1.等級保護(hù)是國家信息安全的基本制度
隨著我國信息技術(shù)的快速發(fā)展,為維護(hù)國家安全和社會穩(wěn)定,維護(hù)信息網(wǎng)絡(luò)安全,國務(wù)院于1994年頒布了《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)。條例中規(guī)定:我國的“計算機信息系統(tǒng)實行安全等級保護(hù)。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“實行信息安全等級保護(hù)”。2007年公安部會同國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室下發(fā)《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)明確規(guī)定“定期對信息系統(tǒng)安全等級狀況開展等級測評”。“第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評……”。并制定了包括《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護(hù)定級指南》、《信息系統(tǒng)安全等級保護(hù)基本要求》等50多個國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),形成了信息安全等級保護(hù)標(biāo)準(zhǔn)體系。具體如下圖所示:
2012年,CSDN網(wǎng)站因未落實國家信息安全等級保護(hù)制度,造成了大量用戶信息泄露的嚴(yán)重后果。依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》,北京市公安局對CSDN網(wǎng)站運營公司做出行政警告處罰。可見,開展等級保護(hù)工作是企業(yè)義不容辭的信息安全義務(wù)。
2.各行業(yè)或監(jiān)管部門落實信息安全等級保護(hù)工作的具體工作
隨著國家相關(guān)機關(guān)不斷出臺等級保護(hù)規(guī)范標(biāo)準(zhǔn),各行業(yè)或監(jiān)管部門迅速發(fā)文響應(yīng)并落實行業(yè)內(nèi)信息系統(tǒng)安全等級保護(hù)工作。例如,衛(wèi)生部2011年印發(fā)(衛(wèi)辦發(fā)[2011]85號)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知,明確衛(wèi)生行業(yè)信息系統(tǒng)實行“定級備案、建設(shè)與整改、等級測評”工作。中國人民銀行2012年制定了《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》、《金融行業(yè)信息信息系統(tǒng)信息安全等級保護(hù)測評指南》和《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實施指引》,2013年制定了《征信機構(gòu)管理辦法》(中國人民銀行令[2013]第1號),明確和規(guī)范金融機構(gòu)開展的信息系統(tǒng)安全等級保護(hù)測評工作。教育部2014年發(fā)布《教育部關(guān)于加強教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》(教技[2014]4號)明確規(guī)定“各單位信息系統(tǒng)要按照教育行業(yè)有關(guān)規(guī)范準(zhǔn)確定級和備案”,“按照國際和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范要求進(jìn)行等級測評”。還有財政部、人力資源社會保障、交通運輸行業(yè)、電力行業(yè)等監(jiān)管部門或行業(yè)都發(fā)布相應(yīng)文件明確落實信息系統(tǒng)安全等級保護(hù)工作,建立、健全信息安全管理制度,落實安全保護(hù)技術(shù)措施,全面貫徹落實信息安全等級保護(hù)制度。
3.等級保護(hù)測評的工作內(nèi)容
為了達(dá)到各級的安全保護(hù)能力要求,國家等級保護(hù)基本安全要求提出了技術(shù)要求和管理要求兩大類,涵蓋了物理(機房)、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)安全、安全管理制度、安全管理機構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運維十個方面的內(nèi)容。如下圖所示。
信息系統(tǒng)安全等級保護(hù)測評(簡稱“等級保護(hù)測評”)包括系統(tǒng)定級、系統(tǒng)備案、安全建設(shè)整改、等級保護(hù)測評、定期安全檢查五個階段。等級保護(hù)工作的實施過程如下圖所示:
等級保護(hù)測評是指信息系統(tǒng)運營、使用單位委托具有等級保護(hù)測評資質(zhì)的測評機構(gòu)對其建設(shè)的已定級的信息系統(tǒng)進(jìn)行等級保護(hù)測評過程,測評機構(gòu)在測評過程中采用訪談、檢查和測試三大類的測評方法,具體細(xì)分為人員訪談、文檔審查、配置核查、現(xiàn)場觀測和工具測試等五個小類,對信息系統(tǒng)進(jìn)行安全測評和風(fēng)險評估,驗證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級要求,并形成信息安全等級保護(hù)測評報告。其所包含的測評工作流程可參考下圖:
