以信息安全等级保护为抓手开展信息安全建设
随着医疗卫生行业信息化程度的逐步提高,网络犯罪行为已经崭露头角。虽然在医疗卫生机构内已经部署了很多安全产品,但是仍然有很多的安全问题出现,对已经与信息化紧密相关的医疗卫生业务来讲,这会在极大程度上影响医疗卫生行业为公众进行服务的效果。因此,医疗卫生机构认真落实国家信息安全等级保护制度是十分必要的。
以信息安全等级保护制度为抓手开展信息安全建设
2011年,原卫生部印发了《卫生行业信息安全等级保护工作的指导意见》的通知,要求依据国家信息安全等级保护制度,遵循相关标准规范,在医疗卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作。
个人认为,以信息安全等级保护制度作为信息安全建设的抓手是一个很好的思路。很多人认为购买安全产品、做灾备、安装冗余设备等就能保证信息系统安全了,其实只是从微观角度看待安全,而信息安全应该是体系化的工作,要技术和管理并重,某种程度上,要“七分管理、三分技术”。信息安全是符合“木桶效应”观点的,将整个信息安全系统从一个完整的系统角度比作一个木桶,其安全水平是由构成木桶的最短的那块木板决定的。也就是说,我们的信息安全系统中,各个安全要素是同等重要的。正所谓“蝼蚁之穴,溃千里之堤”,各方面要素均不容忽视。
信息安全是一个管理过程,而不是一个技术过程。技术和产品要通过管理的组织职能才能发挥最好的作用,技术不高但管理良好的系统远比技术高但管理混乱的系统安全。因此,技术和产品是基础,管理是关键,建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会实现持续安全。
信息安全等级保护制度就是从信息系统的角度出发,重点在于确定信息系统的安全保护等级,并从技术和管理两个方面采取保护措施,使该系统具有与其等级相适应的安全保护能力。而信息安全等级保护工作的核心内容是:对信息系统进行分等级保护、分等级监管。这是也对信息安全等级保护工作最通俗的解释。
医疗卫生行业应该如何开展信息安全等级保护工作
《信息安全等级保护管理办法》(公通字〔2007〕43号),规定了国家等级保护的实施和管理工作,为响应该文件,医疗卫生行业信息系统应完成以下工作:定级备案、安全建设或改建、等级测评、自查、检查。
个人认为,医疗卫生行业在开展信息安全等级保护工作过程中应该重点遵循以下四个原则:一是自主保护原则。信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。二是重点保护原则。根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统,如HIS。三是同步建设原则。信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。四是动态调整原则。要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
同时,在开展信息安全等级保护工作时可以参考和结合国际标准ISO/IEC27001:2005,《信息安全管理体系要求》,利用过程方法和PDCA模型开展信息安全管理的各项工作,在整个过程中,规定管理职责、资源管理、持续改进等多方面的要求,完全从体系化的角度,对信息安全管理工作的各方面加以规范。特别要强调的是安全工作不是一个项目,而是一个长期持续改进的过程。需要不断根据自己业务变化,根据外界的环境,进行持续改进。
医疗卫生行业开展信息安全等级保护工作的现状
目前,国内大部分医疗卫生机构都在开展信息安全等级保护工作。个人认为,北京和上海的工作经验是比较好的。北京从定级备案入手,以北京市原卫生局和北京市公安局网安处、文保处联合培训、检查、督导来促进信息安全等级保护工作的开展。上海是以等级测评工作入手来促进信息安全等级保护工作的开展,由上海市卫生局跟上海市测评中心联合,要求各个医院都必须进行测评工作,而且他们把管理要求制定模板下发到各医院。
然而据了解,到目前为止,北京的医院只有阜外心血管病医院完成了等级保护第三级测评工作,其他大部分医院只完成了定级备案,部分医院开始了安全整改工作。就目前情势看,原卫生部要求全国卫生行业各个单位全面开展信息安全等级保护工作,于2015年年底完成信息安全等级保护建设整改工作,定为第三级的系统还要通过等级测评的要求很难完成。
医疗卫生行业信息安全等级保护工作落地难的原因
