理办法》 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。2 制定目的 规范信息安全等级保护管理。文号
公通字200743号文 第一章 总则 第一条
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。第二条
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。第三条
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造 1
成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理 第九条
信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。第十条
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。第十一条
信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。第十三条
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十六条
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。第十八条
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民 共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。第二十三条
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平
总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。第三十二条
涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。第五章
信息安全等级保护的密码管理 第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。
根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。第六章 法律责任 第四十条
第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。第四十一条
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第七章 附则
第四十二条
已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数(级)。第四十四条本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7 7
号)同时废止。
第四篇:国家信息安全等级保护制度介绍
CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台 的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。
四、信息安全等级保护等级划分和监管方式
(一)信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
(二)信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
五、信息安全等级保护制度的原则
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安 CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
(五)依法履行备案手续。信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门应当在系统投入运行后(新建系统)或确定等级后(已运营的系统)30日内到公安机关办理备案手续;鼓励第一级和第五级的信息系统到公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨地区或全省统一联网运行的信息系统由省级主管部门组织向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局备案。涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,到保密工作部门备案。
(六)加强安全监督检查。公安机关应当会同有关部门加强对信息系统的监督检查,对未依法履行定级、备案手续的单位,督促其限期改正。发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。对安全措施不符合要求的,要指导其落实整改措施。各级保密工作部门加强对涉密信息系统安全等级保护工作的指导、监督和检查。国家密码管理部门加强对信息安全等级保护密码管理。
(七)建设技术支撑体系。省公安厅会同有关部门根据《管理办法》建立健全管理制度,向社会推荐一批符合要求的安全专用产品、安全测评机构。组织开展继续教育工作,加强对安全专业技术人员的培训,提高信息系统运营使用单位和主管部门以及安全专用产品研发机构、安全服务机构安全专业技术人员的技术和法律知识水平。
(八)健全长效工作机制。在信息安全等级保护职能部门、信息系统主管部门、运营使用单位间建立畅通的联络机制。落实信息系统主管部门对运营使用单位的监督指导责任,建立职能部门、主管部门对信息系统的定期监督检查机制。争取省人大和省政府法制办公室支持,制订《广东省计算机信息系统安全保护条例》及实施细则,使信息安全等级保护工作获得地方立法的支撑。
第五篇:国家信息安全等级保护制度第三级要求
CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
1.1.1.4 防雷击(G3)本项要求包括: a)机房建筑应设置避雷装置;b)应设置防雷保安器,防止感应雷;c)机房应设置交流电源地线。7.1.1.5 防火(G3)本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。1.1.1.6 防水和防潮(G3)本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。1.1.1.7 防静电(G3)本项要求包括: a)主要设备应采用必要的接地防静电措施;b)机房应采用防静电地板。1.1.1.8 温湿度控制(G3)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A3)本项要求包括: CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
1.1.2.2 访问控制(G3)本项要求包括: a)应在网络边界部署访问控制设备,启用访问控制功能;b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制;d)应在会话处于非活跃一定时间或会话结束后终止网络连接;e)应限制网络最大流量数及网络连接数;f)重要网段应采取技术手段防止地址欺骗;g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h)应限制具有拨号访问权限的用户数量。1.1.2.3 安全审计(G3)本项要求包括: a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应能够根据记录数据进行分析,并生成审计报表;d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。1.1.2.4 边界完整性检查(S3)本项要求包括: a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
本项要求包括: a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。1.1.3.2 访问控制(S3)本项要求包括: a)应启用访问控制功能,依据安全策略控制用户对资源的访问;b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c)应实现操作系统和数据库系统特权用户的权限分离;d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e)应及时删除多余的、过期的帐户,避免共享帐户的存在。f)应对重要信息资源设置敏感标记;g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;7.1.3.3 安全审计(G3)本项要求包括: a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;b)应根据安全策略设置登录终端的操作超时锁定;c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;d)应限制单个用户对系统资源的最大或最小使用限度;e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。7.1.4 应用安全 7.1.4.1 身份鉴别(S3)本项要求包括: a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;c)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
