第一篇:信息安全等级保护测评工作管理规范(试
信息安全等级保护测评工作管理规范
(试行)
第一条 为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。
第二条 本规范适用于等级测评机构和人员及其测评活动的管理。
第三条 等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条 省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条 等级测评机构应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除
外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上,无违法记录;
(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(九)对国家安全、社会秩序、公共利益不构成威胁;
(十)应当具备的其他条件。
第六条 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动:
(一)影响被测评信息系统正常运行,危害被测评信息系统安全;
(二)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;
(三)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
(四)未按规定格式出具等级测评报告;
(五)非授权占有、使用等级测评相关资料及数据文件;
(六)分包或转包等级测评项目;
(七)信息安全产品开发、销售和信息系统安全集成;
(八)限定被测评单位购买、使用其指定的信息安全产品;
(九)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
第七条 申请成为等级测评机构的单位(以下简称“申请单位”)应当向省级以上等保办申请。
国家信息安全等级保护工作协调小组办公室负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请。省级等保办负责受理本省(区、直辖市)申请单位提出的申请。
申请单位申请时,等保办应当告知测评机构的条件、从事的业务范围以及禁止行为等内容,使申请单位清楚了解测评机构的责任和义务。
第八条 知悉有关规定并愿意成为测评机构的申请单位,可以向省级以上等保办提出书面申请,如实填写《信息安全等级保护测评机构申请表》。
申请单位的人员应当如实填写人员基本情况表,并承诺对信息的真实性和有效性负责。
省级以上等保办对申请单位进行初审,初审通过的,应当告知申请单位到评估中心进行测评能力评估。
第九条 评估中心按照有关标准规范,在30个工作日内完成对申请单位的材料审查和现场核查工作。
测评人员参加由评估中心举办的专门培训、考试并取得评估中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。
评估中心综合评估申请单位的测评能力,测评能力评估合格的,出具评估报告。
第十条 省级以上等保办组织专家对测评能力评估合格的申请单位及其测评人员进行审核。
第十一条 通过审核的,由省级以上等保办向申请单位颁发信息安全等级保护测评机构推荐证书,并向社会公布测评机构推荐目录。
省级等保办将测评机构推荐目录报国家信息安全等级保护工作协调小组办公室,国家信息安全等级保护工作协调小组办公室汇总公布《全国信息安全等级保护测评机构推荐目录》。
第十二条 测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告,根据信息系统规模和所投入的成本,合理收取测评服务费用。
第十三条 省级以上等保办每年对所推荐的测评机构进行检查。检查时,测评机构应提交《信息安全等级保护测评机构检查表》。
第十四条 测评机构名称、法人等事项发生变化的,或者其等级测评师变动的,测评机构应在30日内到受理申请的省级以上等保办办理变更手续。
第十五条 测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第十六条 测评机构或者其测评人员违反本规范第六条规定之一或年度检查未通过的,由省级以上等保办责令其限期改正;逾期不改正的,给予警告,直至取消测评机构的推荐证书或等级测评师证书,并向社会公告;造成严重损害的,由相关部门依照有关法律、法规予以处理。
第十七条 测评机构或者测评人员违反本规范的规定,给被测评单位造成损失的,应当依法承担法律责任。
第十八条 本规范由国家信息安全等级保护工作协调小组办公室负责解释。
第十九条 本规范中省级以上含省级。
第二十条 本规范自发布之日起施行。
第二篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第三篇:临沂中医医院信息安全等级保护测评项目
临沂市中医医院信息安全等级保护测评项目
集中竞价采购须知
为了公开、公平、公正地集中竞价采购,本着合理、竞争、经济的原则,我院拟对本次采购活动参照招标形式进行集中竞价,相关事项如下:
第一部分
项目要求
一、项目背景
为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,在全面了解临沂市中医院现有信息化现况的基础上,开展信息系统安全等级保护测评工作。通过本次工作,发现信息系统中存在的安全风险,分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况,完善工作制度,提出安全建设加固建议。切实加强信息安全防范水平,提高系统抵御风险的能力。
二、项目目标、内容
按照国家等级保护相关标准和要求,对其HIS、电子病历系统(三级)、PACS和网站(二级)安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,完成等级保护测评报告,并提供后续检测服务。
三、项目实施参照法律法规及标准 《网络安全法》
