信息安全等级保护标准(通用8篇)
1.信息安全等级保护标准 篇一
《信息安全等级保护管理办法》 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。2 制定目的 规范信息安全等级保护管理。文号
公通字200743号文 第一章 总则 第一条
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。第二条
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。第三条
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护 第六条
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造 1
成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第八条
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章等级保护的实施与管理 第九条
信息系统运营、用单位应当按照《信息系统安全等级保护实施指南》 具体实施等级保护工作。第十条
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护 等级专家评审委员会评审。第十一条
信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。第十三条
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十六条
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以 纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。第十八条
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。对第五级信息系统,应当由国家指定的专门部门进行检查。公安机关、国家指定的专门部门应当对下列事项进行检查:
(一)系统安全需求是否发生变化,原定保护等级是否准确;
(二)运营、使用单位安全管理制度、措施的落实情况;
(三)运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四)系统安全等级测评是否符合要求;
(五)信息安全产品使用是否符合要求;
(六)对信息系统开展等级测评的技术测评报告;
(七)信息安全产品使用的变更情况;
(八)信息安全事件应急预案,信息安全事件应急处置结果报告;
(九)信息系统安全建设、整改结果报告。
第二十条
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民 共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。第二十二条
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。第二十三条
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确 定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平
总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。第三十二条
涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。第五章
信息安全等级保护的密码管理 第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。
根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达 到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。第六章 法律责任 第四十条
第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。第四十一条
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第七章 附则
第四十二条
已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。第四十三条本办法所称“以上”包含本数(级)。第四十四条本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7 7
号)同时废止。
2.信息安全等级保护标准 篇二
1 数据库访问权限的控制