个人认为医疗卫生行业等级保护工作落地难的原因之一是资金问题,安全建设或整改工作、等级测评工作都需资金的支持。另外一个原因是,大部分医院目前采用是物理隔离,认为物理隔离的安全风险小,对开展信息安全等级保护工作的热度并不高。但是,物理隔离的办法是会越来越行不通的,比如说与医保网互联、开通微信平台、通过支付宝支付、移动终端接入,内部局域网不可避免地要跟外网互联。其实物理隔离也不一定安全,如果不做好管理,人为加入无线网卡或用其他线联接外部网络还是会面临风险,例如患者隐私泄露。还有一个重要的原因是安全意识问题,医疗卫生机构应该充分认识到开展等级保护工作对自身信息系统安全的重要性和必要性。医疗卫生机构开展业务工作依赖着信息系统,如果信息系统瘫痪了,业务工作就无法正常开展。所以不能片面理解为信息安全只是信息保密,信息安全是业务安全,是生产作业安全,是指挥调度安全。
信息安全等级保护工作体会
对于医疗卫生行业开展等级保护工作谈几点个人的体会。首先,开展信息安全等级保护工作需要整体化考虑,信息系统在安全定级时可能会分为第一级、第二级、第三级,但是信息主管不能只关注第三级系统,要整体考虑信息安全策略及不同等级系统的互联互通的问题。
其次,医疗卫生行业要想开展好等级保护工作,应该由国家牵头在行业专家的共同参与下,在国家信息安全等级保护制度基本要求的基础上制定我们行业的细则,如医疗卫生行业信息安全等级保护定级细则、医疗卫生行业信息安全等级保护基本要求细则,在细则里加强技术手段和管理手段的要求。我认为这是非常重要的一件事,也是我呼吁医疗卫生行业必须要做的一件事。
第三,信息安全应该是管理与技术并重。有的时候更应该从人员管理上入手,才能真正做好安全保护工作。信息安全等级保护工作中的难点往往是管理上的难点,管理制度落地难,不能常态运行。其实,部分信息安全管理工作是可以借助信息化手段来实现的。
第四,安全是适度安全,没有绝对的安全。安全是一个自我接受程度,是基于风险的管理。面临风险应该有几种策略,一种是规避、一种是转移、一种是降低,最后是接受。
第五,随着外界风险的变化,内部系统的调整,信息安全应该是持续改进的过程。信息安全工作跟运维工作一样,是需要持续改进的。
第六,主观认识上应该从“要我做”转变为“我要做”。其他行业的单位,如银行、证券公司等,早已完成了信息安全等级保护测评工作,并且大部分单位都是结合国际标准ISO/IEC27001:2005去落实的,为什么?因为落实之后安全风险大幅度减小,且风险可控,它的信用程度或者股民对它的认可度就高。现在我们医疗卫生行业也需要有这样的认识,落实信息安全等级保护工作其实是减小自己信息系统的风险并能提高民众的认可度、信赖度,是我们必须要去持续开展的一项工作。
作者:王晖
伴随国家林业信息化发展“十二五”规划的出台,林业
信息系统利用率稳步上升,有利于建立高效便捷、功能齐备、互通互联的现代化林业信息体系,全面推动林业决策科学化、办公规范化、监督透明化、服务便捷化;与此同时,面对日益凸显的网络安全问题,怎样确保林业信息系统的安全,已经成为政府机关的一项重要课题。
为提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,我国制定和发布了约95个信息系统等级保护相关的国标、行标,包括技术与机制、测评标准、管理标准与其他项四大类标准,形成了一套比较完备的信息安全等级保护准则。
主要参照标准
林业信息系统安全等级保护主要参照《计算机信息系统安全保护等级划分准则》(GB17859-1998)的强制性国家标准,标准规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
总体工作目标
林业信息系统力求通过开展信息安全等级保护工作,制定切实有效的等级保护内部管理制度与规范,同时调动全员参与,明确责任人,通过开展培训牢固树立全员信息安全防线,从而全面保障林业信息系统对于一般自然灾害与外部威胁和攻击的抵抗能力、恢复能力与安全漏洞的修复能力,不断提高林业非涉密信息系统的安全保护能力。
总体设计
林业信息系统的安全保护设计思想是巩固现有信息系统的运行安全机制,以终端安全为切入点,全面有效保护整体信息系统安全。同时,在设计思想上,以防内为主,同时注重外部防御,提高各个节点自身防护能力,强化终端防护设计,全面提高林业系统非涉密信息系统的整体安全防护能力。
总体设计主要从计算机环境、区域边界、通信网络三方面考虑。
计算机环境就是基本用户的设备环境,由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成。在计算机环境设计上主要涉及机房场地环境、磁场、静电、电磁波辐射与干扰、电源保护、应急备份措施、计算机个体。
区域边界是计算环境的边界,对进入和流出应用环境的信息流进行安全检查和访问控制。主要通过网络接入控制、关闭网络设备未使用端口、IP/MAC地址绑定来实现。
通信网络是计算环境之间实现信息传输功能的部分,对通信双方进行可信鉴别验证,实施数据传输完整性和保密性保护。在林业信息系统中通信网络主要部署VPN网关、管理员权限控制、安全审计等安全机制,实现接入通信网络设备的可信检验,以及应用系统的抗抵赖保护。
