关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
发布时间: 2010-02-03 丨 阅读次数: 46833
中 华 人 民 共 和 国 公 安 部
关于印送《关于开展信息安全等级保护
安全建设整改工作的指导意见》的函
公信安[2009]1429号
中央和国家机关各部委,国务院各直属机构、办事机构、事业单位:
为进一步贯彻落实国家信息安全等级保护制度,指导各地区、各部门在信息安全等级保护定级工作基础上,深入开展信息安全等级保护安全建设整改工作,我部制定了《关于开展信息安全等级保护安全建设整改工作的指导意见》。现印送给你们,请在实际工作中参照。
二〇〇九年十月二十七日
抄送:各省、自治区、直辖市信息安全等级保护工作协调(领导)
小组。
关于开展信息安全等级保护
安全建设整改工作的指导意见
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)精神,指导各部门在信息安全等级保护定级工作基础上,开展已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作,特提出如下意见:
一、明确工作目标
依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益,力争在2012年底前完成已定级信息系统安全建设整改工作。
二、细化工作内容
(一)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(二)开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
(三)开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求。选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
三、落实工作要求
(一)统一组织,加强领导。要按照“谁主管、谁负责”的原则,切实加强对信息安全等级保护安全建设整改工作的组织领导,完善工作机制。要结合各自实际,统一规划和部署安全建设整改工作,制定安全建设整改工作实施方案。要落实责任部门、责任人员和安全建设整改经费。要利用多种形式,组织开展宣传、培训工作。
(二)循序渐进,分步实施。信息系统主管部门可以结合本行业、本部门信息系统数量、等级、规模等实际情况,按照自上而下或先重点后一般的顺序开展。重点行业、部门可以根据需要和实际情况,选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范,在总结经验的基础上全面推开。
(三)结合实际,制定规范。重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准,结合行业特点,确定《信息系统安全等级保护基本要求》的具体指标;
在不低于等级保护基本要求的情况下,结合系统安全保护的特殊需求,在有关部门指导下制定行业标准规范或细则,指导本行业信息系统安全建设整改工作。
(四)认真总结,按时报送。自2009年起,要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结,于每年年底前报同级公安机关网安部门,各省(自治区、直辖市)公安机关网安部门报公安部网络安全保卫局。信息系统备案单位每半年要填写《信息安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关。
附件:1、《信息安全等级保护安全建设整改工作情况统计表》
2、《信息安全等级保护安全建设整改工作指南》
附件2:
信息安全等级保护安全
建设整改工作指南
中华人民共和国公安部
二〇〇九年十月
前 言
为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方法,公安部编写了《信息安全等级保护安全建设整改工作指南》,供参考。
本指南包括总则、安全管理制度建设、安全技术措施建设三个部分,附录是信息安全等级保护主要标准简要说明。
由于时间仓促,经验不足,不妥之处,敬请批评指正。
目 录
1 总则.............................................................. 1
1.1 工作目标 .................................................... 1
1.2 工作内容 .................................................... 1
1.3 工作流程 .................................................... 2
1.4 标准应用 .................................................... 3
1.5 安全保护能力目标 ............................................ 5
2 安全管理制度建设.................................................. 6
2.1 落实信息安全责任制 .......................................... 7
2.2 信息系统安全管理现状分析 .................................... 7
2.3 确定安全管理策略,制定安全管理制度 .......................... 8
2.4 落实安全管理措施 ............................................ 8
2.4.1 人员安全管理........................................... 8
2.4.2 系统运维管理........................................... 8
2.4.2.1 环境和资产安全管理 ............................... 8
2.4.2.2 设备和介质安全管理 ............................... 9
2.4.2.3 日常运行维护 ..................................... 9
2.4.2.4 集中安全管理 ..................................... 9
2.4.2.5 事件处置与应急响应 ............................... 9
2.4.2.6 灾难备份 ......................................... 9
2.4.2.7 安全监测 ........................................ 10
2.4.2.8 其他安全管理 .................................... 10
2.5 系统建设管理 ............................................... 10
2.6 安全自查与调整 ............................................. 10
3 安全技术措施建设................................................. 10
3.1 信息系统安全保护技术现状分析 ............................... 11
3.1.1 信息系统现状分析...................................... 11
3.1.2 信息系统安全保护技术现状分析.......................... 12
3.1.3 安全需求论证和确定.................................... 12
3.2 信息系统安全技术建设整改方案设计 ........................... 12
3.2.1 确定安全技术策略,设计总体技术方案 .............................................. 12
3.2.1.1 确定安全技术策略 ................................ 12
3.2.1.2 设计总体技术方案 .......................................................................... 12