医院信息网络系统在运行过程当中会产生很多重要的数据, 对于这些重要的数据必须要设置严格的访问权限。除了部分领导以及相关业务人员之外, 其它人员不得随意访问。一般来说, 数据库的登录需要采用两级安全保障机制。登陆密码不能过于简单, 要设置较为复杂的密码, 且密码要做到定期更换。除此之外, 医院的信息系统管理系统必须要与医院的医疗信息网进行有效隔离, 最常采用的手段即是采用防火墙隔离。有了防火墙就可以有效防止计算机病毒或黑客的攻击。对必须共享的最好设置为只读或加访问密码控制访问权限等措施。除此之外, 医院信息系统的管理人员必定对数据库中不用的用户全部进行安全锁定, 仅仅留下那些系统管理员用户和正常的登陆用户。系统管理员所用的密码在三个月内必须要进行更换。所更换的密码必须要保证其复杂性。
2 医院重要数据备份与恢复
随着社会信息化程度的不断加深, 医院对于信息系统也愈发依赖。网络的安全离不开数据的恢复和备份, 笔者认为医院必须要建立和健全较为完善的数据备份与恢复制度, 并且要安排专人负责做这项工作, 从而保证信息系统出现故障的时候重要数据不会丢失。专项工作人员每天必须要做好如下工作:运用定时程序或Job在每天的凌晨将医院数据库热备份到相关的辅服务器当中;每隔一到两个小时, 将医院数据库中的日志完整备份大相关的辅服务器当中;将医院当天的数据备份到文件服务器中进行保存, 一般来说, 保存时间不能低于七天;运用定时job每天都将数据备份到异地计算机当中, 一般来说, 其保存时间不应低于七天。
3 建立安全制度及应急方案
医院还必须要建立一套完善的网络安全管理制度, 并制定相关的应急预案。具体可以从以下几个方面着手:建立一个安全管理组织机构, 机构人员必须要由计算机专业人员担任;建立一个完善的安全管理制度, 有了安全管理制度之后, 相关人员在具体的安全管理过程当中才能够有的放矢, 有据可依;医院必须要制定应急预案, 应急预案的制定主要是为了维护医院信息系统的安全, 一旦发生安全事故医院可以及时启动应急预案, 保障医院信息系统可以安全的运行。
4 保证相关设备的物理安全
网络和相关设备主要包括如下几个方面:后备电源、网络终端、服务器以及网络交换设备等诸多物理设备。通常, 由上述物理设备的硬件出现故障而导致的网络暂时性中断就是我们常说的信息网络的物理安全故障。目前, 医院在构建局域网的时候通常会运用星型结果, 假如我们的中心交换机出现故障的话就很容易致使整个网络产生瘫痪;假如存储设备或中心服务器出现故障则很容易会丢失重要的信息数据, 更严重者还会造成整个网络系统的服务终止;假如UPS电源产生故障, 又会致使交换设备以及服务器暂时不可用, 进而影响整个网络信息系统的正常运行。除此之外, 致使设备硬件产生故障的原因还有机房内的潮湿环境等。
要想有效解决医院网络系统的物理安全问题, 我们主要可以从如下几个方面着手解决。首先, 医院必须要建造一个符合国际水准的机房, 在机房内必须要配备防雷设备、湿度仪、温度计及符合机房标准的地线等。要想有效保护硬件设备的安全, 还必须要在机房内增设同样的线路以及设备。对于医院网络系统的数据库服务器, 最好是采用双机热备加RAID 5+hot sprae的磁盘阵列柜。充分保证医院网络系统的数据库服务器可在较高的安全环境下进行工作。于此同时, 为有效保证医院整个网络希望的安全运行, 我们还必须要解决好断电问题, 最好的措施即是对UPS电源要有供电线路多路备份。机房内必须要运用双路供电模式, 其中的一条线路从市电引出, 而另外一条线路则从UPS引出。且这两个电源也不能接在同一个地方, 必须要分开接线, 从而避免一条线路出现问题的时候另外一条线路无法跟上。这样做, 即使是一条线路出现问题, 我们的网络设备和服务器也可以正常运行。
5 结语
总而言之, 保护医院信息系统的安全是一项非常重要的工作, 我们必须要从各个方面着手有效保护医院信息系统的安全。在上述论述当中, 笔者提出了几种具体的安全保护策略, 在论述当中可能有诸多不足, 在今后的研究当中笔者一定继续加深对该问题的研究深度, 不断对其进行完善。
参考文献
[1]王颖.加强医院信息系统安全管理[J].中国病案, 2009 (7) .
[2]谭进进.军队医院信息网络的安全问题探讨[J].实用医药杂志, 2012 (7) .
3.信息安全等级保护标准 篇三
会上,国家信息安全等级保护协调小组组长、公安部副部长张新枫强调,信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。
同时,张新枫要求,各基础信息网络和重要信息系统在9月底前,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。
4.信息安全等级保护自查项目表 篇四
一、备案单位基本情况 单位全称 责任部门负责人 责任部门联系人 已定级备案的信 息系统数量 姓 姓 名 名 职务或职称 职务或职称 三级系统 等级保护工作责任部门 办公电话 办公电话 二级系统 移动电话 移动电话 合 计
四级系统
二、备案单位等级保护工作开展情况
(一)等级保护工作的组织部署和实施情况 序号 1-1 1-2 1-3 检 查 内 容 具 体 情 况
等级保护协调领导机构设置、落实信息安全责任情况。等级保护责任部门和岗位人员确定情况。等级保护工作的文件,有关工作意见或方案的制定情况。
1-4 1-5 1-6
依据国家等级保护政策、标准规范和行业主管部门等要求,组织开展各项工作情况。等级保护工作会议、业务培训情况。单位主要领导对等级保护工作批示、指示情况。