实施林业信息安全等级保护制度并全面落实,有利于解决并提高林业信息安全能力与水平。由于很多林业职工长期在户外工作,通讯与各项设施落后,与外界交流不畅,一方面造成林业职工信息化意识不足,另一方面造成信息化安全意识不足,对信息安全的认识与落实往往流于形式,实施不够,同时,不少单位没有防范设备和防范措施,存在着诸多隐患。这些问题已经严重制约林业信息化的健康发展,成为影响国家信息化发展战略目标实现、维护国家信息安全的问题,必须引起我们的高度重视,尽快逐步加以解决。
因此,我们必须把握好现代林业信息化发展的需求与目标,切实增强实施林业信息安全等级保护的责任感、紧迫感与使命感,认真全面落实中央的各项部署,针对本部门情况,制定切实有效的管理措施,加快林业信息化安全建设步伐,保障现代林业、数字林业的无限生机与活力。
(作者单位:山东省林业局,济南市房产测绘研究院)
作者:赵怡康 史大林 李春光
在信息化时代,信息安全成为国家安全和企业安全的重要组成部分,电力与银行、证券、海关、铁道、民航、税务一起被国家确定为七个重点行业信息安全领域。等级保护是国家推行的信息安全保障基本制度之一。随着信息化建设不断深入,信息技术应用已渗透到企业的每一项业务,业务对信息系统的依赖程度越来越高,其基础性、全局性、全员性作用日益增强。信息化是一把“双刃剑”,在为企业带来提高工作效率和管理水平、增强竞争能力等益处的同时,也为企业带来了安全风险,安全风险与信息化水平的提高同步增长。提升企业信息系统安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,成为信息化工作的新任务。
安全防护需求
《信息安全技术一信息系统安全等级保护基本要求》(GB/T22239-2008)明确了基本要求,电网作为重点行业信息安全领域,充分结合自身安全的特殊要求,在对国家标准消化基础上进行深化、扩充,将二级系统技术要求项由79个扩充至134个,三级系统技术要求项由136个扩充至184个,形成了企业信息系统安全等级保护要求,见表1。
安全防护架构与策略
按照纵深防御的思想设计安全防护总体架构,核心内容是“分区、分级、分域”,如图1所示。分区就是按照《电力二次系统安全防护规定》(电监会5号令)将信息系统划分为生产控制大区和管理信息大区两个相对独立区域进行安全防护。分级就是将部署于大区的各系统分别确定安全保护级别实现等级化防护。分域就是将部署于大区的各系统,依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。总体上形成了“区、级、域”多梯次大纵深的安全防护构架。
生产控制大区和管理信息大区的系统特性不同,安全防护策略也不尽不同。本文仅描述管理信息大区的安全防护策略。管理信息大区部署管理类业务的系统,安全防护遵循以下策略:
(1)双网双机。将管理信息大区网络划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面主机;
(2)分区分域。将管理信息大区的系统,依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;
(3)等级防护。管理信息系统以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计;
(4)多层防御。在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计,以实现层层递进,纵深防御。
安全防护设计
信息系统安全防护按照边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护四个层次进行防护措施设计。
(一)边界安全防护
边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测时间的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。
边界安全防护关注对进出该边界的数据流进行有效的检测和控制,有效的检测机制包括基于网络的入侵检测(IDs)、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护、虚拟专用网(VPN)以及对于远程用户的标识与认证/访问权限控制。上述边界安全防护机制与其它层面安全措施可协同使用以提供对系统的防护。
信息系统边界归为信息外网第三方边界、信息内网第三方边界、信息内外网边界、信息内网纵向上下级单位边界及横向域间边界五类,安全防护设计见表2
(二)网络安全防护
网络环境安全防护的目标是防范恶意人员通过网络对应用系统进行攻击,同时阻止恶意人员对网络设备发动的攻击,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段发现攻击意图,在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件跟踪、事件源定位以发现恶意人员位置或及时制定相应的安全策略防止事件再次发生。
