1.等級(jí)保護(hù)是國(guó)家信息安全的基本制度
隨著我國(guó)信息技術(shù)的快速發(fā)展,為維護(hù)國(guó)家安全和社會(huì)穩(wěn)定,維護(hù)信息網(wǎng)絡(luò)安全,國(guó)務(wù)院于1994年頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)。條例中規(guī)定:我國(guó)的“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。2003年中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))明確指出“實(shí)行信息安全等級(jí)保護(hù)”。2007年公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室下發(fā)《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))明確規(guī)定“定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)”。“第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)……”。并制定了包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等50多個(gè)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。具體如下圖所示:
2012年,CSDN網(wǎng)站因未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度,造成了大量用戶信息泄露的嚴(yán)重后果。依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,北京市公安局對(duì)CSDN網(wǎng)站運(yùn)營(yíng)公司做出行政警告處罰。可見,開展等級(jí)保護(hù)工作是企業(yè)義不容辭的信息安全義務(wù)。
2.各行業(yè)或監(jiān)管部門落實(shí)信息安全等級(jí)保護(hù)工作的具體工作
隨著國(guó)家相關(guān)機(jī)關(guān)不斷出臺(tái)等級(jí)保護(hù)規(guī)范標(biāo)準(zhǔn),各行業(yè)或監(jiān)管部門迅速發(fā)文響應(yīng)并落實(shí)行業(yè)內(nèi)信息系統(tǒng)安全等級(jí)保護(hù)工作。例如,衛(wèi)生部2011年印發(fā)(衛(wèi)辦發(fā)[2011]85號(hào))《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知,明確衛(wèi)生行業(yè)信息系統(tǒng)實(shí)行“定級(jí)備案、建設(shè)與整改、等級(jí)測(cè)評(píng)”工作。中國(guó)人民銀行2012年制定了《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》、《金融行業(yè)信息信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》,2013年制定了《征信機(jī)構(gòu)管理辦法》(中國(guó)人民銀行令[2013]第1號(hào)),明確和規(guī)范金融機(jī)構(gòu)開展的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作。教育部2014年發(fā)布《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》(教技[2014]4號(hào))明確規(guī)定“各單位信息系統(tǒng)要按照教育行業(yè)有關(guān)規(guī)范準(zhǔn)確定級(jí)和備案”,“按照國(guó)際和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范要求進(jìn)行等級(jí)測(cè)評(píng)”。還有財(cái)政部、人力資源社會(huì)保障、交通運(yùn)輸行業(yè)、電力行業(yè)等監(jiān)管部門或行業(yè)都發(fā)布相應(yīng)文件明確落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)工作,建立、健全信息安全管理制度,落實(shí)安全保護(hù)技術(shù)措施,全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度。
3.等級(jí)保護(hù)測(cè)評(píng)的工作內(nèi)容
為了達(dá)到各級(jí)的安全保護(hù)能力要求,國(guó)家等級(jí)保護(hù)基本安全要求提出了技術(shù)要求和管理要求兩大類,涵蓋了物理(機(jī)房)、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維十個(gè)方面的內(nèi)容。如下圖所示。
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)(簡(jiǎn)稱“等級(jí)保護(hù)測(cè)評(píng)”)包括系統(tǒng)定級(jí)、系統(tǒng)備案、安全建設(shè)整改、等級(jí)保護(hù)測(cè)評(píng)、定期安全檢查五個(gè)階段。等級(jí)保護(hù)工作的實(shí)施過程如下圖所示:
等級(jí)保護(hù)測(cè)評(píng)是指信息系統(tǒng)運(yùn)營(yíng)、使用單位委托具有等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)其建設(shè)的已定級(jí)的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)過程,測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)過程中采用訪談、檢查和測(cè)試三大類的測(cè)評(píng)方法,具體細(xì)分為人員訪談、文檔審查、配置核查、現(xiàn)場(chǎng)觀測(cè)和工具測(cè)試等五個(gè)小類,對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估,驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)要求,并形成信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。其所包含的測(cè)評(píng)工作流程可參考下圖:
