信息安全等级保护实务(精选8篇)
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
信息安全等级保护工作的核心内容就是通过制定统一的政策标准, 依照现行的相关规定, 由各单位开展信息安全等级保护工作, 同时由各相关管理部门对进行的信息安全等级保护工作进行检查监督, 进而实现国家对于重要信息系统的保护, 提升重要系统的安全性。
1 信息安全等级保护发展历程
近年来信息化建设不断发展, 我国的信息安全等级保护工作发展也在随着信息化的飞速发展发生着变化, 其发展主要经历了以下四个阶段。
1.1 政策阶段 (1994—2003年)
国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》, 条例中首次提出计算机信息系统要实行安全等级保护。中央办公厅、国务院办公厅于2003年颁发《国家信息化领导小组关于加强信息安全保障工作的意见》, 再一次明确地指出要实行信息安全等级保护, 这两项政策的提出, 标志着等级保护政策性地位的一次提升。
1.2 基础阶段 (2004—2006年)
2004年到2006年期间, 公安部联合四部委持续开展了等级保护基础调查和等级保护试点工作, 其中涉及65117家单位, 共115319个信息系统。在本次等级保护基础调查和等级保护试点工作中, 初步研究出一套如何开展等级保护工作的方式方法, 为接下来在全国全面推行等级保护工作打下了良好的基础。
1.3 推行阶段 (2007—2010年)
四部委于2007年6月联合出台《信息安全等级保护管理办法》。同年7月, 四部委联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》, 同月又继续召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议, 至此我国的信息安全等级保护制度, 在历经十多年的探索后, 已经逐步成熟, 正式进行推行启动。
1.4 全面阶段 (2010年至今)
公安部于2010年4月出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》, 《通知》中提出了等级保护工作的阶段性目标。公安部和国务院国有资产监督管理委员会联合于2010年12月出台《关于进一步推进中央企业信息安全等级保护工作的通知》, 该《通知》上要求中央企业要坚决贯彻执行等级保护工作。由此可见, 我国信息安全等级保护工作已经顺利展开, 并进入全面推进阶段。
2 信息安全等级保护内容
信息安全等级保护内容具体可分为系统定级、系统备案、建设整改、等级测评、监督检查五个方面。
2.1 系统定级
按照《信息安全等级保护管理办法》中的相关规定, 信息系统的安全保护等级可以分为以下五个等级。
第一级是信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成损害, 但不损害国家安全、社会秩序和公共利益。
第二级是信息系统受到破坏后, 会对公民、法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害, 但不损害国家安全。
第三级是信息系统受到破坏后, 会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。
第四级是信息系统受到破坏后, 会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害。
第五级是信息系统受到破坏后, 会对国家安全造成特别严重损害。
2.2 系统备案
信息系统由各单位按照《信息安全等级保护管理办法》中的相关规定确定安全等级后, 信息系统定级在二级以上的, 信息系统使用单位按照《信息安全等级保护备案实施细则》的相关要求办理信息系统备案工作。对于不符合信息安全等级保护要求的, 公安机关会通知备案单位进行相关整改;而对于符合信息安全等级保护要求的, 经过审核合格的单位, 公安机关会对该信息系统予以备案, 并向使用部门发放由公安部统一监制的《信息系统安全等级保护备案证明》。
2.3 建设整改
为有效保障信息化的健康发展, 减少信息安全隐患和信息安全事故, 信息系统使用单位应采取分区分域的方法开展信息系统安全建设整改, 对信息系统进行全面加固改造升级, 按照信息系统保护等级, 对信息系统实施安全保护。
信息系统使用单位应对照《信息系统安全等级保护基本要求》中的内容, 开展信息系统的信息安全等级保护安全建设整改, 双路并行, 坚持管理与技术并重, 从物理安全、主机安全、应用安全、网络安全及数据备份与恢复五个安全技术相关方面进行建设整改。同时也要从安全管理人员、安全管理机构、安全管理制度、系统建设管理及系统运维管理五个安全管理相关方面开展进行。两手抓两手都要硬, 技术与管理要进行协调融合发展, 从而建立起一套完整的信息系统安全防护体系。
2.4 等级测评
测评机构按照规定程序对信息系统进行等级测评, 测评后会按照公安部制定的《信息系统安全等级测评报告模板》出具定级测评报告, 包括报告摘要、测评项目概述、被测信息系统情况、等级测评范围与方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改意见等内容。
信息安全等级保护测评工作结束后, 信息系统管理人员可以完整地了解信息系统的相关安全信息, 深层次发现信息系统的漏洞, 彻底排查信息系统中的安全隐患, 并且可以明确信息系统是否符合等级保护的相关要求, 是否具备相应的安全防护能力。
2.5 监督检查
备案单位按照相关要求, 需定期对信息安全等级保护工作的落实情况进行自查, 掌握信息系统安全管理和相关技术指标等, 及时发现信息系统存在的安全隐患, 并有针对性地采取正确的技术方法和管理措施。