网络安全防护面向企业整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由器、交换设备及安全防护体系建设所引入的安全设备。安全防护设计见表3。
(三)主机安全防护
主机系统安全的目标是确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的影响以进行后续处理。
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB服务器、文件与通信等;桌面终端是作为终端用户工作站的台式机与笔记本计算机。安全防护设计见表4。
(四)应用防护
应用安全防护的目标是保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
应用安全防护包括对于应用系统本身的防护、用户接口安全防护和对于系统间数据接口的安全防护。安全防护设计见表5。
安全防护实施
信息系统安全等级保护实施涉及到系统定级、现状测评、安全建设改造方案编写及实施、等保符合度测评、备案等工作。依据《信息安全技术一信息系统安全等级保护定级指南》(GB/T22240-2008)开展定级工作,定级结果报政府主管部门审批确认。现状测评委托专业机构进行,测评结果作为安全建设方案编写的主要依据。安全域是安全防护总体架构的关键环节,是方案制定的关键内容之一。
管理信息大区划分为内网和外网,内网部署为公司内部员工服务的系统,外网部署对外服务的系统。安全域是由一组具有相同安全保障要求、并相互信任的系统组成的逻辑区域,同一安全域的系统共享相同的安全保障策略。按照等级保护的思想,安全域按照“二级系统统一成域,三级系统独立分域”原则划分。将等级保护较高的三级系统按独立的安全域进行安全防护,以实现三级系统的独立安全防护,将所有二级系统作为一个安全域进行安全防护可降低成本。定级和安全域划分见表6。
限于篇幅,系统建设改造方案细节、等保符合度测评等内容不在此赘述。
依照信息系统不同安全防护等级,以安全域为防护主体,对信息内、外网的信息系统开展等级化安全防护,实施边界、网络、主机及应用逐层递进的纵深防御,规范部署基础安全防护措施,全面提高信息系统安全防护能力。通过等级保护实施,实现了国家等级保护标准在电网企业的落实完善,形成了适应电网自身特点的防护要求。公司ERP系统(三级),广域核心网络、营销管理信息系统、调度生产管理系统分别通过了公安部门组织的三级、二级等级保护符合性测评。公司成为浙江省内首家通过等级保护测评的单位,也是电力行业内首家通过地方政府测评的电力企业。信息系统随着需求改变不断变更,信息安全是一个动态的体系,等级保护建设不是一次性任务,而是一项长期不懈的工作。
作者:王志强
信息安全等级保护(二级) 信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
2
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
6
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
8
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
9
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
10
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
11
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
13
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
14
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
15
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
16
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录) 50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警 20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录) 50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。 2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1) 政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2) 实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
