亚洲成人av婷婷_国产农村艳妇AⅤ传媒_欧美性爱午夜福利网站_91黄色片在线观看_干进去了视频在线观看_亚洲成年影片免费_日韩无码av一区二区三区_妺妺窝人体色www在线_亚洲熟女小黄视频_国产美女免费永久视频

安全資訊

天柱山旅游職業(yè)學(xué)院等級(jí)保護(hù)測(cè)評(píng)及網(wǎng)絡(luò)安全整改工作啟動(dòng)

安徽天柱山旅游職業(yè)學(xué)院等級(jí)保護(hù)測(cè)評(píng)及安全整改工作啟動(dòng)

潛山市公安局網(wǎng)安大隊(duì)民警受邀參加天柱山旅游職業(yè)學(xué)院等四家等保單位的信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作啟動(dòng)會(huì)。
會(huì)上等保測(cè)評(píng)機(jī)構(gòu)介紹了本次測(cè)評(píng)工作的各環(huán)節(jié)后,該局網(wǎng)安大隊(duì)民警向各單位強(qiáng)調(diào)了國家對(duì)網(wǎng)絡(luò)安全的重視,針對(duì)信息系統(tǒng)安全等級(jí)保護(hù)出臺(tái)的相關(guān)的政策法規(guī)和行業(yè)規(guī)范,強(qiáng)調(diào)了等級(jí)保護(hù)測(cè)評(píng)工作對(duì)單位信息安全的重要性,要求各相關(guān)部門要重視此項(xiàng)工作,積極配合完成等保測(cè)試工作,以及需要各相關(guān)部門進(jìn)行配合的工作。


一、安全建設(shè)整改概述

1、工作目標(biāo)

網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改的工作目標(biāo)可概括為:利用三年時(shí)間,開展三項(xiàng)重點(diǎn)工作,實(shí)現(xiàn)五方面目標(biāo)。

① 三年時(shí)間。由于一些重要行業(yè)信息系統(tǒng)較多,受資金、人員等條件限制,考慮實(shí)際情況,全國已定級(jí)信息系統(tǒng)安全建設(shè)整改工作總體上用三年時(shí)間完成。各行業(yè)主管(監(jiān)管)部門應(yīng)按照時(shí)間要求,根據(jù)本行業(yè)信息系統(tǒng)數(shù)量和實(shí)際情況,合理部署總體工作進(jìn)度。

② 三項(xiàng)重點(diǎn)工作。通過組織開展安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)等三項(xiàng)重點(diǎn)工作,落實(shí)制度的各項(xiàng)要求。

③ 五方面目標(biāo)。通過開展安全建設(shè)整改工作,達(dá)到五方面的目標(biāo):一是信息系統(tǒng)安全管理水平明顯提高,二是信息系統(tǒng)安全防范能力明顯增強(qiáng),三是信息系統(tǒng)安全隱患和安全事故明顯減少,四是有效保障信息化健康發(fā)展,五是有效維護(hù)國家安全、社會(huì)秩序和公共利益。

2、工作內(nèi)容

各單位、各部門在主旨開展信息系統(tǒng)定級(jí)時(shí),是按照有關(guān)標(biāo)準(zhǔn)要求,對(duì)每個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行定級(jí),但在開展信息系統(tǒng)安全建設(shè)整改時(shí),可以采取“分區(qū)、分域”的方法,按照“整改保護(hù)”的原則進(jìn)行整改方案設(shè)計(jì),對(duì)信息系統(tǒng)進(jìn)行加固改造,缺什么補(bǔ)什么。對(duì)于新建系統(tǒng),在規(guī)劃設(shè)計(jì)時(shí)應(yīng)確定信息系統(tǒng)安全保護(hù)等級(jí),按照信息系統(tǒng)等級(jí),同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施。

(1)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理制度建設(shè)

① 開展安全管理制度建設(shè)的依據(jù)

按照《管理辦法》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求,建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度。

② 開展安全管理制度建設(shè)的內(nèi)容

一是落實(shí)責(zé)任制。成立工作領(lǐng)導(dǎo)機(jī)構(gòu),明確工作的主管領(lǐng)導(dǎo)。成立專門的管理部門或落實(shí)責(zé)任部門,確定安全崗位,落實(shí)專職人員兼職人員。明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé)任部門和有關(guān)人員的責(zé)任。

二是落實(shí)人員安全管理制度。制定人員錄用、離崗、考核、教育培訓(xùn)等管理制度,落實(shí)管理的具體措施。對(duì)安全崗位人員要進(jìn)行安全審查,定期進(jìn)行培訓(xùn)、考核和安全保密教育,提高安全崗位人員的專業(yè)水平,逐步實(shí)現(xiàn)安全崗位人員持證上崗。

三是落實(shí)系統(tǒng)建設(shè)管理制度。建立信息系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理制度,明確工作內(nèi)容、工作方法、工作流程和工作要求。

四是落實(shí)系統(tǒng)運(yùn)維管理制度。建立機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、、系統(tǒng)安全、惡意代碼防范、保護(hù)、備份與恢復(fù)、事件處置等管理制度,制定應(yīng)急預(yù)案并定期開展演練,采取相應(yīng)的管理技術(shù)措施和手段,確保系統(tǒng)運(yùn)維管理制度的有效落實(shí)。

③ 開展安全管理制度建設(shè)的要求

在具體實(shí)施過程中,可逐項(xiàng)建立管理制度,也可以進(jìn)行整合,形成完善的安全管理體系。要根據(jù)具體情況,結(jié)合系統(tǒng)管理實(shí)際,不斷健全完善管理制度。同時(shí),將管理制度與管理技術(shù)措施有機(jī)結(jié)合,確保安全管理制度得到有效落實(shí)。