3.2.2 安全技术方案详细设计.................................. 13
3.2.2.1 物理安全设计 ................................................................................... 13
3.2.2.2 通信网络安全设计 .......................................................................... 13
3.2.2.3 区域边界安全设计 .......................................................................... 13
3.2.2.4 主机系统安全设计 .......................................................................... 13
3.2.2.5 应用系统安全设计 .......................................................................... 14
3.2.2.6 备份和恢复安全设计 ..................................................................... 14
3.2.3 建设经费预算和工程实施计划............................ 14
3.2.3.1 建设经费预算 ................................................................................... 14
3.2.3.2 工程实施计划 .................................... 14
3.2.4 方案论证和备案 ........................................................................................... 15
3.3 安全建设整改工程实施和管理..................................... 15
3.3.1 工程实施和管理 ........................................................................................... 15
3.3.2 工程监理和验收 ........................................................................................... 15
3.3.3 安全等级测评 ................................................................................................ 15
附录:信息安全等级保护主要标准简要说明............................. 17
1 、总则
1.1 工作目标
信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上,按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。
1.2 工作内容
信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。
要依据《信息系统安全等级保护基本要求》(以下简称《基本要求》),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,具体内容如图1所示。
需要说明的是:不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全技术整改内容一并实施,或分步实施。
1.3 工作流程
信息系统安全建设整改工作分五步进行。
第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;
第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;
第三步:确定安全保护策略,制定信息系统安全建设整改方案;第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。该流程如图2所示。
1.4 标准应用
信息系统安全建设整改工作应依据《基本要求》,并在不同阶段、针对不同技术活动参照相应的标准规范进行。等级保护有关标准在信息系统安全建设整改工作中的作用如图3所示。
需要说明的是,(一)《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》(GB17859,以下简称《划分准则》)是等级保护的基础性标准,《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以上述标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求,即基线要求。(二)《基本要求》是信息系统安全建设整改的依据。信息系统安全建设整改应以落实《基本要求》为主要目标。信息系统运营使用单位应根据信息系统安全保护等级选择《基本要求》中相应级别的安全保护要求作为信息系统的基本安全需求。当信息系统有更高安全需求时,可参考《基本要求》中较高级别保护要求或《信息系统通用安全技术要求》、《信息系统安全管理要求》等其他标准。行业主管部门可以依据《基本要求》,结合行业特点和信息系统实际出台行业细则,行业细则的要求应不低于《基本要求》。(三)《定级指南》为定级工作提供指导。《信息系统安全等级保护定级指南》为信息系统定级工作提供了技术支持。行业主管部门可以根据《定级指南》,结合行业特点和信息系统实际情况,出台本行业的定级细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展。(四)《测评要求》等标准规范等级测评活动。等级测评是评价信息系统安全保护状况的重要方法。《信息系统安全等级保护测评要求》为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护测评过程指南》对等级测评活动提出规范性要求,以保证测评结论的准确性和可靠性。(五)《实施指南》等标准指导等级保护建设。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导,是实现《基本要求》的方法之一。
1.5 安全保护能力目标
各级信息系统应通过安全建设整改分别达到以下安全保护能力目标:
第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。
第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。
第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;
具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。
2 安全管理制度建设
按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统等级保护安全管理制度建设工作。工作流程见图4。
2.1 落实信息安全责任制
明确领导机构和责任部门,设立或明确信息安全领导机构,明确主管领导,落实责任部门。建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。建立安全教育和培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核,提高相关人员的安全意识和操作水平。具体依据《基本要求》中的“安全管理机构”内容,同时可以参照《信息系统安全管理要求》等。
2.2 信息系统安全管理现状分析
在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。
可以依据《基本要求》等标准,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求并论证。
2.3 确定安全管理策略,制定安全管理制度
根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