公安机关依据有关规定, 以询问情况、查阅核对资料、调看记录资料、现场查验等方式对使用单位的等级保护工作进行检查, 对其等级保护建设的信息安全措施、相应信息安全管理制度的建立和落实、信息安全责任落实责任等方面进行督促检查。
3 信息安全等级保护意义
在信息环境日趋复杂的如今, 信息安全等级保护工作的开展对我国信息系统安全建设的整体水平有非常大的帮助, 信息安全设备的投入在信息化系统的建设过程中必不可少, 信息安全与信息化建设在信息安全等级保护工作中有机配合。信息安全等级保护为信息系统的安全建设和管理提供了系统性地指引, 进而控制了信息安全建设的成本。同时还对优化信息安全资源具有促进意义, 信息系统的分级保护, 可以重点保障基础信息网络和国家重要信息系统的安全, 有利于加强信息安全管理, 推动信息安全产业的发展, 进而逐步探索出适合我国国情发展的信息安全模式。
4 结语
信息技术高速发展在带来无限便利的同时, 也在信息安全方面带来日益严峻的挑战, 作为信息系统的重要支撑, 信息安全等级保护在未来的发展中举足轻重, 接下来应当继续不断地完善其相关的法律法规及技术标准, 在更大的范围内全面推行, 以满足新形势下的信息安全发展需求。
摘要:信息安全等级保护是国家信息安全保障领域的基本要求, 能够有效保障信息化工作的健康发展。笔者介绍了我国信息安全等级保护的发展历程及信息安全等级保护的具体内容, 并在此基础上, 分析了信息安全等级保护工作开展的重要意义。
会上,国家信息安全等级保护协调小组组长、公安部副部长张新枫强调,信息安全等级保护制度是国家信息安全保障工作的基本制度。此次定级工作包括三方面的主要内容:一是开展信息系统基本情况的摸底调查,确定定级对象。二是信息系统主管部门和运营使用单位按照等级保护管理办法和定级指南,初步确定定级对象的安全保护等级,请专家进行评审,并报经上级行业主管部门审批同意。三是信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。
同时,张新枫要求,各基础信息网络和重要信息系统在9月底前,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。各部门、各单位要加强对定级工作的监督、检查和指导。
信息系统安全等级保护备案表
单位名称 信息系统名称 信息系统类别 系统域名 系统 IP 地址 系统服务 情 况 系统网络平台 服务器情况 存储设备 情 况 服务范围 服务对象 覆盖范围 网络性质 是否有服务器 服务器位置 服务器操作系统 是否有专用存储 存储设备位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全国 □全(市、区)□全校 □全校师生员工 □三者均包括 □广域网 □互联网 □否 是否在学校机房寄存 □unix □是 □否 □Solaris □其它_______ □本单位 □其它__________ □其它__________ □单位内部人员 □社会公众人员 □局域网 □业务专网 □是 □校园网 □业务管理系统 □网站 □其他
□其它___________
系统数据库情况 系统何时投入运行使用 系统主要承建单位 系统目前维护单位 系统责任人 姓 管理员情况 办公电话 系统是否是分系统 上级系统名称 信息系统安全保护等级 系统密级(涉及保密的信息系统 需要填写本项)系统分级保护实施情况 填表人: 名
联系方式 E-mail 手 □是 机
□否(如选择是请填下两项)所属单位
□第一级 □秘密 □ 已经实施
□第二级 □机密
□第三级 □绝密
□第四级
□第五级
□正在实施 填表日期:
□计划________年实施 年 月 日
填报单位:(盖章)
第一章 总则
第一条 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。
第二条 信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
第三条 信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。
第四条 信息系统的安全保护等级分为以下五级:
(一)第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。
(二)第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。
(三)第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
(四)第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
(五)第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。
第五条 信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。
(一)第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。
(二)第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。
(三)第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。
(四)第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。
(五)第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。
第六条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第二章 信息安全等级保护工作的安全管理