公安機關(guān)等安全監(jiān)管部門進(jìn)行信息安全等級保護(hù)監(jiān)督檢查時,系統(tǒng)運營、使用單位必須提交由具有等級測評資質(zhì)的機構(gòu)出具的等級測評報告。
4.哪些行業(yè)需要進(jìn)行等級保護(hù)測評
政府機關(guān):各大部委、各省級政府機關(guān)、各地市級政府機關(guān)、各事業(yè)單位等;
金融行業(yè):金融監(jiān)管機構(gòu)、各大銀行、證券、保險公司等;
電信行業(yè):各大電信運營商、各省電信公司、各地市電信公司、各類電信服務(wù)商等;
能源行業(yè):電力公司、石油公司、煙草公司;
企業(yè)單位:大中型企業(yè)、央企、上市公司等;
其它有信息系統(tǒng)定級需求的行業(yè)與單位。
一些基于上級監(jiān)管單位要求和政策的強制要求開展等級保護(hù)測評的企業(yè)。例如,中國人民銀行要求征信機構(gòu)必須進(jìn)行等級保護(hù)測評,所以多數(shù)相關(guān)機構(gòu)會委托經(jīng)人民銀行和國家信息安全管理機構(gòu)批準(zhǔn)成立的認(rèn)證機構(gòu)CFCA(中國金融認(rèn)證中心)進(jìn)行測評。CFCA是國家級權(quán)威安全認(rèn)證機構(gòu),是國家重要的金融信息安全基礎(chǔ)設(shè)施之一,匯集高、精、尖人才,擁有優(yōu)秀的管理團(tuán)隊和工作扎實、飽含激情與活力的員工隊伍。CFCA在2013年已獲得公安部頒發(fā)的《等級保護(hù)測評機構(gòu)能力評估合格證書》、《等級保護(hù)測評機構(gòu)推薦證書》,CFCA成立的信息安全實驗室擁有40多名具備信息安全等級測評師資質(zhì)的工程師,大部分工程師在等級保護(hù)測評領(lǐng)域有五年以上的工作經(jīng)驗,是國內(nèi)最權(quán)威的測評機構(gòu)之一。
5.組織中哪些信息系統(tǒng)需要實施等級保護(hù)
·電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。
·鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)
·市(地)級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。
·涉及國家秘密的信息系統(tǒng)。
6.開展等級保護(hù)測評的益處
對于企業(yè)來說,實施信息安全等級保護(hù)測評能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平,有效控制企業(yè)信息安全建設(shè)成本;有利于明確國家、法人和其他組織、公民的信息安全責(zé)任,加強企業(yè)信息安全管理。
對于信息系統(tǒng)來說,通過等級保護(hù)測評可及時發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改,當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時,信息系統(tǒng)就基本可做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。
具體包括:
·保障基礎(chǔ)設(shè)施安全,保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。
·保障網(wǎng)絡(luò)連接安全,保障網(wǎng)絡(luò)傳輸中的安全,尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。
·保障計算環(huán)境的安全,保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。
·保障應(yīng)用系統(tǒng)安全,保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實的保護(hù)和鑒別,防止和抵御各種安全威脅和攻擊手段,在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。
·保障數(shù)據(jù)安全及備份恢復(fù),保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。
·安全管理體系保障。根據(jù)國家有關(guān)信息安全等級保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求,建立一套切實可行的安全管理體系,加強安全管理機制。
有需要網(wǎng)站二級,三級等級保護(hù)測評的可以聯(lián)系我們QQ:445916843
推薦閱讀
本文標(biāo)題:企業(yè)為什么要開展等級保護(hù)測評?
地址:http://www.zcgs360.cn/jishu/dengbao/304773.html
1/2 1
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示