Download
1 / 42
420 likes | 557 Views
信息安全管理有关 规定和要求. 江西省公安厅网络安全保卫总队专家组 吴 雷 公安部认证等级保护测评师. 信息安全管理有关规定和制度. 第一部份 互联网安全保护技术措施规定 第二部份 等级保护制度的贯彻和实施. 《 互联网安全保护技术措施规定 》 的目的. 保障. 互联网网络安全和信息安全. 促进. 互联网健康、有序发展. 维护. 国家安全、社会秩序和公共利益. 《 规定 》 具体条款. 第三条 互联网服务提供者、联网使用单位 负责 落实互联网安全保护技术措施 ,并保障互联网安全保护技术措施功能的正常发挥。
E N D
信息安全管理有关规定和要求 江西省公安厅网络安全保卫总队专家组 吴 雷 公安部认证等级保护测评师
信息安全管理有关规定和制度 第一部份互联网安全保护技术措施规定 第二部份 等级保护制度的贯彻和实施
《互联网安全保护技术措施规定》的目的 保障 互联网网络安全和信息安全 促进 互联网健康、有序发展 维护 国家安全、社会秩序和公共利益
《规定》具体条款 • 第三条互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施,并保障互联网安全保护技术措施功能的正常发挥。 • 第四条互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的除外。 • 第五条公安机关网络安全保卫部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。
《规定》具体条款 • 第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施: (一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施; (二)重要数据库和系统主要设备的容灾备份措施; (三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施; (四)法律、法规和规章规定应当落实的其他安全保护技术措施。
《规定》具体条款 • 第十五条违反本规定第七条至第十四条规定的,由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。
《规定》具体条款 • 第十六条 公安机关在依法监督检查时,互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题,应当提出改进意见,通知互联网服务提供者、联网使用单位及时整改。
《规定》具体条款 2005年11月23日,公安部部长周永康签署了中华人民共和国公安部第82号令,发布《互联网安全保护技术措施规定》(以下简称“规定”)并于2006年3月1日起施行。
信息安全有关规定和制度 第一部份 互联网安全保护技术措施规定 第二部份 等级保护制度的贯彻和实施
信息安全等级保护制度 一、 什么是信息安全等级保护制度 二、 开展信息安全等级保护工作作用 三、 怎么样开展信息安全等级保护工作
信息安全等级保护制度 一、什么是信息安全等级保护制度
什么是信息安全等级保护制度 一、信息安全等级保护是我国信息安全保障工作的一项基本制度。 二、信息安全等级保护是一种管理规范和技术标准。 三、信息安全等级保护是维护国家基础信息网络和重要信息系统安全最直接、有效的措施。 四、信息安全等级保护是世界各国普遍推行的信息安全保护基本制度。
信息安全等级保护的内容 • 一是对信息系统分等级实施安全保护 • 二是对信息系统中使用的信息安全产品实行分等级管理 • 三是对信息系统中发生的信息安全事件分等级响应处置
等级保护的内容 • 根据信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,依据国家规定的等级划分标准确定其保护等级,自主进行信息系统安全建设和安全管理,并按照所定等级进行安全建设,落实安全责任和安全技术措施。提高安全保护的科学性、整体性、实用性。
信息安全标准体系 1、《信息系统安全等级保护实施指南》 2、《信息系统安全保护等级定级指南》 3、《信息系统安全等级保护基本要求》 4、《信息系统安全等级保护测评要求》 5、《网络基础安全技术要求》 ……
实施信息安全等级保护的意义 实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平。 • 有利于建立各单位信息安全保障的长效机制,保证安全保护管理工作稳固、持久地开展; • 有利于减少信息安全保障工作盲目性; • 有利于优化信息安全资源的配置,达到少花钱,多办事的功效; • 有利于明确国家、行业、各单位的信息安全责任,清晰划分不同角色,落实不同部门和岗位安全职责;
要求 • 准确定级,严格审批 • 及时备案,认真整改 • 科学测评,加强检查 系统备案 等级测评 建设整改 监督检查 系统定级
一、定级 • 首先要把握好定级的问题,定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础 • 定级要准确、科学、合理,要防止片面追求安全而定级过高,也要防止忽视安全定级偏低 • 依据《信息系统安全保护等级定级指南》
等级保护定级---一般流程 1、确定定级对象 2、确定业务信息安全受到破坏时所侵害的客体 5、确定系统服务安全受到破坏时所侵害的客体 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 4、业务信息安全等级 7、系统服务安全等级 8、定级对象的安全保护等级
二、备案 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区市级以上公安机关办理备案手续。
备案 省生成的备案电子数据,到公安机关办理备案手续,提交公安厅网警在线网站(www.jxwj.gov.cn)下载定级报告、《信息系统安全等级保护备案表》和辅助备案工具 。持填写的备案表和利用辅助备案工具有关备案材料及电子数据文件。
等级保护备案---备案审核 填写并提交信息系统备案材料后,公安机关应当对信息系统的备案情况进行审核。 审核结果根据被测评单位信息系统:符合等级保护要求、不符合等级保护要求、定级不准三种不同结果进行评判和整改。
等级保护备案---备案审核 • 符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明; • 不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正; • 定级不准的,在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