(第33期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-04
全国重要信息系统安全等级保护定级工作取得
重大成效
为了保障党的“十七大”胜利召开和北京奥运会的顺利举办,按照《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》和《国家网络与信息安全协调小组2007年工作要点》安排,公安部会同国家保密局、国家密码管理局、国务院信息办于2007年7月份开始,在全国范围内部署开展了重要信息系统安全等级保护定级工作(以下简称“定级工作”)。几个月来,各级公安、保密、密码、信息办密切配合,周密部署,广泛宣传,加强指导,各重要信息系统运营使用单位及其主管部门认真组织,积极落实,定级备案工作取得重大成效,基本完成了全国重要信息系统的定级工作任务。
一、定级工作明确重点、突出重点,有力地推动了国家信息安全保障工作
此次定级的范围和对象主要是电信、广电行业的公用通信网、广播电视传输网等基础信息网络;涉及国计民生的重要行业中生产、调度、指挥、控制、管理、办公等重要信息系统;国有大型骨干企业的重要信息系统;市(地)级以上党政机关的重要网站、管理系统和办公系统;涉及国家秘密的信息系统。定级工作覆盖了国家重要领域、重要部门,明确了重点、突出了重点。绝大多数备案信息系统定级准确、备案及时,为深入开展信息安全等级保护工作,全面落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),提高国家基础网络和重要信息系统安全保护能力奠定了坚实基础。
二、各地区、各部门高度重视,狠抓落实
(一)及时成立等级保护工作领导机构,为定级工作的顺利开展提供了组织保证。2007年7月20日,公安部、国家保密局、国家密码管理局和国务院信息办组织召开“全国重要信息系统安全等级保护定级工作电视电话会议”后,各级党委政府和主要领导高度重视,迅速作出了明确批示或指示。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案。人民银行、铁道部、海关总署、电监会、水利部、信息产业部、广电总局、税务总局、证监会等50多个部(委、局)专门成立了由主要领导挂帅的等级保护领导(协调)机构,确定责任部门,召开全系统会议,部署定级工作,为定级工作的顺利开展提供了组织保证。各省(区、市)或专门成立了由主要领导挂帅的等级保护领导(协调)机构,或由网络与信息安全协调小组领导开展定级工作,并落实了由公安机关牵头,保密部门、密码部门、信息办参加的等级保护工作办公室。
(二)各地区、各部门认真贯彻定级工作会议和通知精神,认真抓好落实。各省(区、市)和各部(委、局)根据全国定级工作电视电话会议和四部委通知精神,结合本地区、本行业实际,研究制定下发定级工作指导意见或实施方案,确定技术支持单位,组建专家组,认真开展定级工作。铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业还召开了专门会议,部署定级工作或开展集中培训。通过培训,各单位、各部门准确理解等级保护政策和标准,定级工作趋于规范化。人民银行、劳动和社会保障部、国家体育总局、水利部、发改委、商务部、卫生部、证监会、新华社等30多个部(委、局)请专家对定级系统进行了评审。通过开展定级工作,各单位、各部门提高了对国家信息安全保障工作重要性的认识,加深了对信息安全等级保护制度的理解,同时,培养和锻炼了信息安全队伍。
三、各级公安、保密、密码、信息办密切配合,认真组织,确保定级工作顺利实施
公安机关与保密部门、密码部门、信息办密切配合,按照全国重要信息系统安全等级保护定级工作电视电话会议精神和部署,积极组织各行各业开展定级工作。主要措施是:
(一)及时举办了定级工作培训班。2007年7月31日,公安部在北京举办了为期一天的中央和国家机关定级工作培训班。在京的中央和国家机关各部委、国务院各直属机构、办事机构、事业单位共93家单位150余人参加了培训。各省(区、市)公安机关也举办了相关部门参加的培训班,重点就开展定级工作的政策、内容、要求以及相关技术进行了培训。