建立并落實(shí)監(jiān)督檢查機(jī)制。備案單位定期對(duì)各項(xiàng)制度的落實(shí)情況進(jìn)行自查,行業(yè)主管部門組織開展督導(dǎo)檢查,公安機(jī)關(guān)會(huì)同主管部門開展監(jiān)督檢查。

(2)開展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)

① 開展安全技術(shù)措施建設(shè)的依據(jù)

按照《管理辦法》、《基本要求》,參照《實(shí)施指南》、《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)安全工程管理要求》、《安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求,建設(shè)信息系統(tǒng)安全保護(hù)技術(shù)措施。

② 開展安全技術(shù)措施建設(shè)的內(nèi)容

結(jié)合行業(yè)特點(diǎn)和安全需求,制定符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案,開展技術(shù)措施建設(shè),落實(shí)相應(yīng)的物理安全、、主機(jī)安全、應(yīng)用安全和等安全保護(hù)技術(shù)措施。在信息系統(tǒng)安全技術(shù)建設(shè)整改中,可以采取“一個(gè)中心、三維防護(hù)”(即一個(gè)安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全和通信)的防護(hù)策略,實(shí)現(xiàn)相應(yīng)級(jí)別信息系統(tǒng)的安全保護(hù)技術(shù)要求,建立并完善信息系統(tǒng)綜合防護(hù)體系,提高信息系統(tǒng)的能力和水平。

③ 開展安全技術(shù)措施建設(shè)的要求

備案單位要開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析,確定信息系統(tǒng)安全技術(shù)建設(shè)整改需求,制定信息系統(tǒng)安全技術(shù)建設(shè)整改方案,組織實(shí)施信息系統(tǒng)安全建設(shè)整改工程,開展安全自查和等級(jí)測(cè)評(píng),及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在的安全隱患和威脅,進(jìn)一步開展安全建設(shè)整改工作。

3、工作流程

安全建設(shè)整改工作可以分為五步進(jìn)行。

第一步:落實(shí)負(fù)責(zé)安全建設(shè)整改工作的責(zé)任部門,由責(zé)任部門牽頭制定本單位和行業(yè)信息系統(tǒng)安全建設(shè)整改工作規(guī)劃,對(duì)安全建設(shè)整改工作進(jìn)行總體部署。

第二步:開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析,從管理和技術(shù)兩方面確定信息系統(tǒng)安全建設(shè)整改需求??梢砸罁?jù)《基本要求》等標(biāo)準(zhǔn),采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法,分析判斷目前所采取的安全保護(hù)措施與等級(jí)保護(hù)標(biāo)準(zhǔn)要求之間的差距,分析系統(tǒng)已發(fā)生的事件或事故,分析安全保護(hù)方面存在的問題,形成安全建設(shè)整改的需求并論證。

第三步:確定安全保護(hù)策略,制定信息系統(tǒng)安全建設(shè)整改方案。在安全需求分析的基礎(chǔ)上,進(jìn)行信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì),包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì),制定工程預(yù)算和工程實(shí)施計(jì)劃等,為后續(xù)安全建設(shè)整改工程實(shí)施提供依據(jù)。安全建設(shè)整改方案須經(jīng)專家評(píng)審論證,第三級(jí)(含)以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報(bào)公安機(jī)關(guān)備案,公安機(jī)關(guān)監(jiān)督檢查備案單位安全建設(shè)整改方案的實(shí)施。

第四步:開展信息系統(tǒng)安全建設(shè)整改工作,建立并落實(shí)安全管理制度,落實(shí)安全責(zé)任制,建設(shè)安全設(shè)施,落實(shí)安全措施;在實(shí)施安全建設(shè)整改過程中,需要加強(qiáng)投資風(fēng)險(xiǎn)控制、實(shí)施流程管理、進(jìn)度規(guī)劃控制、工程質(zhì)量控制和信息保密管理。

第五步:開展安全自查和等級(jí)測(cè)評(píng),及時(shí)發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅。制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項(xiàng)制度、措施的落實(shí)情況,并不斷完善。定期對(duì)信息系統(tǒng)安全狀況進(jìn)行自查,第三級(jí)信息系統(tǒng)每年自查一次,第四級(jí)信息系統(tǒng)每半年自查一次。經(jīng)自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的,應(yīng)當(dāng)進(jìn)一步開展整改工作。該流程如圖1所示。

圖1 信息系統(tǒng)整改工作流程

4、工作要求

目前,存在一些單位和部門尚未開展信息系統(tǒng)定級(jí)備案工作,存在漏定級(jí)、漏備案和定級(jí)不準(zhǔn)等情況,所以,各行業(yè)主管(監(jiān)管)部門應(yīng)在公安部指導(dǎo)下出臺(tái)行業(yè)信息系統(tǒng)定級(jí)制度意見和要求。先解決備案工作中存在的突出問題,在此基礎(chǔ)上開展安全整改工作。整改范圍如下:一是各單位、各部門要將已備案的第二級(jí)(含)以上信息系統(tǒng)納入安全建設(shè)整改的范圍。二是尚未開展定級(jí)備案的信息系統(tǒng),要先定級(jí)備案,再開展安全建設(shè)整改。三是新建系統(tǒng)要同步開展安全建設(shè)工作。在建設(shè)整改中,要落實(shí)如下工作要求。

(1)統(tǒng)一組織,加強(qiáng)領(lǐng)導(dǎo)

要按照“誰主管、誰負(fù)責(zé)”的原則,切實(shí)加強(qiáng)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo),完善工作機(jī)制。要結(jié)合各自實(shí)際,統(tǒng)一規(guī)劃和部署安全建設(shè)整改工作,制定安全建設(shè)整改工作實(shí)施方案。要落實(shí)責(zé)任部門、責(zé)任人員和安全建設(shè)整改經(jīng)費(fèi)。要利用多種形式,組織開展宣傳、培訓(xùn)工作。