三、等级测评 • 开展信息系统安全等级保护测评,明确安全建设整改需求。 • 备案单位选择符合《管理办法》和有关标准规定条件的测评机构开展等级测评。 • 测评机构依据《信息系统安全等级保护测评要求》等进行测评。测评机构按照公安部制订的《信息系统安全等级测评报告模版》编制测评报告。 • 备案单位根据测评报告中的改进建议,研究确定系统安全建设整改的目标、内容和要求。
四、等保基本要求----管理体系建设 依据《信息系统安全等级保护基本要求》 ◆建立制度体系; ◆强化组织机构; ◆加强人员控制; ◆控制建设过程; ◆提高运维效率;
四、等保基本要求----管理体系建设 建立信息管理制度体系: ◆建立制度文件层级概念,将所有的信息管理制度分为四个主要层级,分别为:一级方针、二级策略、三级规程、四级表单; ◆引入等级保护管理框架,将所有的信息管理制度分为五个文件范围,分别为:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理; ◆进行制度体系运维,对格式、版本、评审、修订、发布等过程进行控制; ◆任命专职信息管理人员对制度体系进行运维;
建立信息管理制度体系 一级 文件 安全管理方针 安全管理制度 系统运维管理 系统建设管理 人员安全管理 安全管理机构 1、依据二级策略文件,对所属的范围内工作进行细化要求和指导; 2、明确与四级表单的对应关系; 二级 策略 系统运行管理制度 专业化…… 信息机房管理制度 1、阐述信息安全总体目标和原则; 2、定义信息安全管理结构; 3、提出对组织成员的安全要求。 1、根据不同的工作层面划分制度范围; 2、明确范围内的工作要求; 3、明确执行岗位。 三级 规程 …… 操作系统安全管理规程 数据库安全管理规程 1、是整个制度体系的底层和策略落实的关键; 2、依据三级规程文件,对该项工作过程进行控制,表单中应有规程中规定的要素。 四级 表单 重要操作变更记录表 数据库日常巡检记录表 …… …… …… ……
四、等保基本要求----管理体系建设 强化组织机构: ◆建立信息安全管理委员会,应由组织高层和其他业务部门参与,使得信息安全意识和工作方式向组织高层和平级部门透明;并明确信息化工作过程中与其他部门的关系; ◆对信息化部门自身,划分岗位的职责、分工和技能要求 。 ◆落实授权与审批,根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 ◆建立全面的沟通机制,覆盖信息化部门内部、平级部门、兄弟单位、公安机关、电信公司、安全供应商和安全顾问等。 ◆组织专人定期进行安全检查,分析运行现状,发现安全隐患;
四、等保基本要求----管理体系建设 加强人员控制: ◆加强信息化工作中的岗位交接控制; ◆加大培训工作力度,贯彻培训计划,强调培训的有效性; ◆依据当前信息化工作的现状,分析人员需求,制定合理的信息化岗位划分与人员要求。 ◆对外部人员访问的过程进行控制。
四、等保基本要求----管理体系建设 控制建设过程: ◆对信息系统的重要程度进行分析,进行等级保护定级,确定该信息系统所应达到的安全保护水平,优化资源配置; ◆依据信息系统的安全保护等级标准体系,制定总体规划设计,选择基本安全措施,并依据风险分析的结果补充和调整安全措施,并组织相关部门和安全专家对规划、方案进行评审; ◆对软、硬件产品的开发、选型、采购、安装实施和验收等过程进行监控,必要时应要求第三方测试单位参与;
四、等保基本要求----管理体系建设 环境控制: ◆部署环境监控系统,对机房和敏感区域进行监控,并合理的配置环境监控系统,在发生安全问题时进行报警; ◆设置相对独立的外来人员访问区域,加强对办公环境的保密性管理,规范办公环境人员行为; 资产和设备管理: ◆部署资产管理系统,依据资产安全策略、规程和表格,规范化的管理资产,并建立易于管理运维的资产台帐; ◆设置专用资产储存环境,并定期对资产进行清算;
四、等保基本要求----管理体系建设 运维监控管理: ◆部署运维监控系统,对信息系统各岗位人员的重要操作流程数据信息化,强化审批。建立各信息系统软、硬件、基础设施最新配置档案库,避免多人管理时对系统配置的不了解;
五、等保基本要求----技术措施建设 • 物理安全 • 网络安全 • 主机安全 • 应用安全 • 数据安全
六、等级保护的监督检查---检查方式 受理备案的公安机关应当对第二级以上的信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。 第三级信息系统每年至少检查一次; 第四级信息系统每半年至少检查一次。 第五级信息系统,应当由国家指定的专门部门进行检查。
等级保护的监督检查---检查配合 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件。
等级保护的监督检查---运营单位配合内容 应提供下列有关信息安全保护的信息资料及数据文件: • 信息系统备案事项变更情况; • 安全组织、人员的变动情况; • 信息安全管理制度、措施变更情况; • 信息系统运行状况记录; • 运营、使用单位及主管部门定期对信息系统安全状况的检查记录; • 对信息系统开展等级测评的技术测评报告; • 信息安全产品使用的变更情况; • 信息安全事件应急预案,信息安全事件应急处置结果报告; • 信息系统安全建设、整改结果报告。
七、等级保护的违反处罚---违规行为 第三级以上信息系统运营使用单位: • 未按《管理办法》规定备案、审批的; • 未按《管理办法》规定落实安全管理制度、措施的; • 未按《管理办法》规定开展系统安全状况检查的; • 未按《管理办法》规定开展系统安全技术测评的; • 接到整改通知后,拒不整改的; • 未按《管理办法》规定选择使用信息安全产品和测评机构的;
等级保护的违反处罚---违规行为 • 未按《管理办法》规定如实提供有关文件和证明材料的; • 违反保密管理规定的;违反密码管理规定的; • 信息安全监管部门及其工作人员。信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊。
等级保护的违反处罚---处罚方式 • 公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令第二级以上信息系统运营使用单位限期改正; • 逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。 • 违反前述规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
谢 谢! 欢迎提出宝贵意见!