(二)召开了全国公安机关信息安全等级保护工作会议。2007年8月2日至3日,公安部在黑龙江召开了全国各省(区、市)、计划单列市和副省级以上城市公安机关网监部门的分管领导和业务骨干共120余人参加的信息安全等级保护工作会议,对全国公安机关牵头组织开展信息安全等级保护工作进行了全面部署。各省(区、市)公安机关也按照公安部的部署,及时召开了公安机关信息安全等级保护工作会议,对本省(区、市)公安机关牵头组织开展信息安全等级保护工作进行了部署。
(三)开展了对信息系统主管部门和运营使用单位定级工作的监督、检查和指导。一是组织召开了十部委定级工作汇报交流会。2007年9月18日,公安部召集信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会等十家基础信息网络和重要信息系统主管部门的有关处长召开了定级工作汇报交流会,听取了十部委定级工作部署开展情况的工作汇报和工作建议,交流了定级工作经验和体会,并就加快开展定级工作提出了明确要求。二是加强对有关部门定级工作的指导和支持。从2007年9月24日开始到现在,公安部会同有关专家,对国家工商总局、国土资源部、教育部、卫生部、劳动与社会保障部、交通部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、证监会、电监会、保监会、科技部、财政部、外交部、人事部、气象局等20多个部委的定级工作进行上门指导和调研,各地公安机关也同步开展上门指导工作,进行政策解读,协助解决工作中存在的问题,推动了所到单位定级工作的开展。三是配合有关部门开展定级工作培训。截至目前,公安部应邀参加了铁道部、人民银行、海关总署、国税总局、证监会、电监会、国防科工委、民航总局、农业部、商务部、国家统计局、质检总局、水利部、文化部、科技部、国家体育总局、国资委、国家民委、国土资源部、国家地震局、国家海洋局、国家外汇管理局、中国进出口银行等40多个部(委、局)以及国家电网公司、中石油集团、中石化集团、中材集团、建筑设计院等中央骨干企业的定级培训班,直接为培训人员讲解有关政策和标准,为有关部门的定级工作提供支持。各地公安机关也为本地相关部门组织的培训班提供了指导和帮助。四是及时反映各地区、各部门的工作进展,加强工作经验交流。为及时反映、交流各地区、各部门开展定级工作的做法和经验,公安部以国家信息安全等级保护工作协调小组办公室名义编发了《信息安全等级保护工作简报》30多期,发各部委、奥组委和全国公安网监部门、信息办,强化了对定级工作的指导。
(四)及时出台备案、监督检查等工作规范,使定级备案、监督检查工作法制化。各级公安机关精心组织受理备案和备案材料的审核工作,严格把关。公安部及时出台《信息安全等级保护备案实施细则》,确保了定级备案工作的顺利进行,正在研究制定《公安机关信息安全等级保护监督检查规范》,为下一步开展监督检查工作打下良好基础。
四、分析定级备案数据,进一步明确等级保护工作重点
全国重要信息系统定级工作是等级保护工作的首要环节和关键环节,这项工作的基本完成,标志着我国信息安全保障工作步入科学化、规范化、标准化阶段,对我国信息安全保障工作将会起到巨大的推动作用。根据此次定级备案的情况,对反映出的国家信息安全状况作初步分析:
(一)高依赖度的信息系统所占比例大、数量多,反映出我国信息化发展迅猛,社会进步、经济发展对重要信息系统具有强依赖性。根据备案数据统计,银行、铁路、民航、税务、海关、电力、证券等重要领域的生产、调度、管理、控制、指挥等重要业务完全依赖或较强依赖的信息系统占备案总数的较大比例。说明这些重要业务均已实现了信息化,并对信息系统具有很强的依赖性,这些系统一旦瘫痪,重要领域、部门的生产、调度、办公等重要业务工作将完全停顿或受到严重影响。因此,在定级备案后,各部门、各单位应及时按标准开展安全建设整改和等级测评工作,解决随时可能发生的安全事件和事故,堵塞漏洞和安全隐患。
(二)重要信息系统集中在广电、银行等重要行业,需要尽快落实安全措施重点保护。根据备案数据统计,第三级以上的重要信息系统主要分布在电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、财政、教育、科技、国防、交通、文化、工商、劳动保障、水利、卫生、统计等涉及经济命脉、社会发展的重点行业、重点领域。全国范围服务的特大型信息系统占有较大比重。因此必须重点维护和保障这些重要行业信息系统,特别是涉及全国范围的特大型信息系统的安全,从根本上提升国家基础信息网络和重要信息系统整体安全保护水平。
(三)有些部门信息安全责任、安全措施和安全制度不落实,信息系统存在严重的安全隐患和问题。公安机关在督促、检查、指导有关单位定级工作中发现,一些重要信息系统的安全状况十分令人担忧,以至发生严重的信息安全事件,直接威胁国家安全和北京奥运会的顺利举办。信息系统主管部门和运营使用单位必须通过实施等级保护,突出重点,严格进行安全建设、整改,落实安全责任,建设安全设施,落实安全措施,从根本上解决重要信息系统存在的严重问题,扭转信息安全面临的被动局面。