(2)循序漸進(jìn),分步實(shí)施

信息系統(tǒng)主管部門可以結(jié)合本行業(yè)、本部門信息系統(tǒng)數(shù)量、等級(jí)、規(guī)模等實(shí)際情況,按照自上而下或先重點(diǎn)后一般的順序開展。重點(diǎn)行業(yè)、部門可以根據(jù)需要和實(shí)際情況,選擇有代表性的第二、三、四級(jí)信息系統(tǒng)先進(jìn)行安全建設(shè)整改和等級(jí)測(cè)評(píng)工作試點(diǎn)、示范,在總結(jié)經(jīng)驗(yàn)的基礎(chǔ)上全面推開。

(3)結(jié)合實(shí)際,制定規(guī)范

重點(diǎn)行業(yè)信息系統(tǒng)主管部門可以按照《基本要求》等國家標(biāo)準(zhǔn),結(jié)合行業(yè)特點(diǎn),確定《基本要求》的具體指標(biāo);在不低于基本要求的情況下,結(jié)合系統(tǒng)安全保護(hù)的特殊需求,在有關(guān)部門指導(dǎo)下制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則,指導(dǎo)本行業(yè)信息系統(tǒng)安全建設(shè)整改工作。

(4)認(rèn)真總結(jié),按時(shí)報(bào)送

要對(duì)定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改和自查等工作開展情況進(jìn)行年度總結(jié),于每年年底前報(bào)同級(jí)公安機(jī)關(guān)網(wǎng)安部門,各?。ㄗ灾螀^(qū)、直轄市)公安機(jī)關(guān)網(wǎng)安部門報(bào)公安部保衛(wèi)局。信息系統(tǒng)備案單位每半年要填寫《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)整改工作情況統(tǒng)計(jì)表》并報(bào)受理備案的公安機(jī)關(guān)。

5、整改效果

依據(jù)有關(guān)政策和標(biāo)準(zhǔn),通過組織開展安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng),落實(shí)制度的各項(xiàng)要求,使信息系統(tǒng)安全管理水平明顯提高,安全防范能力明顯增強(qiáng),安全隱患和安全事故明顯減少,有效保障信息化健康發(fā)展,維護(hù)、社會(huì)秩序和公共利益。其整改效果,按照等級(jí)要求如下。

第一級(jí)信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)具有抵御一般性攻擊的能力,防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力;系統(tǒng)遭到損害后,具有恢復(fù)系統(tǒng)主要功能的能力。

第二級(jí)信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力,抵抗一般的自然災(zāi)害的能力,防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力;具有檢測(cè)常見的攻擊行為,并對(duì)安全事件進(jìn)行記錄的能力;系統(tǒng)遭到損害后,具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。

第三級(jí)信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力,抵抗較為嚴(yán)重的自然災(zāi)害的能力,防范計(jì)算機(jī)病毒和惡意代碼危害的能力;具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力;具有對(duì)安全事件進(jìn)行響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力;對(duì)于服務(wù)保障性要求高的系統(tǒng),應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài);具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。

第四級(jí)信息系統(tǒng):經(jīng)過安全建設(shè)整改,信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對(duì)勢(shì)力有組織的大規(guī)模攻擊的能力,抵抗嚴(yán)重的自然災(zāi)害的能力,防范計(jì)算機(jī)病毒和惡意代碼危害的能力;具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力;具有對(duì)安全事件進(jìn)行快速響應(yīng)處置,并能夠追蹤安全責(zé)任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力;對(duì)于服務(wù)保障性要求高的系統(tǒng),應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài);具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。

二、如何整改安全管理制度

按照國家有關(guān)規(guī)定,依據(jù)《基本要求》,參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)規(guī)范要求,開展信息系統(tǒng)等級(jí)保護(hù)安全管理制度建設(shè)工作,如圖2所示。

圖2 安全管理制度建設(shè)工作內(nèi)容

1、落實(shí)網(wǎng)絡(luò)安全責(zé)任制

明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門,設(shè)立或明確領(lǐng)導(dǎo)機(jī)構(gòu),明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門。建立崗位和人員管理制度,根據(jù)職責(zé)分工,分別設(shè)置安全管理機(jī)構(gòu)和崗位,明確每個(gè)崗位的職責(zé)與任務(wù),落實(shí)安全管理責(zé)任制。建立安全教育和培訓(xùn)制度,對(duì)信息系統(tǒng)人員、管理人員、使用人員等定期進(jìn)行培訓(xùn)和考核,提高相關(guān)人員的安全意識(shí)和操作水平。具體依據(jù)《基本要求》中的“安全管理機(jī)構(gòu)”內(nèi)容,同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。

落實(shí)安全責(zé)任制的具體措施還應(yīng)參照?qǐng)?zhí)行相關(guān)管理規(guī)定。

2、開展安全管理現(xiàn)狀分析

在開展信息系統(tǒng)安全管理建設(shè)之前,通過開展信息系統(tǒng)安全管理現(xiàn)狀分析,查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問題,明確信息系統(tǒng)安全管理建設(shè)整改的需求。

可以采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法,分析判斷目前所采取的安全管理措施與等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距,分析系統(tǒng)已發(fā)生的事故或事件,分析安全管理方面存在的問題,形成安全管理建設(shè)整改的需求并論證。

3、制定安全管理制度

根據(jù)安全管理需求,確定安全管理目標(biāo)和安全策略,針對(duì)信息系統(tǒng)的各類管理活動(dòng),制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等,規(guī)范安全管理人員或操作人員的操作規(guī)程等,形成安全管理體系。