(二)信息安全管理制度的建立和落实情况 2-1 2-2 2-3 2-4 2-5 2-6 人员安全管理制度建设情况。包括人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度。是否建立安全责任制,系统管理员、网络管理员、安全管理 员、安全审计员是否与本单位签订信息安全责任书。是否有完善的机房安全管理制度,是否建立了机房进出人员 管理和日常监控制度。信息安全产品采购、使用管理、工程实施、验收交付、服务 外包等系统建设相关管理制度建设情况。信息安全事件报告和处置管理制度建设情况,是否建立了日 常信息安全监测和预警机制。制定信息系统安全应急处置预案情况,是否定期组织开展应 急处置演练,并根据演练情况进行完善。
(三)信息系统安全等级保护定级备案情况
3-1 3-2 3-3 3-4
本单位是否有未定级、备案信息系统,已定级信息系统是否 定级准确。新建信息系统是否在规划、设计阶段确定安全保护等级并备 案。信息系统所承载的业务、服务范围、安全需求等是否发生变 化,信息系统安全保护等级是否及时进行变更。是否对本单位重要信息系统的重要性有清楚的认识,是否开 展重要信息系统相关的威胁分析和相互依赖分析。
(四)重要信息系统开展等级测评和安全建设整改情况。4-1 4-2 是否对本单位信息系统等级测评和安全建设整改工作进行总 体部署,具体工作计划是什么? 重要信息系统等级测评和安全建设整改工作是否纳入经 费预算,如何予以保障? 是否每年对第三级(含)以上信息系统进行等级测评,开展 等级测评时,《全国信息安全等级保护测评机构推荐目录》 从 中选择测评机构。是否要求测评机构和测评人员提供相关证明和资质材料;是 否与测评机构签订保密协议
并对测评过程进行监督。
4-3
4-4
4-5
是否按照国家标准或行业标准建设安全设施,落实安全措施; 是否根据等级测评结果,对不符合安全标准要求的,进一步 进行安全整改。
(五)信息安全产品使用、等级保护自查整改等情况。是否按照《管理办法》要求的条件选择使用信息安全产品; 采用国外信息安全产品的,是否经主管部门批准,并请有关 单位对产品进行专门技术检测。本单位如采用国外信息安全产品,主要是哪几类产品,所占 比例如何? 本单位是否采用国外信息安全服务,如采用,主要是哪几个 方面,主要原因是什么? 本单位等级保护自查工作组织部署情况;如接收过公安机关 反馈意见或整改通知书,具体落实情况。重要信息系统 2011 年以来发生的重大信息安全事件(事故)等情况。
5-1
5-2 5-3 5-4 5-5
5.信息安全等级保护标准 篇五
一、项目名称、性质
(一)名称:信息系统安全等级保护备案
(二)性质:非行政许可
二、设定依据
二OO七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
三、实施权限和实施主体
根据《信息安全等级保护管理办法》第十五条规定,实施主体和权限为: 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续;
跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统,应当向自治区公安厅网络警察总队备案。
跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统,应当向市级公安机关网络警察支队备案。
四、行政审批条件
无。
五、实施对象和范围
根据《信息安全等级保护管理办法》第十五条的规定,实施对象和范围是:不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。
六、申请材料
(一)、《信息系统安全等级保护备案表》;
(二)、《信息系统安全等级保护定级报告》;
(三)根据《信息安全等级保护管理办法》第十六条的规定,第三级以上信息系统应当同时提供以下材料:(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;(3)系统安全保护设施设计实施方案或者改建实施方案;(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;(6)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。(提交复印件的应交验原件,复印件规格统一采用A4纸,以上提交材料均为一份)。
七、办结时限
(一)法定办结时限:10个工作日。
(二)承诺办结时限:10个工作日。
八、行政审批数量 无数量限制。
九、收费项目、标准及其依据
不收费。
十、办理时间
夏令时:早上8:30-12:00,下午15:00-18:00
冬令时:早上8:30-12:00,下午14:30-17:30
信息系统安全等级保护备案流程图.doc 附件1.行政审批流程图
2.申请书示范文本
6.信息安全等级保护标准 篇六
一、加强领导