(四)加快开展信息系统安全建设整改和等级测评工作,全面落实国家信息安全等级保护制度。重要信息系统定级备案情况表明,我国基础信息网络和重要信息系统业已成为国家关键基础设施,在国家经济发展、社会进步中的基础性、关键性、全局性作用日益增强,全面加快和推进国家信息安全等级保护工作,有效保护基础信息网络和重要信息系统安全至关重要。2008年北京奥运日益临近,奥运网络以及为奥运提供服务保障的基础网络和重要信息系统的安全直接影响奥运会的顺利举办。虽然全国重要信息系统的定级备案工作基本完成,但国家信息安全等级保护工作才刚刚开始,因此,各部门、各单位要在定级备案工作的基础上,选择技术支撑力量,制定安全建设整改规划和方案,按照《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等规范标准,加快对三级以上信息系统开展安全建设整改、等级测评、自查等工作,并配合公安机关、国家保密部门和国家密码工作部门开展监督、检查。各级财政和发展改革部门应对重要信息系统安全建设整改和等级测评工作给予支持,以确保国家信息安全等级保护制度的有效贯彻和实施。
(第32期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2007-12-20
北京奥运网络与信息系统安全等级保护工作快速推进
随着北京奥运会的临近,有效保护奥运会网络与信息系统安全的重要性、紧迫性日益凸显,奥运网络与信息系统的安全已成为北京奥运会能否顺利举办的关键问题之一。为此,北京奥组委信息网络安全委员会和技术部高度重视奥运网络与信息系统安全等级保护工作,积极行动,认真协调,快速有效地推进等级保护各项工作的开展,为全面提高奥运会网络与信息系统的安全保护能力发挥出了重要的作用。目前,北京奥运网络与信息系统的定级、备案、安全等级技术测评工作已经完成,目前正在根据测评情况全面开展安全建设整改工作。
一、高度重视,认真部署
7月20日“全国重要信息系统安全等级保护定级工作电视电话会议”后,北京奥组委技术部在国家信息安全等级保护工作协调小组办公室的指导下,会同北京市公安局网监处、公安部信息安全等级保护评估中心、奥运网络与信息系统承建运营方等部门共同研究开展奥运网络与信息系统安全等级保护定级工作。为便于奥运网络与信息系统定级工作的快速推进,国家信息安全等级保护工作协调小组办公室、奥组委技术部、北京市公安局、公安部信息安全等级保护评估中心联合成立了工作组,制定工作方案,组织协调奥运网络与信息系统等级保护各项工作的开展。
二、认真开展基础调查,确定定级对象
北京奥组委技术部会同有关部门,认真梳理奥运网络与信息系统,专门听取了搜狐公司、奥组委票务中心、北京网通等承建运营方的详细介绍,对奥运主要网络和信息系统的种类、规模、承载主要业务、应用范围、责任部门等情况进行了详细的摸底调查,深入了解了奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站等基本情况。在此基础上,依据《信息安全等级保护管理办法》以及相关配套技术标准,确定了等级保护定级对象。
三、认真研究,合理确定信息系统安全保护等级 奥组委技术部根据奥运办公外网、奥运办公内网、票务网站和票务管理系统、奥运官方网站的重要性,以及其损害后对北京奥运会的危害性,初步确定了系统的安全保护等级。为确保定级准确,奥组委技术部邀请沈昌祥院士等专家对奥运网络和信息系统所定等级进行了评审,并对奥运所有网络和信息系统进行了全面梳理。奥组委技术部根据专家意见,最终科学、合理确定了各系统的安全保护等级。奥运网络与信息系统安全保护等级确定后,奥组委技术部组织奥运网络与信息系统运营使用相关单位按照《信息安全等级保护管理办法》关于定级备案的规定和要求,及时向北京市公安局完成了备案工作。
四、开展等级技术测评,认真落实整改措施
定级备案工作完成后,为全面掌握奥运网络与信息系统的安全保护状况,以及其符合信息系统安全保护等级基本要求的情况,2007年11月份,奥组委技术部聘请公安部信息安全等级保护评估中心,依据信息系统的等级保护基本要求及奥组委信息系统的特殊安全需求,对北京奥组委官方网站、办公内网和办公外网进行了安全等级技术测评。测评内容涵盖物理安全、网络安全、主机系统安全、应用系统安全、数据安全等多个层面。公安部信息安全等级保护评估中心根据测评情况,及时出具了测评报告。目前,奥组委技术部针对测评发现的安全隐患和问题,制定了详细的整改计划,正在组织有关部门对奥运网络和信息系统开展安全建设、整改,落实安全责任,建设安全设施、落实安全措施和安全管理制度,全力保障奥运网络与信息系统安全。
(第36期)
来自:国家信息安全等级保护工作协调小组办公室 时间:2008-01-23
广东省出台地方法规实现信息安全等级保护工作
法制化
为加强和规范信息安全等级保护工作,2007