在制定安全管理制度是,要按照《管理辦法》、《基本要求》,參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求,建立健全并落實(shí)符合相應(yīng)等級(jí)要求的安全管理制度。主要內(nèi)容要求如下:制定責(zé)任制度,明確工作的主管領(lǐng)導(dǎo)、責(zé)任部門、人員及有關(guān)崗位的責(zé)任;制定人員安全管理制度,明確人員錄用、離崗、考核、教育培訓(xùn)等管理內(nèi)容;制定系統(tǒng)建設(shè)管理制度,明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理內(nèi)容;制定系統(tǒng)管理制度,明確機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、、系統(tǒng)安全、惡意代碼防范、保護(hù)、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項(xiàng)制度、措施的落實(shí)情況,并不斷完善。

安全管理體系規(guī)劃的核心思想是調(diào)整原有管理模式和管理策略,即從全局高度考慮整個(gè)信息系統(tǒng)制定安全管理目標(biāo)和統(tǒng)一的安全管理策略,又要從每個(gè)定級(jí)系統(tǒng)的實(shí)際等級(jí)、實(shí)際需求出發(fā),選擇和調(diào)整安全管理措施,最后形成統(tǒng)一的系統(tǒng)整體安全管理體系。

4、落實(shí)安全管理措施

(1)人員安全管理

人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過程,關(guān)鍵崗位簽署保密協(xié)議,對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn),對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。具體依據(jù)《基本要求》中的“人員安全管理”內(nèi)容,同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。

(2)系統(tǒng)運(yùn)維管理

① 環(huán)境和資產(chǎn)安全管理

明確環(huán)境(包括主機(jī)房、輔機(jī)房、辦公環(huán)境等)安全管理的責(zé)任部門或責(zé)任人,加強(qiáng)對(duì)人員出入、來訪人員的控制,對(duì)有關(guān)物理訪問、物品進(jìn)出和環(huán)境安全等方面作出規(guī)定。對(duì)重要區(qū)域設(shè)置門禁控制手段,或使用視頻監(jiān)控等措施。明確資產(chǎn)(包括介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)和信息等)安全管理的責(zé)任部門或責(zé)任人,對(duì)資產(chǎn)進(jìn)行分類、標(biāo)識(shí),編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體依據(jù)《基本要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容,同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。

② 設(shè)備和介質(zhì)安全管理

明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任部門或責(zé)任人,對(duì)信息系統(tǒng)的各種軟硬件設(shè)備采購、發(fā)放、領(lǐng)用、維護(hù)和維修等過程進(jìn)行控制,對(duì)介質(zhì)的存放、使用、維護(hù)和銷毀等方面作出規(guī)定,加強(qiáng)對(duì)涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。具體依據(jù)《基本要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容,同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。

③ 日常運(yùn)行維護(hù)

明確網(wǎng)絡(luò)、系統(tǒng)日常運(yùn)行維護(hù)的責(zé)任部門或責(zé)任人,對(duì)運(yùn)行管理中的日常操作、賬號(hào)管理、安全配置、日志管理、補(bǔ)丁升級(jí)、口令更新等過程進(jìn)行控制和管理,制訂相應(yīng)的管理制度和操作規(guī)程并落實(shí)執(zhí)行。具體依據(jù)《基本要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容,同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。

④ 集中安全管理

第三級(jí)(含)以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求,統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行,進(jìn)行安全機(jī)制的配置與管理,對(duì)設(shè)備安全配置、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等進(jìn)行管理,對(duì)與安全有關(guān)的信息進(jìn)行匯集與分析,對(duì)安全機(jī)制進(jìn)行集中管理。具體依據(jù)《基本要求》中的“系統(tǒng)管理”內(nèi)容,同時(shí)可以參照《安全設(shè)計(jì)技術(shù)要求》和《信息系統(tǒng)安全管理要求》等。

⑤ 事件處置與應(yīng)急響應(yīng)

按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定,確定事件的等級(jí)。結(jié)合等級(jí),制定事件分級(jí)應(yīng)急處置預(yù)案,明確應(yīng)急處置策略,落實(shí)應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門,建立應(yīng)急協(xié)調(diào)機(jī)制。落實(shí)安全事件報(bào)告制度,第三級(jí)(含)以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時(shí),運(yùn)營使用單位按照相應(yīng)預(yù)案開展應(yīng)急處置,并及時(shí)向受理備案的公安機(jī)關(guān)報(bào)告。組織應(yīng)急技術(shù)支撐力量和專家隊(duì)伍,按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)《基本要求》中的“系統(tǒng)管理”內(nèi)容,同時(shí)可以參照《事件分類分級(jí)指南》和《事件管理指南》等。

⑥ 災(zāi)難備份

要對(duì)第三級(jí)(含)以上信息系統(tǒng)采取災(zāi)難備份措施,防止重大事故、事件發(fā)生。識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等,制定數(shù)據(jù)的備份策略和恢復(fù)策略,建立備份與恢復(fù)管理相關(guān)的安全管理制度。具體依據(jù)《基本要求》中的“系統(tǒng)運(yùn)維管理”內(nèi)容和《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。

⑦ 安全監(jiān)測(cè)

開展信息系統(tǒng)實(shí)時(shí)安全監(jiān)測(cè),實(shí)現(xiàn)對(duì)物理環(huán)境、通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、用戶行為和業(yè)務(wù)應(yīng)用等的監(jiān)測(cè)和報(bào)警,及時(shí)發(fā)現(xiàn)設(shè)備故障、入侵、攻擊、誤用和誤操作等安全事件,以便及時(shí)對(duì)安全事件進(jìn)行響應(yīng)與處置。具體依據(jù)《基本要求》中的“系統(tǒng)管理”。