第七条 信息系统的运营、使用单位应当依据本办法和有关标准,确定信息系统的安全保护等级。有主管部门的,应当报主管部门审核批准。
第八条 信息系统的运营、使用单位应当根据据已确定的安全保护等级,依照本办法和有关技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。
第九条 信息系统的运营、使用单位应当履行下列安全等级保护职责:
(一)落实信息安全等级保护的责任部门和人员,负责信息系统的安全等级保护管理工作;
(二)建立健全安全等级保护管理制度;
(三)落实安全等级保护技术标准要求;
(四)定期进行安全状况检测和风险评估;
(五)建立信息安全事件的等级响应、处置制度;
(六)负责对信息系统用户的安全等级保护教育和培训;
(七)其他应当履行的安全等级保护职责。
第十条 信息系统建设完成后,其运营、使用单位应当依据本办法选择具有国家相关技术资质和安全资质的测评单位,按照技术标准进行安全测评,符合要求的,方可投入使用。
第十一条 从事信息系统安全等级测评的单位,应当遵守国家有关法律法规和技术标准规定,保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,提供安全、客观、公正的检测评估服务。
测评单位资质管理办法由有关部门另行制定。
第十二条 第三级以上信息系统的运营、使用单位应当自系统投入运行之日起三十日内,到所在地的省、自治区、直辖市公安机关指定的受理机构办理备案手续,填写《信息系统安全保护等级备案登记表》。国家另有规定的除外。
备案事项发生变更时,信息系统运营、使用单位或其主管部门应当自变更之日起三十日内将变更情况报原备案机关。
第十三条 公安机关应当掌握信息系统运营、使用单位的备案情况,建立备案档案,进行备案管理。发现不符合本办法及有关标准的,应通知其予以纠正。
第十四条 公安机关应当监督、检查第三级和第四级信息系统运营、使用单位履行安全等级保护职责的情况。
对安全保护等级为三级的信息系统每年至少检查一次,对安全保护等级为四级的信息系统每半年至少检查一次。
第十五条 公安机关发现信息系统运营、使用单位未履行安全等级保护职责或未达到安全保护要求的,应当书面通知其整改。
第三章 信息安全等级保护的保密管理
第十六条 涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
不涉及国家秘密的信息系统不得处理国家秘密信息。
第十七条 涉及国家秘密的信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级和绝密级三个级别,其总体防护水平分别不低于三级、四级、五级的要求。
涉及国家秘密的信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家有关秘密及其密级具体范围的规定,确定系统处理信息的最高密级和系统的保护级别。
第十八条 涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理,按照国家保密工作部门的有关规定和技术标准执行。
第十九条 各级保密工作部门应当对已投入使用的涉及国家秘密的信息系统组织检查和测评。发现系统存在安全隐患或系统保护措施不符合分级保护管理规定和技术标准的,应当通知系统使用单位和管理部门限期整改。
对秘密级、机密级信息系统,每两年至少进行一次保密检查或系统测评;对绝密级信息系统,每年至少进行一次保密检查或系统测评。
第四章 信息安全等级保护的密码管理
第二十条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照信息安全等级保护密码管理规定和相关标准。
第二十一条 信息系统安全等级保护中密码的配备、使用和管理等,应严格执行国家密码管理的有关规定。
第二十二条 要充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和技术标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的须遵照《商用密码管理条例》和密码分类分级保护有关规定与相关标准。
第二十三条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或违反密码管理相关规定或者未达到密码相关标准要求的,按照国家密码管理的相关规定进行处置。
第五章 法律责任
第二十四条 三级、四级信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反本办法规定,有下列行为之一,造成严重损害的,由相关部门依照有关法律、法规予以处理:
(一)未按本办法规定报请备案、审批的;
(二)未按等级保护技术标准要求进行系统安全设施建设和制度建设的;
(三)接到整改通知后,拒不整改的;
(四)违反保密管理规定的;
(五)违反密码管理规定的;
(六)违反本办法和其他规定的。
第六章 附则
第二十五条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
为进一步做好某单位信息安全等级保护工作工作,提高全辖人民银行系统信息安全保障能力和水平,根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,结合我行实际,组织开展了信息安全等级保护自查工作。通过自查,进一步明确了我行信息安全等级保护工作职责,规范了信息安全等级保护工作标准,完善了信息安全等级保护工作制度,提升了信息安全等级保护工作水平。现将自查情况报告如下:
一、等级保护工作部署和组织实施情况