2013年,根据扬州市信息安全等级保护办公室的的通知,集团高度重视非涉密重要信息系统的信息安全保护工作。集团安全等级保护工作由集团信息安全领导小组负责,具体工作由网络技术部和扬州网等部门承担,负责集团信息系统等级保护工作,并开展对集团所属单位的监督指导。根据安排,集团自2011年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断加强技术人员的培养,强化信息安全保护能力。
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过UPS供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的IP绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系;
在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的USB等外设接口的控制管理,采用KEY用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工
作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出SQL注入,FTP匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
7.电力信息系统安全的等级保护实施 篇七
伴随着我国经济社会的快速发展以及越来越多的信息、通信技术被使用, 智能化电网也随之快速发展壮大, 然后伴随的问题是其信息网络安全问题日益突出, 黑客入侵以及网络攻击现象日益增多, 要就要求电力企业相关部门加强信息技术的安全防护对策。目前, 电力从生产到分配会大量采用各种信息系统和形形色色的各类自动化设备, 比方说发电厂计算机监控系统和配网自动化系统等等很多, 这里不一一列举。电力系统安全防护是一个重大的任务, 它涉及到国家的安全, 如果一旦发生大面积停电事故, 就可能导致很大的经济损失, 甚至会影响国家安全或者社会稳定, 所以说加强电力信息系统的安全等级保护势在必行。
1 信息安全等级保护
1.1 信息安全保护等级的划分
对信息系统安全保护等级的主要影响因子有2个:一是其在国家发展进程中的重要性;二是一旦被故意或者偶然损坏后对这个国家经济与社会发展的危害程度。这个等级往往分为下面5个等级:
第一级:用户自主保护级信息系统遭受破坏, 它可能会影响到当事人以及其所在组织一定程度地利益损失, 然而对整个社会发展的稳定、集体的利益或者国家的安全都没有很大的损伤。这种信息系统的重要性和所采取的安全防护措施都根据用户自己来决定。
第二级:系统审计保护级信息系统遭受破坏, 这种情况的发生会对所在组织机构和当地人民群众利益遭受程度较大的危害, 也会影响到社会的稳定和集体的利益, 然而对国家安全无影响。
第三级:安全标记保护级信息系统遭受破坏, 这种情况的发生会对整个社会的稳定以及集体造成影响重大的损伤, 也会对国家安全产生很大威胁。这个等级同时有着系统审计保护级的全部信息保护功能, 在这个基础上它也会强制对系统进行监查并记录全部内容, 主要监控的是访问者以及所访问的对象。
第四级:结构化保护级遭到破坏, 这种情况的发生会使得相关组织机构以及人民群众利益受到巨大的损伤, 同时对整个社会的稳定和集体的利益以及国家安全产生了特别重大的危害。
第五级:访问验证保护级信息系统遭受破坏, 这种情况的发生会使得国家安全受到极其严重的危害。此级别具有上面几个所有级别的功能, 同时对系统设置访问验证保护, 这样做不仅可以记录访问者以及该访问者对系统的访问历史, 另外对访问者的访问权限进行设定, 最大限度保证信息安全不泄露。
1.2 信息安全等级的划分
1.2.1 按相关政策规定划分安全保护等级
在进行信息安全保护时, 有一些需要特殊保护和隔离的信息系统, 比方说国防部、国家机关或者重点科研机构等特殊机构的信息系统。针对这种系统, 要特别严格, 根据有关的信息安全等级保护的相关政策等法律法规的要求, 对其系统进行防护。
1.2.2 按照保护数据的价值划分保护等级
针对被保护的信息的类别及价值的不同, 设置不同的安全保护等级。这样做是为了在保护信息安全的同时最大限度减小其运作的投入。
2 电力信息系统安全等级保护防护要求
电力信息系统安全等级保护要求重点对象是等级保护三级以上的系统, 换句话说就是监督检查级与强制监督检查级。安全等级防主要发挥以下作用:一是能够使企业可以抵制外来的或者说是敌对组织的不怀好意的对系统的破坏;二是防止企业内部人员与外部势力勾结而进行的对系统的破坏;三是对安全事件记性审核登记;四是能够追查审核违规违法行为等等。电力信息系统安全等级防护要求的系统设计到电力生产控制系统、生产管理系统、管理信息系统、网站系统以及信息网络系统, 具体有下面这些系统:220 KV以上的变电站自动化系统、单机容量300兆瓦及以上的火电机组控制系统DCS含辅机控制系统等许多形形色色各类信息系统。
3 信息安全等级保护的方式
信息安全等级保护有两类, 具体如下两种:
3.1 物理安全保护方面
此类保护又可以从两个安全角度进行划分:一是必要考虑:针对主机房等场所设施, 要采取安全防范工作。需要使用比较先进的技术设备以便达到可以进行室内监控、使用用户信息登记以及自动报警等措施, 可以监控记录用户及其访问情况, 以便日后追查。而使需要考虑:针对主机房以及重要信息存储设备, 则应该采取多路电源同时接入的措施以保护电源的可持续供给性, 防止一旦发生断电会给入侵者制造入侵的机会。