⑧ 其他安全管理

對(duì)系統(tǒng)運(yùn)行維護(hù)過程中的其他活動(dòng),如系統(tǒng)變更、密碼使用等進(jìn)行控制和管理。按國家密碼管理部門的規(guī)定,對(duì)信息系統(tǒng)中密碼和密鑰的使用進(jìn)行分級(jí)管理。

5、加強(qiáng)系統(tǒng)建設(shè)過程管理

制定系統(tǒng)建設(shè)相關(guān)的管理制度,明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法,并按照管理制度落實(shí)各項(xiàng)管理措施。

具體依據(jù)《基本要求》中的“系統(tǒng)建設(shè)管理”內(nèi)容。

6、定期組織安全自查

制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項(xiàng)制度、措施的落實(shí)情況,并不斷完善。定期對(duì)信息系統(tǒng)安全狀況進(jìn)行自查,第三級(jí)信息系統(tǒng)每年自查一次,第四級(jí)信息系統(tǒng)每半年自查一次。經(jīng)自查,信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的,應(yīng)當(dāng)進(jìn)一步開展整改。具體依據(jù)《基本要求》中的“安全管理機(jī)構(gòu)”內(nèi)容,同時(shí)可以參照《信息系統(tǒng)安全管理要求》等。信息系統(tǒng)安全管理建設(shè)整改工作完成后,安全管理方面的等級(jí)測(cè)評(píng)與安全技術(shù)方面的測(cè)評(píng)工作一并進(jìn)行。

三、如何整改安全技術(shù)措施

按照國家有關(guān)規(guī)定,依據(jù)《基本要求》,參照《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求,開展信息系統(tǒng)安全技術(shù)建設(shè)工作。工作流程如圖3所示。

圖3 技術(shù)措施建設(shè)工作

1、開展安全保護(hù)技術(shù)現(xiàn)狀分析

了解掌握信息系統(tǒng)現(xiàn)狀,分析信息系統(tǒng)的安全保護(hù)狀況,明確信息系統(tǒng)安全技術(shù)建設(shè)整改需求,為安全建設(shè)整改技術(shù)方案設(shè)計(jì)提供依據(jù)。

(1)信息系統(tǒng)現(xiàn)狀分析

了解掌握信息系統(tǒng)的數(shù)量和等級(jí)、所處的網(wǎng)絡(luò)區(qū)域以及信息系統(tǒng)所承載的業(yè)務(wù)應(yīng)用情況,分析信息系統(tǒng)的邊界、構(gòu)成和相互關(guān)聯(lián)情況,分析網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部區(qū)域、區(qū)域邊界以及軟、硬件資源等。具體可以參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》中“信息系統(tǒng)分析”的內(nèi)容。

(2)信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析

在開展信息系統(tǒng)安全技術(shù)建設(shè)整改之前,應(yīng)通過開展信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析,查找信息系統(tǒng)安全保護(hù)技術(shù)建設(shè)整改需要解決的問題,明確信息系統(tǒng)安全保護(hù)技術(shù)建設(shè)整改的需求。

可采取對(duì)照檢查、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)等方法,分析判斷目前所采取的安全技術(shù)措施與標(biāo)準(zhǔn)要求之間的差距,分析系統(tǒng)已發(fā)生的事件或事故,分析安全技術(shù)方面存在的問題,形成安全技術(shù)建設(shè)整改的基本安全需求。在滿足基本要求基礎(chǔ)上,可以結(jié)合行業(yè)特點(diǎn)和信息系統(tǒng)安全保護(hù)的特殊要求,提出特殊安全需求。具體可以參照《基本要求》、《測(cè)評(píng)要求》和《測(cè)評(píng)過程指南》等標(biāo)準(zhǔn)。

(3)安全需求論證和確定

安全需求分析工作完成后,將信息系統(tǒng)的安全管理需求與安全技術(shù)需求綜合形成安全需求報(bào)告。組織專家對(duì)安全需求進(jìn)行評(píng)審論證,形成評(píng)審論證意見。

2、設(shè)計(jì)安全技術(shù)建設(shè)整改方案

在安全需求分析的基礎(chǔ)上,開展信息系統(tǒng)安全建設(shè)整改方案設(shè)計(jì),包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì),制定工程預(yù)算和工程實(shí)施計(jì)劃等,為后續(xù)安全建設(shè)整改工程實(shí)施提供依據(jù)。

(1)確定安全技術(shù)策略,設(shè)計(jì)總體技術(shù)方案

① 確定安全技術(shù)策略

根據(jù)安全需求分析,確定安全技術(shù)策略,包括業(yè)務(wù)系統(tǒng)分級(jí)策略、數(shù)據(jù)信息分級(jí)策略、區(qū)域互連策略和信息流控制策略等,用以指導(dǎo)系統(tǒng)安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)。

② 設(shè)計(jì)總體技術(shù)方案

在進(jìn)行信息系統(tǒng)安全建設(shè)整改技術(shù)方案設(shè)計(jì)時(shí),應(yīng)以《基本要求》為基本目標(biāo),可以針對(duì)安全現(xiàn)狀分析發(fā)現(xiàn)的問題進(jìn)行加固改造,缺什么補(bǔ)什么;也可以進(jìn)行總體的安全技術(shù)設(shè)計(jì),將不同區(qū)域、不同層面的安全保護(hù)措施形成有機(jī)的安全保護(hù)體系,落實(shí)物理安全、、主機(jī)安全、應(yīng)用安全和等方面基本要求,最大程度發(fā)揮安全措施的保護(hù)能力。在進(jìn)行安全技術(shù)設(shè)計(jì)時(shí),可參考《安全設(shè)計(jì)技術(shù)要求》,從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面落實(shí)安全保護(hù)技術(shù)要求。