某单位在上级行的统一领导和部署下,按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引(试行)》的要求,组织开展辖内人民银行系统信息安全等级保护工作。一是成立了某单位信息安全等级保护工作领导小组,由主管科技的副行长任组长,各科室主要负责人为成员,全面负责全辖人民银行系统信息安全等级保护工作,领导小组下设办公室,安排专人负责计算机信息系统安全管理,明确了各自的职责。二是建立健全了各项信息安全管理制度,做到了有章可循。三是加强相关工作人员的培训学习,增强信息系统安全工作的自觉性,提高信息系统安全工作管理水平。
二、信息系统安全保护等级备案情况
我行根据《人民银行长沙中心支行2012年信息安全等级保护工作方案》精神,将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级,其他系统定为第一级,并将定为第二级的系统向市公安局网监支队报备。
三、下一步工作计划
目前,某单位信息安全等级保护工作正在不断完善中,今后还需要在以下几个方面不断加强:一是进一步加强信息安全管理力度,督促各支行、各科室加强信息安全等级保护工作;二是加强网络信息安全队伍建设,提高网络管理人员和维护人员的技术水平和安全管理意识;三是进一步完善信息安全管理制度,开展信息系统安全评估和自测评;四是规范和完善安全事件处理流程。
人民银行郴州市中心支行 科技科
信息安全等级保护是[1,2,3]指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级,第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
根据信息安全等级保护制度,等级保护工作主要分定级、备案、建设整改、等级测评和监督检查五个环节。
2 等级测评
等级测评是[4,5]指具有相关资质的、独立的第三方评测服务机构,受相关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,等级测评是信息安全等级保护实施中的一个重要环节。
2.1 等级测评内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
2.2 工作单元
工作单元是安全测评的基本工作单位,对应一组相对独立和完整的测评内容。工作单元由测评项、测评对象、测评方式、测评实施和结果判定组成,如图1所示。
测评项描述测评目的和测评内容,与信息安全等级保护要求的基本安全控制要求相一致。
测评方式是指测评人员依据测评目的和测评内容应选取的实施特定测评操作的方式方法,包括三种基本测评方式:访谈、检查和测试。
测评对象是测评实施过程中涉及到的信息系统的构成成分,是客观存在的人员、文档、机制或者设备等。测评实施是工作单元的主要组成部分,它是依据测评目的,针对具体测评内容开发出来的具体测评执行实施过程要求。
结果判定描述测评人员执行完测评实施过程,产生各种测评证据后,如何依据这些测评证据来判定被测系统是否满足测评项要求的方法和原则。
2.3 等级测评过程
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
2.4 等级测评结果的重要性和复杂性
等级测评是判定信息系统是否满足基本要求的方法。对于已经确定安全保护等级的系统是否满足对应等级的基本要求,是需要通过信息系统安全等级测评来进行判断的。另外,等级测评的结果也是国家信息安全监管部门依法行政管理的技术依据。
对于不同安全等级、不同类型的信息系统,在进行等级测评时基本要求中安全措施的选择是不同的,这就要求不同的等级测评过程和不同的测评结果判定方法,增加了评估的复杂性;即使对于一个信息系统,也需要在基本要求中从不同的技术类或管理类中选择非常多的安全措施,每一项安全措施都对应一个测评结果,最终的测评结果应由众多的单项测评结果综合而得,这个过程也是相当复杂的。
3 CAE模型中的等级测评
在信息系统的安全测评中,为了获得测评对象的评估结果,首先要开展测试,其方法是先对测评对象的安全空间域进行划分,形成安全子空间域;然后定义支撑形成安全子空间域安全子声明的安全因素;最后针对各安全因素收集安全证据。这个过程跟CAE模型中自上而下的分解过程是一致的。
而在进行评估时,依据自下向上的方式进行逐层评估,这个过程跟CAE模型的推理过程是一致的。
并且,CAE模型自身具有很强的层次性和结构性,采用该模型能够在一定程度上简化复杂的信息安全测评过程。
因此,CAE模型作为一种基于证据链的推理模型,描述了一个合理而有效的测评框架,且能够一定程度的简化信息安全测评过程。目前CAE模型已被广泛应用于信息安全及其测评过程中。文献[6]和文献[7]介绍了在信息安全保障中的CAE模型,并指出信息安全保障过程是符合CAE模型的证据推理结构的;文献[8]将CAE模型运用到信息安全风险评估中,得到一种有效的定量化的信息安全风险评估方法;文献[9,10]根据评估过程的实际需要在《信息系统安全保障评估框架》标准基础上建立了CAE模型证据推理链。
为了解决等级测评结果判决的复杂性,能够在众多的单项测评结果中条理清楚的得到最终的测评结果。我们将CAE模型引入到等级测评中,对等级测评的过程按照证据-论证-声明的结构进行体系化。
3.1 CAE模型
Claim Arguments and Evidence是表示联系安全论据组件的简单有效的标记法。
1) 安全证据(Evidence)
Evidence作为评估证据,是系统中可直接得到的,支持Claim或Subclaim的一致同意的既定事实,一般是可以从实际测评结果中得出的数据信息。在CAE模型中,Evidence位于模型底层,支撑着上层的Argument和Claim。
2) 安全论据(Argument)
多个Evidence经过某种测量和推理后能够形成某一类的Argument。Argument为连接Claim和Evidence的桥梁,Argument的作用是简明地解释Claim和Evidence之间关系,清晰地描述Claim是如何被证明的:
(1) 证据是如何被收集和解读的?