3.2 网络系统安全保护方面
针对于不同安全保护对象的不同, 存在不同的保护方法。详细方法有以下几个:
3.2.1 已确定安全等级系统的安全保护
如果整个系统中有安全等级相同的信息系统, 这种情况下, 对于它的每一个地方、每一处信息应该根据国家标准使用统一安全保护方法给其设计完整的安全机制。如果有安全等级不同的系统, 则要对它的不同的地方以及信息根据不一样的安全要求进行安全防护。
3.2.2 网络病毒的安全保护
网络安全中一个很大的毒瘤是计算机病毒, 因此说防止病毒的入侵对系统进行破坏在信息系统安全保护过程中是至关重要的一个步骤。防止病毒入侵方式多种, 目前常常使用防火墙等阻挡病毒入侵, 有的也会采取给程序加密、监控系统运行情况等来观察病毒入侵与否, 能够尽量最快发现入侵的病毒并予以杀灭, 从而保护计算机信息系统。
3.2.3 漏洞扫描与修复方法
系统存在漏洞会对系统有一定的潜在危害, 许多入侵者往往会利用系统中已有漏洞对系统展开攻击, 所以说要频繁对计算机进行全面的漏洞扫描, 采用一定方式找出系统里的漏洞同时给予修复等措施, 从根源上防止非法入侵者通过这个手段对系统进行破坏。漏洞的修复方式有2种:系统自动修复和人工手动修复, 现实条件中, 不可能存在绝对完美不含漏洞的系统, 所以说要隔段时间就要对系统进行漏洞扫描修复, 从而保证系统的安全性。
4 电力信息系统等级保护实施
信息系统是在社会经济、生活以及实际工作的进步和需求的基础上设置的, 它在一定程度上是社会组织机构以及行政组织机构的反映, 它的安全保护等级也应该符合客观实际的条件以及社会发展的规律要求。如何进行电力信息系统等级保护?主要从下面几个方面进行把关:
4.1 电力信息系统定级与备案
信息系统的运营以及使用单位需要根据它处理信息的实际情况 (包括其敏感程度等) , 结合等级保护的管理规范和技术标准, 还要根据国家对信息系统保护的相关原则, 明确其信息系统的安全保护等级, 并报其主管部门审批同意。如果有很多子系统的信息系统, 它不仅应该保障信息系统安全互联以及有效信息共享, 还应当结合等级保护的具体情况 (各子系统的重要程度等各类) , 对各个保护等级进行各自划分。如果是安全保护等级在三级以上的信息系统, 就需要由运营、使用单位报送本地区地市级公安机关进行备案。如果是跨地域的信息系统, 同上面类似, 备案部门为所在地的同级公安机关。如果是第五级的信息和信息系统的监督检查, 要求更为严格, 需要由国家指定的特殊部门、特殊机构根据相关规定严格执行。
4.2 电力信息系统等级保护安全建设与整改
如果信息系统已经存在, 这种情况下, 运营和使用单位需要做的就是明确其安全保护等级。根据明确的等级的保护桂发来购买合适的信息安全产品, 这样可以建立起来一个合理的安全防护措施促使系统很好的整改。对于那些新建以及改扩建的系统则也应该根据相关等级保护管理规范从设计到施工上进行严格要求。
4.3 电力行业定期自查与监督检查
对于已经完成安全等级保护措施的额信息系统, 其运营和使用单位等主管部门需要根据等级保护的管理规范进行检查评估, 一旦发现问题就立马进行整改, 从本质上加强和完善自身信息安全等级保护制度的建设从而增强自我防护能力。对防护要求很高的重要信息系统则要每年进行1~2次的自身检查, 如果自查不合格就需要整改。
4.4 信息安全保障体系的建立与落实
通过信息安全保障体系的建设可以用来提高源于人、管理以及技术三方面所形成的预示能力、防护能力等各类对待系统安全的能力, 可以对信息系统的安全属性及功能以及效率上开展动态保护, 所谓安全属性指的是信息系统和它的基础网络的真实可用性、完整保密性等安全属性。采取这种方式能够使得应用服务的效率和效益提升, 可以促使电力信息化的学术研究长远发展。
5 结束语
如何创设一个能够持续发挥作用的电力信息系统安全等级保护制度来为企业的信息进行各个方面的防护?这是一个永不落幕的话题。但是根据当前现状, 许多企业的信息安全等级保护还没有发挥出作用, 正处在一个初级阶段, 任重而道远。这个工作需要各个专家、各个学科的专业人士一起探讨研究, 更好的保护信息安全。当前随着信息技术的不断改革进步, 信息安全等级保护技术和水平也要随着进行加快更新, 这样才能在出现信息安全问题的时候以最快时间解决问题, 也能使得信息安全等级保护政策可以又好又快的落实。
摘要:对信息安全等级的保护措施在电力信息网路中一个十分重要同时又需要持续跟进加强的一个过程, 采取信息安全等级保护可以在很大程度上帮助电力企业建立安全建设的长效机制, 从而促使电网的安全性, 保证期可靠运行。而在现实工作中, 要结合实际条件加以改进防护等, 能够充分组建电力信息系统安全等级防护规范, 这样以来, 在现实工作中, 能又快又好的进行安全防护的作业。
关键词:信息安全,等级保护,安全技术,网络系统
参考文献
[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用, 2012.
[2]朱世顺.电力生产控制系统信息安全等级保护研究[J].电力信息化, 2012.