(2)安全技術(shù)方案詳細(xì)設(shè)計(jì)

① 物理安全設(shè)計(jì)

從安全技術(shù)設(shè)施和安全技術(shù)措施兩方面對(duì)信息系統(tǒng)所涉及的主機(jī)房、輔助機(jī)房和辦公環(huán)境等進(jìn)行設(shè)計(jì),設(shè)計(jì)內(nèi)容包括防震、防雷、防火、防水、防盜竊、防破壞、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面。設(shè)計(jì)是對(duì)采用的安全技術(shù)設(shè)施或安全技術(shù)措施的物理部署、物理尺寸、功能指標(biāo)、性能指標(biāo)等內(nèi)容提出具體設(shè)計(jì)參數(shù)。具體依據(jù)《基本要求》中的“”內(nèi)容,同時(shí)可以參照《信息系統(tǒng)技術(shù)要求》等。

② 通信網(wǎng)絡(luò)安全設(shè)計(jì)

對(duì)信息系統(tǒng)所涉及的通信網(wǎng)絡(luò),包括骨干網(wǎng)絡(luò)、城域網(wǎng)絡(luò)和其他通信網(wǎng)絡(luò)(租用線路)等進(jìn)行安全設(shè)計(jì),設(shè)計(jì)內(nèi)容包括通信過程數(shù)據(jù)完整性、數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面。通信設(shè)計(jì)涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計(jì),對(duì)技術(shù)實(shí)現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置參數(shù)等提出具體設(shè)計(jì)細(xì)節(jié)。具體依據(jù)《基本要求》中“”內(nèi)容,同時(shí)可以參照《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》等。

③ 區(qū)域邊界安全設(shè)計(jì)

對(duì)信息系統(tǒng)所涉及的區(qū)域進(jìn)行安全設(shè)計(jì),內(nèi)容包括對(duì)區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范和網(wǎng)絡(luò)設(shè)備自身保護(hù)等方面。區(qū)域邊界安全設(shè)計(jì)涉及所需采用的安全技術(shù)機(jī)制或安全技術(shù)措施的設(shè)計(jì),對(duì)技術(shù)實(shí)現(xiàn)機(jī)制、產(chǎn)品形態(tài)、具體部署形式、功能指標(biāo)、性能指標(biāo)和配置策略和參數(shù)等提出具體設(shè)計(jì)細(xì)節(jié)。具體依據(jù)《基本要求》中的“”內(nèi)容,同時(shí)可以參照《安全設(shè)計(jì)技術(shù)要求》、《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》等。

④ 主機(jī)系統(tǒng)安全設(shè)計(jì)

對(duì)信息系統(tǒng)涉及的和工作站進(jìn)行主機(jī)系統(tǒng)安全設(shè)計(jì),內(nèi)容包括或管理系統(tǒng)的選擇、安裝和安全配置,主機(jī)入侵防范、惡意代碼防范、資源使用情況監(jiān)控等。其中,安全配置細(xì)分為身份鑒別、訪問控制、安全審計(jì)等方面的配置內(nèi)容。具體依據(jù)《基本要求》中的“”內(nèi)容,同時(shí)可以參照《安全設(shè)計(jì)技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。

⑤ 應(yīng)用系統(tǒng)安全設(shè)計(jì)

對(duì)信息系統(tǒng)涉及的應(yīng)用系統(tǒng)軟件(含應(yīng)用/中間件平臺(tái))進(jìn)行安全設(shè)計(jì),設(shè)計(jì)內(nèi)容包括身份鑒別、訪問控制、安全標(biāo)記、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制等。具體依據(jù)《基本要求》中的“”內(nèi)容,同時(shí)可以參考《安全設(shè)計(jì)技術(shù)要求》、《信息系統(tǒng)通用安全技術(shù)要求》等。

⑥ 備份和恢復(fù)安全設(shè)計(jì)

針對(duì)信息系統(tǒng)的業(yè)務(wù)和系統(tǒng)服務(wù)連續(xù)性進(jìn)行安全設(shè)計(jì),設(shè)計(jì)內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、備用基礎(chǔ)設(shè)施以及相關(guān)技術(shù)設(shè)施。針對(duì)業(yè)務(wù)的數(shù)據(jù)備份系統(tǒng)可考慮數(shù)據(jù)備份的范圍、時(shí)間間隔、實(shí)現(xiàn)技術(shù)與介質(zhì)以及數(shù)據(jù)備份線路的速率以及相關(guān)通信設(shè)備的規(guī)格和要求;針對(duì)信息系統(tǒng)服務(wù)連續(xù)性的安全設(shè)計(jì)可考慮連續(xù)性保證方式(設(shè)備冗余、系統(tǒng)級(jí)冗余直至遠(yuǎn)程集群支持)與實(shí)現(xiàn)細(xì)節(jié),包括相關(guān)的基礎(chǔ)設(shè)施支持、冗余/集群機(jī)制的選擇、硬件設(shè)備的功能/性能指標(biāo)以及軟硬件的部署形式與參數(shù)配置等。具體依據(jù)《基本要求》中“和備份恢復(fù)”內(nèi)容,同時(shí)可以參考《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》等。

(3)建設(shè)經(jīng)費(fèi)預(yù)算和工程實(shí)施計(jì)劃

① 建設(shè)經(jīng)費(fèi)預(yù)算

根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的經(jīng)費(fèi)預(yù)算,包括產(chǎn)品名稱、型號(hào)、配置、數(shù)量、單價(jià)、總價(jià)和合計(jì)等,同時(shí)應(yīng)包括集成費(fèi)用、等級(jí)測(cè)評(píng)費(fèi)用、服務(wù)費(fèi)用和管理費(fèi)用等。對(duì)于跨年度的安全建設(shè)整改或安全改建,提供分年度的經(jīng)費(fèi)預(yù)算。