(2) 什么证据支持这个Claim?
Argument支持Claim结构的建立,将高层次和较大的目标分解为一系列的小的Subclaim。
3) 安全声明/子声明(Claim/Subclaim)
多类Argument经过融合形成Subclaim或者最终的Claim,在安全测评中即评估结果。
每个Claim可以看作是一个命题,是一个对预期结果、度量目标的描述。一个典型的Claim具有如下特点:
(1) Claim应是有界限的;
(2) Claim不应是开放的;
(3) Claim应是可证明的。
在定义了CAE模型的三个要素后,就可以进行CAE模型的分解过程。CAE的分解过程就是从最顶层的Claim一直分解到由Evidence具体支持的Subclaim。简单的CAE模型结构如图2所示。
由图2可以得出,在分析系统的CAE结构时,采用由上而下的分析顺序,从顶层的最终结果开始,逐层进行C-A分解,根据不同的Subclaim分支,继续向下分解为一系列的Evidence。
而进行实际测评的时候,通常是由下而上的分析顺序,因为Evidence是可以直接测评得到的,有了Evidence的底层支持,我们才可以继续向上逐层进行评估分析,最终得到评估结果Claim。
3.2 等级测评的CAE建模
根据CAE的分解原则,在等级测评中,可以认为最终定级得到的等级为Claim,其对应的Argument即为安全技术测评和安全管理测评两个测评类的测评结果组合。依次往下,安全技术测评可以作为一个Subclaim,对应的Argument为物理安全、网络安全、主机安全、应用安全和数据安全五个测评层面的测评结果的组合;安全管理测评可以作为另外一个Subclaim,对应的Argument为安全管理机构和安全管理制度两个测评层面的测评结果的组合。每个测评层面都由众多的测评单元支持,而测评单元由测评项支持,按照分解原则,可将测评单元作为测评层面的Subclaim,测评项作为测评单元的Subclaim。在最低层次上,测评项作为最后一级的Subclaim由Evidence(优势证据)来直接支持。优势证据是多种不同测评方式的测评结果按照一定的推理方法得到的最终证据。图3给出了CAE下等级测评的一般模型。
下面通过对安全技术测评中物理安全的物理位置选择的三个测评项和物理访问控制的四个测评项进行CAE建模,验证该一般模型的有效性,假设通过各种测评方式得到的测评结果有3个,如图4所示。
对安全管理测评可以进行同样的操作,例如对安全管理机构的岗位设置的四个测评项进行CAE建模,假设通过各种测评方式得到的测评结果有3个,如图5所示。
由图4和图5可见,将等级测评代入CAE模型中后,能够清晰辨识实际系统的组合和传递的逻辑关系,按照一定的推理方法从3种不同测评方式得到的测评结果,我们就可以得到各项的测评结果。然后,根据CAE的层次结构,可以由各测评项的测评结果最终得到整体的测评结果。
一般认为等级测评的复杂性和困难度主要存在于测评指标的选择和测评结果的融合两个方面:
1) CAE建模后的测评指标选择
根据Claim的等级要求,可以得到其对应的Argument,即安全技术测评和安全管理测评的要求,基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全5个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理5个层面提出,每个层面都可以看作为一个Subclaim。根据信息系统的定级结果,对应指标层面级的每个Subclaim,都可以得到对应等级的S类、A类和G类的安全指标子项。将安全指标子项作为Subclaim,其对应的Argument即为具体测评项的组合。具体的测评项是最低一层的Subclaim,由优势证据来直接支持。
可以看出,使用CAE模型后,将等级—准则层—指标层—指标项—指标子项的5层测评指标选择体系简化为Claim—Argument两个层次。测评指标的选择即为确定一系列的Argument,当得到指标项的Argument后,即可得到其Subclaim(指标子项),测评指标的选择工作结束。
2) CAE建模后的测评结果融合
等级测评复杂性的另外一方面是等级测评结果的融合。首先,要将各种不同测评方式得到的不同测评结果进行融合,即由很多证据得到优势证据。优势证据即为指标子项的测评结果,指标子项的结果合成为指标项的结果,指标项的结果合成为指标层的结果,指标层的结果合成为准则层的结果,最后,准则层的结果合成为最终的测评结果。