年12月20日广东省第十届人民代表大会常务委员会第三十六次会议通过了《广东省计算机信息统安全保护条例》(以下简称《条例》),并将于2008年4月1日正式实施。该《条例》的出台,全面实现了广东省信息安全等级保护工作的法制化,为下一步深入贯彻落实国家信息安全等级保护制度奠定了坚实基础。
一、工作过程
随着信息安全等级保护工作的全面实施,广东省公安厅将《条例》的制定出台工作提上日程。广东省公安厅网警总队组织专门人员起草了《条例》(征求意见稿)和长达5万多字的立法指引,并广泛征求了各市公安网监部门以及省直16个单位意见建议,广东省委常委、公安厅厅长梁伟发同志多次关心立法进展,何广平副厅长也多次参与研究讨论,在此基础上形成了送审稿报广东省政府。广东省政府法制办在审查核过程中,在互联网上公开征求了意见,并根据各单位的意见作了进一步的修改后报广东省人大。在广东省人大法工委主任的牵头组织下,省人大法工委、内司委和省政府法制办、公安厅落实专门人员逐条进行修订,最终经广东省人大常委会委员投票,获全票通过。
二、《条例》规定的主要内容
《条例》共46条,分为总则、安全管理、安全秩序、安全监督、法律责任、附则等六章。《条例》根据《中华人民共和国计算机信息系统安全保护条例》的有关规定,吸收了《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号)和《信息安全等保护管理办法》(公通字[2007]43号)的核心内容,将国家四部委的规范性文件转化为地方法规予以强制施行,为开展信息安全等级保护工作的提供了依据和保障。
(一)明确了信息系统建设完成后须经等级测评合格才可投入使用。《条例》第十二条规定了第二级以上计算机信息系统建设完成后,运营使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
(二)规定了信息系统的运营使用单位应当建立的安全管理制度和措施。《条例》第十条、第十一条规定计算机信息系统的运营使用单位应当建立、健全计算机信息系统安全管理制度,确定安全管理责任人。第二级以上计算机信息系统的运营使用单位应当建立安全保护组织,并报地级以上市人民政府公安机关备案。同时,《条例》第十八条规定第二级以上计算机信息系统应当建立并落实的9项安全管理制度,包括计算机机房安全管理制度、安全责任制度、网络安全漏洞检测和系统升级制度、系统安全风险管理和应急处置制度、操作权限管理制度、用户登记制度、重要设备、介质管理制度、信息发布审查、登记、保存、清除和备份制度、信息群发服务管理制度,并在第十九条规定了相应的安全保护技术措施。
(三)明确了突发事件应急处置制度。《条例》第十六条、第十七条、第三十四条规定了计算机信息系统运营使用单位的报告义务、预案制定义务、协作义务以及公安机关的应急处置职权,即对计算机信息系统中发生的案件和重大安全事故,计算机信息系统的运营使用单位应当在二十四小时内报告县级以上人民政府公安机关,并保留有关原始记录。第二级以上计算机信息系统发生重大突发事件,有关单位应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。地级市以上人民政府公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。
(四)《条例》规范了安全服务行业的管理。《条例》规定公安机关加强对计算机信息系统安全服务机构的指导,推动安全服务质量和技术水平的提高。鉴于信息安全产品的双刃剑作用,《条例》第三十条确立对病毒防治、远程控制、密码猜解、漏洞检测、信息群发等技术产品和工具的生产、销售和提供等行为实施备案制度,便于掌握相关情况,确保信息系统安全。同时,为加强对信息安全工作人员的管理,《条例》第三十七条规定了地级市以上人民政府公安机关和人事部门应当组织计算机信息系统的运营使用单位的安全保护组织成员、管理责任人、信息审查员参加信息安全专业技术培训。
(五)《条例》规定了明确的法律责任。《条例》第四十条、第四十二条、第四十三条对违反计算机信息系统安全保护规定的行为明确了相应的法律责任,对计算机信息系统运营使用单位违反信息安全等级保护相关要求,如系统投入使用前未经符合国家规定的安全等级测评机构测评合格的,未履行备案义务,未建立安全保护组织,未落实安全措施,在突发事件处置中不服从调度指挥的,公安机关可处以警告、罚款、停机整顿等处罚,为信息安全等级保护工作的推进提供了强有力的法律武器。
推荐阅读:
信息安全等级保护规范06-28
信息系统等级保护报告05-29
电力信息化与信息安全06-08
信息安全团队06-05
信息安全试题06-27
信息安全策略集06-08
信息安全保密操作规程05-26
1.信息安全保密制度05-26
企业信息安全审查重点05-29
公司信息安全学习心得05-30