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号); 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)。
《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术
信息系统安全等级保护实施指南》 《信息安全技术
信息系统安全等级保护测评要求》 《信息安全技术
信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006) 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006) 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006) 《信息安全技术 服务器技术要求》(GB/T 21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006) 《信息安全技术 信息系统安全管理要求》(GB/T20269-2006) 《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006) GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
四、项目内容
1.等级测评
通过详细的系统调研,开展对其HIS、LIS系统(三级)、PACS和网站(二级)的等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。
测评的内容包括但不限于以下内容:
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(1)、物理安全
根据临沂市中医院信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。(2)、网络安全
根据临沂市中医院信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)、主机安全
主机安全现场测评包括对临沂市中医院信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。(4)、应用安全
应用安全现场测评包括对临沂市中医院信息系统的测评,测评内容包括“身份鉴
别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。(5)、数据安全及备份恢复
临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。(6)、安全管理制度
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。(7)、安全管理机构
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。(8)、人员安全管理
根据现场安全测评记录,针对临沂市中医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。(9)、系统建设管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。(10)、系统运维管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项待整改完毕后,进行结果确认,完成信息安全等级保护测评,出具测评报告,2.安全管理体系咨询
协助建立符合等级保护要求的信息安全管理体系,包含信息安全方针、信息安全策略、运行管理制度和运维管理制度。并参照国际标准体系ISO 27001和ISO 分析、整体分析,给出差距分析报告,并给出整改建议方案。并将测评报告报当地公安机关备案。
20000制定相应流程,促进临沂市中医院信息安全管理工作。
3.安全监测
提供门户网站7*24小时网站安全监测,对网站页面挂马、篡改等事件实时监测,发现问题及时通报相关人员,并安排人员及时处理。
4.应急支援
服务期内提供不限次数的应急支援服务,针对发生的事件协助分析事件原因,查找问题,并提供安全加固建议。
5.安全培训
组织技术培训,对临沂市中医院的技术人员进行等级保护、安全技术和项目部署要求等内容培训。技术培训应从实际应用出发,涵盖网络安全的如下方面: 基础设施运行安全培训、网络安全纵深防御体系培训、操作系统安全加固技术培训、应用系统渗透测试检测与加固培训、数据库安全管理培训、27001安全管理体系培训等。
6.信息安全风险评估
按照GB-T20984-2007信息安全风险评估规范标准和要求,对信息系统进行风险评估,明确信息系统安全风险,提出合理的、满足等级保护要求的总体建设和管理规划,并制定安全实施计划,以指导后续的信息系统安全建设工程实施。
五、成果交付
该项目提交的文档至少包括如下文件:
1、《临沂市中医院XX信息系统安全等级保护测评方案》
2、《临沂市中医院XX系统信息安全等级保护测评报告》
3、《临沂市中医院XX信息安全管理制度汇编》
4、《信息安全风险评估报告》
5、《信息安全整改方案》
第二部分
投标方资质要求
1、《企业法人营业执照》副本复印件(盖章)。
2、法定代表人身份证明书或法人授权委托书、身份证复印件。
3、投标公司具有信息系统安全等级保护测评的国家相关资质,有专业技术检测项目组,其中有高级测评师及中级测评师,参与技术检测的人员均为中国公民,无违法犯罪记录并签订安全保密协议。
4、同类项目近几年的业绩情况及客户名单。
第三部分标书、报价方式
1、标书分正本1份,副本2份,并在标书标书袋上标明“正本”、“副本”字样。均固定装订成一册,不能活页装订或散装,盖单位公章和法定代表人印签后递交医院招标办。
第四部分报送时间、地点
标书报送时间截止2018年1月30日16时。(每日8:00~17:00,周六、周日除外)
标书报送地点:临沂市中医医院门诊七楼招标办。
第四篇:《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。
第五篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。