8.信息安全等级保护标准 篇八
关键词:信息安全;等级保护;定级;备案
中图分类号:G203 文献标志码:A 文章编号:1673-8454(2015)21-0012-05
一、背景
近些年来,随着互联网和信息通信技术的发展,信息系统在各行业、各领域快速拓展。随着大数据时代的到来,伪造基站、BIOS后门、高斯病毒、短信僵尸等各类网络攻击层出不穷、日新月异,保障网络与信息系统安全,已经成为信息化发展中迫切需要解决的重大问题。教育部、北京市教委等部门为保障教育信息系统的安全,逐步推出了相关政策和工作办法。
二、信息安全等级保护概述
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实施安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。[1]
系统定级备案的实施是信息安全监督、检查和问责的需要。通过备案可以使信息化主管部门知道在哪里、由什么人运行着何等重要程度的信息系统,为信息安全管理提供基础数据。本文着重论述高等院校信息系统信息安全等级保护定级备案工作的实施,所指信息系统是指由计算机及其相关和配套的设备、网络构成的对教育行业相关业务信息进行采集、加工、存储、传输、检索和处理,不涉及国家秘密的系统。[2]
1.信息系统定级备案基本分类
信息系统定级是等级保护的第一步,需分析系统的业务信息类型和系统服务类型,确定信息安全受到破坏时所侵害的客体,确定对客体的侵害程度。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。[3]高等院校信息系统中,招生管理类、数据集成类、校务管理类、基础网络服务类等信息系统的业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生及部分社会公众合法权益,可能在一定范围内对社会秩序造成影响,可能侵害公共利益,引起法律纠纷等;教学支持类、科研管理类、公共服务类、信息发布类等信息系统业务信息安全或系统服务安全受到破坏,可能影响学校正常秩序,影响高校正常行使工作职能,侵害学校、教师、学生合法权益,引起法律纠纷等。[4]
2.高等院校信息系统定级备案的基本原则
为了保护信息安全等级保护工作的科学性、合理性,高等院校的信息系统在实施过程中应遵循以下原则:
(1)自主保护原则。在高等院校的信息安全等级保护工作中,学校各二级单位按照相关标准对管辖范围内的信息系统进行自主定级、自主保护,并接受信息化主管部门的监督、管理。
(2)重点保护原则。将学校有限的财力、物力、人力投入到招生、教务、科研等重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,优化信息安全资源配置。
(3)同步建设原则。按照等保要求,在学校新建和改建的信息化项目中,将信息安全建设与系统建设同步规划、实施。
(4)动态调整原则。高等院校信息系统的应用功能、服务对象、范围等会根据政策、管理办法、新业务需求而发生变更、扩展。当发生较大变化时,应根据等级保护管理规范和技术标准的要求重新定级、备案,实施安全保护。
三、高等院校等保定级备案管理办法的研究
1.高校信息安全管理存在的主要问题
目前高等院校在信息安全等级保护备案方面存在着以下问题:
(1)二级单位难以按照信息安全等级保护基本要求结合自身情况制定切实可行的信息安全管理制度和技术标准规范。
(2)系统、网站的建设注重业务应用的实现,缺少安全设计和部署,开发环境与生产环境混淆,没有足够的测试急于上线,缺少安全防护意识。
(3)系统的不断改造升级,增加了网络安全的脆弱性,降低了系统的安全状态。
(4)部分二级单位对本单位的信息系统及网站底数不清,依然存在各自为政开设网站的情况,安全防护不统一。且存在科研教学机构替其他用户单位在校内开发、运营系统的情况。
(5)由于学校人员组织、编制等限制,无法严格按照等保要求组建专门的、专业的安全运维管理组织,配备岗责明确的职能人员。二级单位的系统管理员、网站管理员计算机知识与技能相对欠缺、安全意识相对薄弱,不足以开展安全自查、安全防范和风险分析排查。
针对上述问题,本文研究信息安全保障机构的建立、校内定级备案工作流程、自查监察管理办法等,以改进高校等保定级备案工作。
2.高校信息安全保障机构的建立
以高校现有校院两级管理实体为基础,确定信息安全领导小组、专家组以及信息安全主管部门和责任人,统一管理与协调。按照“谁主管、谁负责”的原则实行信息工作责任制和责任追究制,保证全校的信息安全建设与运维的管理职责得到落实。
本文建立的信息安全保障机构实质上是一个三级机构,如图1所示:
(1)信息化主管部门
信息安全领导小组领导下的信息化主管部门通常包括两类:
一类是宣传部、信息办等内容主管部门。负责学校各级网站的内容管理,包括网站审批、舆情监控;负责信息安全组织机构的人员信息登记等工作。