② 工程實(shí)施計(jì)劃

根據(jù)信息系統(tǒng)的安全建設(shè)整改內(nèi)容提出詳細(xì)的工程實(shí)施計(jì)劃,包括建設(shè)內(nèi)容、工程組織、階段劃分、項(xiàng)目分解、時(shí)間計(jì)劃和進(jìn)度安排等。對(duì)于跨年度的安全建設(shè)整改或安全改建,要對(duì)安全建設(shè)整改方案明確的主要安全建設(shè)整改內(nèi)容進(jìn)行適當(dāng)?shù)捻?xiàng)目分解,比如分解成機(jī)房安全改造項(xiàng)目、網(wǎng)絡(luò)安全建設(shè)整改項(xiàng)目、系統(tǒng)平臺(tái)和應(yīng)用平臺(tái)安全建設(shè)整改項(xiàng)目等,分別制定中期和短期的實(shí)施計(jì)劃,短期內(nèi)主要解決目前急迫和關(guān)鍵的問題。

③ 方案論證和備案

將信息系統(tǒng)安全建設(shè)整改技術(shù)方案與安全管理體系規(guī)劃共同形成安全建設(shè)整改方案。組織專家對(duì)安全建設(shè)整改方案進(jìn)行評(píng)審論證,形成評(píng)審意見。第三級(jí)(含)以上信息系統(tǒng)安全建設(shè)整改方案應(yīng)報(bào)公安機(jī)關(guān)備案,并組織實(shí)施安全建設(shè)整改工程。

3、加強(qiáng)安全建設(shè)整改工程的實(shí)施和管理

(1)工程實(shí)施和管理

安全建設(shè)整改工程實(shí)施的組織管理工作包括落實(shí)安全建設(shè)整改的責(zé)任部門和人員,保證建設(shè)資金足額到位,選擇符合要求的安全建設(shè)整改服務(wù)商,采購符合要求的產(chǎn)品,管理和控制安全功能開發(fā)、集成過程的質(zhì)量等方面。按照《信息系統(tǒng)安全工程管理要求》中有關(guān)資格保障和組織保障等要求組織管理安全建設(shè)整改工程。實(shí)施流程管理、進(jìn)度規(guī)劃控制和工程質(zhì)量控制可參照《信息系統(tǒng)安全工程管理要求》中第 8、9、10 章提出的工程實(shí)施、項(xiàng)目實(shí)施和安全工程流程控制要求,實(shí)現(xiàn)相應(yīng)等級(jí)的工程目標(biāo)和要求。

(2)工程監(jiān)理和驗(yàn)收

為保證建設(shè)工程的安全和質(zhì)量,第二級(jí)以上信息系統(tǒng)安全建設(shè)整改工程可以實(shí)施監(jiān)理。監(jiān)理內(nèi)容包括對(duì)工程實(shí)施前期安全性、采購?fù)獍踩浴⒐こ虒?shí)施過程安全性、系統(tǒng)環(huán)境安全性等方面的核查。工程驗(yàn)收的內(nèi)容包括全面檢驗(yàn)工程項(xiàng)目所實(shí)現(xiàn)的安全功能、設(shè)備部署、安全配置等是否滿足設(shè)計(jì)要求,工程施工質(zhì)量是否達(dá)到預(yù)期指標(biāo),工程檔案資料是否齊全等方面。在通過安全測(cè)評(píng)或測(cè)試的基礎(chǔ)上,組織相應(yīng)網(wǎng)絡(luò)安全專家進(jìn)行工程驗(yàn)收。具體參照《信息系統(tǒng)安全工程管理要求》。

(3)安全等級(jí)測(cè)評(píng)

信息系統(tǒng)安全建設(shè)整改完成后要進(jìn)行等級(jí)測(cè)評(píng),在工程預(yù)算中應(yīng)當(dāng)包括等級(jí)測(cè)評(píng)費(fèi)用。對(duì)第三級(jí)(含)以上信息系統(tǒng)每年要進(jìn)行等級(jí)測(cè)評(píng),并對(duì)測(cè)評(píng)費(fèi)用做出預(yù)算。

在備案的信息系統(tǒng),備案單位應(yīng)選擇國家工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng);在?。▍^(qū)、市)、地市級(jí)公安機(jī)關(guān)備案的信息系統(tǒng),備案單位應(yīng)選擇本?。▍^(qū)、市)工作協(xié)調(diào)小組辦公室或國家工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng)。

四、如何制定整改方案

下面主要介紹信息系統(tǒng)安全整改方案的主要內(nèi)容,整改過程中涉及的網(wǎng)絡(luò)安全產(chǎn)品選擇使用注意事項(xiàng)。

1、整改方案主要內(nèi)容

整改方案可以不拘泥于單一內(nèi)容格式,設(shè)計(jì)內(nèi)容可以隨著單個(gè)信息系統(tǒng)、整個(gè)單位、多個(gè)系統(tǒng)進(jìn)行方案設(shè)計(jì)。建議在信息系統(tǒng)安全整改方案中可以包含以下內(nèi)容。

(1)項(xiàng)目背景

簡(jiǎn)述信息系統(tǒng)概況,信息系統(tǒng)在等級(jí)保護(hù)工作方面的進(jìn)展情況,例如定級(jí)備案、安全現(xiàn)狀測(cè)評(píng)情況等。