使用CAE模型后,因为Argument包含了其下一层的Subclaim的所有指标及这些指标之间的关系,对于这一层的融合过程就可以直接在该Argument中进行。如图6所示的简单CAE模型。
假设Subclaim1到Subclaim5的结果已知,为了简单起见,我们分别设为1、0、1、1、1,由Argument里面包含的内容和逻辑关系可得Claim的结果应为1+0+1+1+1=4。
4 结 语
信息安全等级保护是国家提高信息安全保障能力和水平、保障和促进信息化建设健康发展的一项重要措施。而等级测评是信息安全等级保护实施中的一个重要环节。CAE模型中的分解和推理过程分别与信息安全测评中的安全因素收集和逐层评估过程是一致的,由于CAE模型具有很强的层次性和结构性,所以被广泛应用于复杂的信息安全测评过程中。本文将CAE模型应用到等级测评中,将复杂的测评过程分为Claim、Argument和Evidence三个环节,实际结果表明:等级测评的过程完全可以归纳入CAE模型中,其测评过程与CAE模型的推理过程是一致的;使用CAE模型可以结构化等级测评的过程,简化了测评指标的选择和测评结果的融合。本文结论进一步验证了等级测评的有效性和合理性。
摘要:CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中。采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明-论据-证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用。结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性。
关键词:等级保护,等级测评,CAE
参考文献
[1]GB/T22239-2008信息系统安全等级保护基本要求[S].
[2]GB/T22240-2008信息系统安全等级保护定级指南[S].
[3]GB/T25058-2010信息系统安全等级保护实施指南[S].
[4]信息系统安全等级保护测评过程指南报批.
[5]信息系统安全等级保护测评准则报批.
[6]Nikolai Mansourov,Djenana Campara.System Assurance[M].Burl-ington,USA:Morgan Kaufmann Publishers,2011.
[7]Robin E Bloomfield,Sofia Guerra,Marcelo Masera,et al.AssuranceCases for Security[R].Washington DC,USA:Assurance Case Work-shop,2005.
[8]张雪芹,江常青,林家骏,等.基于符合性判定的CME信息系统安全风险评估模型[J].清华大学学报,2010,50(S1):66-71.
[9]徐萃华,林家骏,张雪芹.基于证据推理及评估用例的信息系统安全评估模型[J].华东理工大学学报,2010,36(6):818-824.
省教育技术中心唐连章主任介绍了信息安全工作背景,提出要全面贯彻落实教育部和省教育厅关于加强教育行业网络与信息安全工作的指导意见等文件精神,要求各省属中等职业学校认真部署本校的信息安全等级保护工作、强化信息网络安全责任、明确开展等级保护各项工作的时间节点,增强安全预警和应急处置能力,提高学校整体安全防护水平,形成与教育信息化发展相适应、完备的网络与信息安全保障体系。
省公安厅网警总队蔡旭副总队长以丰富的案例勾勒出当前信息安全工作面临的严峻形势,强调信息安全的重要性和紧迫性,要求各省属中职学校增强网络信息安全意识,选择符合资质的信息安全测评机构进行信息安全等级保护测评工作,建立信息化和安全建设同步机制和应急处置机制,共同维护国家信息安全。
教育信息安全等级保护测评中心广东测评部有关负责人作了专题培训,介绍了教育行业信息安全的形势、等级保护的政策和制度以及信息安全等级保护的工作流程。
广东省民政职业技术学校副校长刘伟峰代表学校作了信息安全建设工作的经验介绍。
【信息安全等级保护实务】推荐阅读:
信息安全等级保护规范06-28
如何理解信息安全等级保护与分级保护07-03
信息安全等级保护管理办法(试行)10-17
信息系统等级保护报告05-29
信息系统等级保护建设思路12-10
初中信息等级考试理论09-25
电力信息化与信息安全06-08
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24