另一类是信息中心、网络中心等技术主管部门。负责全校信息安全等级保护的管理工作;负责校级系统的物理安全、网络安全、主机安全以及应用和数据安全;根据等级保护相应等级的技术要求对二级单位的系统网站进行安全监测、整改等工作。
(2)信息安全第一责任人
二级单位信息安全第一责任人原则上为本部门一把手,对本部门各业务系统及管辖下的网站在形式、内容、运行方面承担监督和管理的责任,负责建立和完善本部门网络安全和信息安全组织,统筹本单位的信息系统建设,建立健全本部门信息化管理制度,审批确定本部门信息系统的安全运维方案和应急预案。
信息系统和网站的申请建设、改造升级以及撤销,信息安全第一责任人负责依法进行信息安全等级保护备案和定级工作,报信息化主管部门备案。
(3)二级单位信息安全工作实施小组
二级单位信息安全工作实施小组主要包括四类人员。
①信息安全员
各二级单位须指定信息安全管理员,负责本单位网络与信息系统的管理和运维工作。接受本部门第一责任人、信息化主管部门的领导,协调本部门的系统管理员、网站管理员以及信息发布员实现信息系统等级保护的管理要求、技术要求。主要有以下工作:
协助信息安全第一责任人统筹本单位的网络建设和信息系统建设,管理本单位的二级网站和三级网站,包括信息系统安全等级保护定级备案以及自查等实施工作。
负责本单位局域网管理,学校固定IP、域名等网络资源的申请、配置、管理工作。
负责本单位的信息收集与维护工作,保证数据的准确性、及时性,支持校内外信息交流和交换、数据上报。
负责本单位网络安全、信息安全与保密工作,对系统安全策略、系统备份、日志管理和操作流程等方面制订管理办法。
②系统管理员和网站管理员
系统管理员和网站管理员应是在职教职工,根据所负责的计算机信息系统对应的信息安全等保等级进行相应技术和管理工作,从服务器、数据库、应用服务等多层面进行系统的补丁升级、定期备份、巡检、应急响应、故障解决等工作,保障系统正常、稳定运行。
③信息发布员
信息发布员是网页具体内容的审核发布人员,应保证信息的及时有效性,能根据上级领导或主管部门的要求更新、撤销、归档网页信息。
④资产管理员
通常高等院校各二级单位都有固定资产管理员,虽然这些管理者不是信息化专业人员,但是负责软硬件各类设备的管理,因此也应纳入等保安全保障体系范畴。
3.校内定级备案工作
高等院校,特别是理工类高等院校内的系统/网站繁多,且教学、科研、服务等应用目标不同,管辖等级不同(校级、院部处级、实验室以及群团组织等),但无论系统大小都应按照有关法律法规进行等级保护定级备案。
各系统主管单位根据信息系统分类、系统重要程度及实际的安全需求,参照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》和《教育行政部门及高等院校信息系统安全等级保护定级指南》进行定级(高校一般不涉及四、五级系统),实施安全保护。原则上安全等级应不低于建议级别;对于承载复杂功能的信息系统,安全等级可高于建议级别;对于承载多个业务功能的信息系统,应以建议的最高安全等级进行定级。其中电子公文与信息交换、信息门户系统、招生管理系统等为重要保护对象。[4]
本文设计的高等院校内部定级备案工作流程如图2所示。
本工作流程中,等级保护定级备案的关键节点在于二级单位在新建系统或网站时,需要申请服务器、固定IP以及二级域名等网络资源。信息化工作主管部门通常可以在此节点要求二级单位完成系统的定级备案工作,以防疏漏。
如果是校级系统、二级单位重要业务管理系统,通常需要经过经信委等上级主管部门的审批,因此可以在立项之时就进行相应的定级备案、安全规划,落实信息安全等级保护相关控制,以确保在系统的规划设计、建设实施、运行维护整个安全生命周期中贯彻信息安全等级保护要求。
4.自查监察管理办法
(1)等保自查
学校信息化工作主管部门以及各二级单位每年都应参照等保的要求项和控制点,对管辖范围内的信息系统依据保护级别制定安全策略,规范管理和技术实施,并定期检查。包括网络与信息系统安全基本情况、技术防护情况、信息安全产品使用和信息技术服务外包安全管理情况、应急处置及容灾备份情况以及等级保护工作落实情况等。并填报自查结果,上报主管部门备案。
(2)安全监控
信息化工作技术主管部门负责利用可利用的安全技术、产品以及工具了解和评估系统的安全状态;从物理环境、网络、系统、应用、数据,到最终的用户终端汇集安全监控审计信息(详见图3),并进行分析及时发现安全隐患,提供可能的解决方案和技术支持。
信息化工作技术主管部门还应配合教委、公安局等上级部门进行信息安全的抽查、整改工作,完成每年度的信息安全等级保护工作汇报,保障敏感时期的信息安全保障工作。
(3)整改管理办法
对于自行发现的安全隐患以及上级下达的整改通知,信息化主管部门通知二级单位,落实人员限期实施整改,并配合系统主管单位将系统调整到“最安全”和“风险最低”状态。整改完成后,二级单位以书面形式上交整改报告,说明安全问题描述、原因、整改措施等。对于影响严重的系统或不能按期整改完成的系统,信息化技术主管部门有权停止网络服务,经核准整改效果后方可销案,同时加入重点安全监控名单。对于不能解决的安全问题和重大安全问题应及时告知信息安全领导小组和专家组,寻求领导层和校外专业团队的指导。