(2)信息系統(tǒng)安全建設(shè)整改的法規(guī)、政策和技術(shù)依據(jù)

列舉在建設(shè)整改過程中涉及的國家層面、行業(yè)層面、主管單位層面等,所依據(jù)的網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)法規(guī)、政策、文件和技術(shù)標(biāo)準(zhǔn)等。

(3)信息系統(tǒng)安全建設(shè)整改安全需求分析

從技術(shù)和管理兩方面描述信息系統(tǒng)建設(shè)情況,系統(tǒng)應(yīng)用情況及安全建設(shè)情況。結(jié)合安全現(xiàn)狀評(píng)估結(jié)果,分析信息系統(tǒng)現(xiàn)有保護(hù)狀況與等級(jí)保護(hù)要求的差距,結(jié)合信息系統(tǒng)自身的安全需求形成安全建設(shè)整改安全需求。

(4)信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改技術(shù)方案設(shè)計(jì)

根據(jù)安全需求,確定整改技術(shù)方案的設(shè)計(jì)原則,建立總體技術(shù)框架結(jié)構(gòu)。圍繞差距報(bào)告,從、、、、角度,結(jié)合系統(tǒng)自身所在的物理環(huán)境、通信網(wǎng)絡(luò)、可信環(huán)境、區(qū)域邊界、安全管理中心,設(shè)計(jì)落實(shí)基本技術(shù)要求。

(5)信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改管理體系設(shè)計(jì)

根據(jù)安全需求,確定整改管理體系的設(shè)計(jì)原則,指導(dǎo)思想。要求安全管理策略、制度體系建設(shè)要可操作性強(qiáng)、責(zé)任明確。

(6)信息系統(tǒng)安全產(chǎn)品選型及其技術(shù)指標(biāo)

依據(jù)整改技術(shù)方案,確定設(shè)備選型的原則,給出具體的部署策略,明確選用設(shè)備的功能、性能指標(biāo)。

(7)安全整改后信息系統(tǒng)面臨的風(fēng)險(xiǎn)分析

安全整改不可能解決所有不符合基本要求的問題,對(duì)于沒有解決的問題,或整改后引入的心問題,分析其可能的安全風(fēng)險(xiǎn),提出合理可行的風(fēng)險(xiǎn)規(guī)避措施。

(8)信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改項(xiàng)目實(shí)施計(jì)劃

安全整改項(xiàng)目的實(shí)施需要制定相應(yīng)的實(shí)施計(jì)劃,落實(shí)項(xiàng)目管理部門和人員,對(duì)設(shè)備招標(biāo)采購、工程實(shí)施協(xié)調(diào)、系統(tǒng)部署和測(cè)試驗(yàn)收、人員培訓(xùn)等活動(dòng)進(jìn)行規(guī)劃安排。

(9)信息系統(tǒng)安全等級(jí)保護(hù)項(xiàng)目預(yù)算

根據(jù)本單位信息化的中長期發(fā)展規(guī)劃和近期的建設(shè)投資規(guī)模,將等級(jí)保護(hù)安全整改建設(shè)工作納入整體規(guī)劃,可以采取分期分批、有計(jì)劃的實(shí)施安全建設(shè)整改。在項(xiàng)目建設(shè)進(jìn)行預(yù)算時(shí),不僅僅包含安全設(shè)備投入、還需要將集成項(xiàng)目、等級(jí)測(cè)評(píng)費(fèi)用、服務(wù)費(fèi)用、運(yùn)行管理費(fèi)用等納入到資金預(yù)算中。

2、信息安全產(chǎn)品選擇

(1)選擇獲得銷售許可證的網(wǎng)絡(luò)安全產(chǎn)品

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院令147號(hào))第十六條規(guī)定,國家對(duì)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的銷售實(shí)行許可證制度?!队?jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》(公安部令第32號(hào))第三條規(guī)定,中華人民共和國境內(nèi)的安全專用產(chǎn)品進(jìn)入市場(chǎng)銷售,實(shí)行銷售許可證制度。安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場(chǎng)銷售之前,必須申領(lǐng)《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》。

(2)產(chǎn)品分等級(jí)檢測(cè)和使用

國家針對(duì)具體的產(chǎn)品類別,制定了一系列標(biāo)準(zhǔn)。產(chǎn)品標(biāo)準(zhǔn),從產(chǎn)品的安全功能要求和安全保證要求兩個(gè)方面,將每類產(chǎn)品劃分為不同的等級(jí),安全等級(jí)越高,安全功能要求越多,安全功能范圍越廣,安全功能粒度越細(xì),安全保證要求越高。信息系統(tǒng)的等級(jí)越高,能力的要求越高,信息系統(tǒng)的能力,歸根到底必須由具體的產(chǎn)品來實(shí)現(xiàn)。根據(jù)的“木桶理論”,最弱的那個(gè)環(huán)節(jié)將決定整個(gè)信息系統(tǒng)的安全。而產(chǎn)品的等級(jí)越高,就能提供越高的安全防護(hù)能力。所以不同等級(jí)的信息系統(tǒng),應(yīng)該使用相應(yīng)等級(jí)的產(chǎn)品。

(3)第三級(jí)以上信息系統(tǒng)使用網(wǎng)絡(luò)安全產(chǎn)品優(yōu)先選擇國產(chǎn)品

《管理辦法》第二十一條規(guī)定,第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的產(chǎn)品:① 產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨(dú)立的法人資格;② 產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識(shí)產(chǎn)權(quán);③ 產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;④ 產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置、、等程序和功能;⑤ 對(duì)、社會(huì)秩序、公共利益不構(gòu)成危害;⑥ 對(duì)已列入產(chǎn)品認(rèn)證目錄的,應(yīng)當(dāng)取得國家產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。


服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)