公安機(jī)關(guān)等安全監(jiān)管部門進(jìn)行信息安全等級(jí)保護(hù)監(jiān)督檢查時(shí),系統(tǒng)運(yùn)營(yíng)、使用單位必須提交由具有等級(jí)測(cè)評(píng)資質(zhì)的機(jī)構(gòu)出具的等級(jí)測(cè)評(píng)報(bào)告。
4.哪些行業(yè)需要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)
政府機(jī)關(guān):各大部委、各省級(jí)政府機(jī)關(guān)、各地市級(jí)政府機(jī)關(guān)、各事業(yè)單位等;
金融行業(yè):金融監(jiān)管機(jī)構(gòu)、各大銀行、證券、保險(xiǎn)公司等;
電信行業(yè):各大電信運(yùn)營(yíng)商、各省電信公司、各地市電信公司、各類電信服務(wù)商等;
能源行業(yè):電力公司、石油公司、煙草公司;
企業(yè)單位:大中型企業(yè)、央企、上市公司等;
其它有信息系統(tǒng)定級(jí)需求的行業(yè)與單位。
一些基于上級(jí)監(jiān)管單位要求和政策的強(qiáng)制要求開展等級(jí)保護(hù)測(cè)評(píng)的企業(yè)。例如,中國(guó)人民銀行要求征信機(jī)構(gòu)必須進(jìn)行等級(jí)保護(hù)測(cè)評(píng),所以多數(shù)相關(guān)機(jī)構(gòu)會(huì)委托經(jīng)人民銀行和國(guó)家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的認(rèn)證機(jī)構(gòu)CFCA(中國(guó)金融認(rèn)證中心)進(jìn)行測(cè)評(píng)。CFCA是國(guó)家級(jí)權(quán)威安全認(rèn)證機(jī)構(gòu),是國(guó)家重要的金融信息安全基礎(chǔ)設(shè)施之一,匯集高、精、尖人才,擁有優(yōu)秀的管理團(tuán)隊(duì)和工作扎實(shí)、飽含激情與活力的員工隊(duì)伍。CFCA在2013年已獲得公安部頒發(fā)的《等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力評(píng)估合格證書》、《等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》,CFCA成立的信息安全實(shí)驗(yàn)室擁有40多名具備信息安全等級(jí)測(cè)評(píng)師資質(zhì)的工程師,大部分工程師在等級(jí)保護(hù)測(cè)評(píng)領(lǐng)域有五年以上的工作經(jīng)驗(yàn),是國(guó)內(nèi)最權(quán)威的測(cè)評(píng)機(jī)構(gòu)之一。
5.組織中哪些信息系統(tǒng)需要實(shí)施等級(jí)保護(hù)
·電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。
·鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)
·市(地)級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。
·涉及國(guó)家秘密的信息系統(tǒng)。
6.開展等級(jí)保護(hù)測(cè)評(píng)的益處
對(duì)于企業(yè)來說,實(shí)施信息安全等級(jí)保護(hù)測(cè)評(píng)能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平,有效控制企業(yè)信息安全建設(shè)成本;有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任,加強(qiáng)企業(yè)信息安全管理。
對(duì)于信息系統(tǒng)來說,通過等級(jí)保護(hù)測(cè)評(píng)可及時(shí)發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改,當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時(shí),信息系統(tǒng)就基本可做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計(jì)、打不垮”。
具體包括:
·保障基礎(chǔ)設(shè)施安全,保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。
·保障網(wǎng)絡(luò)連接安全,保障網(wǎng)絡(luò)傳輸中的安全,尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。
·保障計(jì)算環(huán)境的安全,保障操作系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。
·保障應(yīng)用系統(tǒng)安全,保障應(yīng)用程序?qū)訉?duì)網(wǎng)絡(luò)信息的保密性、完整性和信源的真實(shí)的保護(hù)和鑒別,防止和抵御各種安全威脅和攻擊手段,在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。
·保障數(shù)據(jù)安全及備份恢復(fù),保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。
·安全管理體系保障。根據(jù)國(guó)家有關(guān)信息安全等級(jí)保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求,建立一套切實(shí)可行的安全管理體系,加強(qiáng)安全管理機(jī)制。
有需要網(wǎng)站二級(jí),三級(jí)等級(jí)保護(hù)測(cè)評(píng)的可以聯(lián)系我們QQ:445916843
推薦閱讀
本文標(biāo)題:企業(yè)為什么要開展等級(jí)保護(hù)測(cè)評(píng)?
地址:http://www.brh9h.cn/jishu/dengbao/304773.html
1/2 1
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示