7.1.4.2 访问控制(S3)本项要求包括: a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;c)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;d)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e)应具有对重要信息资源设置敏感标记的功能;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
7.1.4.8 软件容错(A3)本项要求包括: a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
7.1.4.9 资源控制(A3)本项要求包括: a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;b)应能够对系统的最大并发会话连接数进行限制;c)应能够对单个帐户的多重并发会话进行限制;d)应能够对一个时间段内可能的并发会话连接数进行限制;e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警;g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
7.1.5 数据安全及备份恢复 7.1.5.1 数据完整性(S3)本项要求包括: a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
7.1.5.2 数据保密性(S3)本项要求包括: CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
c)应组织相关人员对制定的安全管理制度进行论证和审定;d)安全管理制度应通过正式、有效的方式发布;e)安全管理制度应注明发布范围,并对收发文进行登记。7.2.1.3 评审和修订(G3)本项要求包括: a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
7.2.2 安全管理机构 7.2.2.1 岗位设置(G3)本项要求包括: a)应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;c)应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;d)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。7.2.2.2 人员配备(G3)本项要求包括: a)应配备一定数量的系统管理员、网络管理员、安全管理员等;b)应配备专职安全管理员,不可兼任;c)关键事务岗位应配备多人共同管理。7.2.2.3 授权和审批(G3)本项要求包括: a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
a)应指定或授权专门的部门或人员负责人员录用;b)应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;c)应签署保密协议;d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。7.2.3.2 人员离岗(G3)本项要求包括: a)应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;c)应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
7.2.3.3 人员考核(G3)本项要求包括: a)应定期对各个岗位的人员进行安全技能及安全认知的考核;b)应对关键岗位的人员进行全面、严格的安全审查和技能考核;c)应对考核结果进行记录并保存。7.2.3.4 安全意识教育和培训(G3)本项要求包括: a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;d)应对安全教育和培训的情况和结果进行记录并归档保存。7.2.3.5 外部人员访问管理(G3)本项要求包括: a)应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
b)应确保密码产品采购和使用符合国家密码主管部门的要求;c)应指定或授权专门的部门负责产品的采购;d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
7.2.4.4 自行软件开发(G3)本项要求包括: a)应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;c)应制定代码编写安全规范,要求开发人员参照规范编写代码;d)应确保提供软件设计的相关文档和使用指南,并由专人负责保管;e)应确保对程序资源库的修改、更新、发布进行授权和批准。7.2.4.5 外包软件开发(G3)本项要求包括: a)应根据开发需求检测软件质量;b)应在软件安装之前检测软件包中可能存在的恶意代码;c)应要求开发单位提供软件设计的相关文档和使用指南;d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。7.2.4.6 工程实施(G3)本项要求包括: a)应指定或授权专门的部门或人员负责工程实施过程的管理;b)应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程;c)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
7.2.4.7 测试验收(G3)CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
a)在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;b)应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评;d)应指定或授权专门的部门或人员负责等级测评的管理。7.2.4.11 安全服务商选择(G3)本项要求包括: a)应确保安全服务商的选择符合国家的有关规定;b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;c)应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。
7.2.5 系统运维管理 7.2.5.1 环境管理(G3)本项要求包括: a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定;d)应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。
7.2.5.2 资产管理(G3)本项要求包括: a)应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;e)应确保信息处理设备必须经过审批才能带离机房或办公地点。7.2.5.5 监控管理和安全管理中心(G3)本项要求包括: a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
7.2.5.6 网络安全管理(G3)本项要求包括: a)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;b)应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;c)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;e)应实现设备的最小服务配置,并对配置文件进行定期离线备份;f)应保证所有与外部系统的连接均得到授权和批准;g)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。7.2.5.7 系统安全管理(G3)本项要求包括: CHISC.NET国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告;c)应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;d)应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
7.2.5.11 备份与恢复管理(G3)本项要求包括: a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;b)应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;d)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;e)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
7.2.5.12 安全事件处置(G3)本项要求包括: a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;b)应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;d)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;e)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的CHISC.NET-国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台
所有文件和记录均应妥善保存;f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
7.2.5.13 应急预案管理(G3)本项要求包括: a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;e)应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。