四、高等院校等保定级备案管理系统探究
信息安全等级保护定级备案以及自查整改的实施,大多是信息采集、录入和管理工作。然而又不同于一般的行政管理,需要结合技术的和非技术的手段保证全校等级保护工作的系统性、可行性、有效性和可扩展性。
目前已经有公司推出了信息安全等级保护综合管理系统,通过应用软件实现各种备案信息的录入、批量导入/导出、审核,从而进行备案信息的查询、检索和统计,以及为上级主管部门提供本单位的信息系统备案状况。但是,这些系统大都缺乏分层管理、数据关联、约束检查,使等保信息还是处于分散的状态中,也不便于校内日常信息安全工作管理。本文从信息化人员管理、资产管理以及制度管理的角度出发,讨论此类系统的设计思想,以实现定级备案工作在高校实施中的有效落地。
1.数据关联与约束(见图4)
建立信息安全保障体系对照表,通过Dept_code、Administrator、Assets_Manager、Assets_code、Rules_code关键字实现系统与部门、系统与管理员、系统与资产、系统与制度的关系。可以知道一个二级单位有哪些系统,分别是几级系统;可以知道每个系统使用了哪些固定资产,管理员是谁;可以知道每个系统建立或使用了哪些制度,是校级的还是二级单位内部的,等等。例如,通过上述关联可以很容易得到如表1所示的查询统计表。
而从表2不仅可以获得二级单位各系统的资产信息(软硬件),而且可按系统、部门进行汇总计算,获得国外产品百分比统计等信息。
通过资产编码Assets_code关联资产信息和资产检查表,按照资产类型编码对应的技术要求-Technology_checkcode、Technology_Description检查项填写资产检查表的检查结果,并记录日期,可以用作后续的变更记录和跟踪。
通过系统编码System_code从系统定级信息获取系统安全等级G_level,对应到管理要求表得到相应的检查项信息,再根据“制度-管理检查项对照”自动获取校级制度,便于二级单位的管理制度检查信息的填报。
这些关系的建立,不但可以获得更多的级联信息,而且可以进行约束。例如,通过制度的“共享标志”约束其他部门是否能使用二级单位自定义的制度;通过在系统备案基本备案信息中录入的资产数量Assets_number来验证资产信息是否填报完备,等等。
2.数图关联
资产管理涉及机器设备、软件系统等方面。梳理资产是实施等级保护的过程中重要的一步,以确定学校各系统的资产,明确责任人、物理位置、使用情况以及数据信息交互情况。
高校信息系统的资产管理大多还处于手工管理的离散状态,即便有固定资产管理系统,也只是从财产角度对各类资产进行注册在案(其分类与信息化角度不同),没有按照信息安全等级保护的管理要求、技术要求记录更为详尽的管理信息、运维信息。
本文建议建立基于拓扑结构图的信息系统资产管理,便于基础信息的录入、等保检查项检查和直观展示。因为,如果只是通过二维表或者树状结构图的形式输入资产信息,难以直观地了解到哪些网络设备、哪些服务器、哪个数据库以及哪个Web应用是一个系统的。但是基于拓扑图资产信息管理,可以通过图形符号的方式建立资产之间的关联,便于掌握一个系统的整体资产情况。例如,一台服务器的符号可以连接服务器、中间件、数据库、应用等多层资产,逐一录入(包括没有固定资产的免费资源)。如果少了哪一层资产没有填报(没有需说明理由),即当前备案信息尚不完备,则该系统应该是不允许访问的状态。从等保管理要求,信息化主管部门就可以停止其运行服务。
五、结束语
每个高等院校都会有自己的信息化组织机构、管理制度和办法,信息化建设进程也不尽相同,在具体应用《信息安全等级保护基本要求》时,不应一味追求所有的安全项,而是要根据学校自身信息化建设情况、特点,兼顾可操作性设计和实施信息安全体系建设,稳步渐进地落实等级保护工作。
参考文献:
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.
[2]中国教育信息化网.北京市市属教育行业信息安全等级保护定级评审工作办法[EB/OL]. http://www.ict.edu.cn/laws/difang/n20140623_14386.shtml,2014-06-23.
[3]沈昌祥,信息安全保障建设中的等级保护[J].信息技术与标准化,2007(11).
[4]教育部办公厅.教育行业信息系统安全等级保护定级工作指南(试行)[Z].2014.10.
【信息安全等级保护标准】推荐阅读:
信息安全等级保护初级06-30
疾控中心信息安全06-17
管理信息系统安全07-09
信息安全防范08-10
什么事信息安全08-22
信息安全概论考试总结06-16
信息安全项目规划方案06-18
专业信息安全服务资质06-26
信息安全一体化06-29
网络信息安全论文107-03