具体依据《基本要求》中的“安全管理制度”内容,同时可以参照《信息系统安全管理要求》等。
2.4 落实安全管理措施
2.4.1 人员安全管理
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程,关键岗位签署保密协议,对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训,对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据《基本要求》中的“人员安全管理”内容,同时可以参照《信息系统安全管理要求》等。
2.4.2 系统运维管理
2.4.2.1 环境和资产安全管理
明确环境(包括主机房、辅机房、办公环境等)安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。明确资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。
2.4.2.2 设备和介质安全管理
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。
2.4.2.3 日常运行维护
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理,制订相应的管理制度和操作规程并落实执行。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。
2.4.2.4 集中安全管理
第三级(含)以上信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代
码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。
2.4.2.5 事件处置与应急响应
按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度,第三级(含)以上信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。
2.4.2.6 灾难备份
要对第三级(含)以上信息系统采取灾难备份措施,防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。具体依据《基本要求》中的“系统运维管理”内容和《信息系统灾难恢复规范》。
2.4.2.7 安全监测
开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。具体依据《基本要求》中的“系统运维管理”。
2.4.2.8 其他安全管理
对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。
2.5 系统建设管理
制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。具体依据《基本要求》中的“系统建设管理”内容。
2.6 安全自查与调整
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。具体依据《基本要求》中的“安全管理机构”内容,同时可以参照《信息系统安全管理要求》等。信息系统安全管理建设整改工作完成后,安全管理方面的等级测评与安全技术方面的测评工作一并进行。
3 安全技术措施建设
按照国家有关规定,依据《基本要求》,参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,开展信息系统安全技术建设整改工作。工作流程见图5。
3.1 信息系统安全保护技术现状分析
了解掌握信息系统现状,分析信息系统的安全保护状况,明确信息系统安全技术建设整改需求,为安全建设整改技术方案设计提供依据。
3.1.1 信息系统现状分析
了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况,分析信息系统的边界、构成和相互关联情况,分析网络结构、内部区域、区域边界以及软、硬件资源等。具体可参照《信息系统安全等级保护实施指南》中“信息系统分析”的内容。
3.1.2 信息系统安全保护技术现状分析
在开展信息系统安全技术建设整改之前,应通过开展信息系统安全保护技术现状分析,查找信息系统安全保护技术建设整改需要解决的问题,明确信息系统安全保护技术建设整改的需求。
可采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全技术措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全技术方面存在的问题,形成安全技术建设整改的基本安全需求。在满足信息系统安全等级保护基本要求基础上,可以结合行业特点和信息系统安全保护的特殊要求,提出特殊安全需求。具体可参照《基本要求》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》等标准。
3.1.3 安全需求论证和确定
安全需求分析工作完成后,将信息系统的安全管理需求与安全技术需求综合形成安全需求报告。组织专家对安全需求进行评审论证,形成评审论证意见。
3.2 信息系统安全技术建设整改方案设计
在安全需求分析的基础上,开展信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据。
3.2.1 确定安全技术策略,设计总体技术方案
3.2.1.1 确定安全技术策略
根据安全需求分析,确定安全技术策略,包括业务系统分级策略、数据信息分级策略、区域互连策略和信息流控制策略等,用以指导系统安全技术体系结构设计。
3.2.1.2 设计总体技术方案
在进行信息系统安全建设整改技术方案设计时,应以《基本要求》为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体的安全技术设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基本要求,最大程度发挥安全措施的保护能力。在进行安全技术设计时,可参考《信息系统等级保护安全设计技术要求》,从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求。
3.2.2 安全技术方案详细设计
3.2.2.1 物理安全设计
从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计,设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据《基本要求》中的“物理安全”内容,同时可以参照《信息系统物理安全技术要求》等。
3.2.2.2 通信网络安全设计
对信息系统所涉及的通信网络,包括骨干网络、城域网络和其他通信网络(租用线路)等进行安全设计,设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。
通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。具体依据《基本要求》中“网络安全”内容,同时可以参照《网络基础安全技术要求》等。
3.2.2.3 区域边界安全设计
对信息系统所涉及的区域网络边界进行安全设计,内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。
区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。具体依据《基本要求》中的“网络安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《网络基础安全技术要求》等。
3.2.2.4 主机系统安全设计
对信息系统涉及到的服务器和工作站进行主机系统安全设计,内容包括操作系统或数据库管理系统的选择、安装和安全配置,主机入侵防范、恶意代码防范、资源使用情况监控等。其中,安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依据《基本要求》中的“主机安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。
3.2.2.5 应用系统安全设计
对信息系统涉及到的应用系统软件(含应用/中间件平台)进行安全设计,设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据《基本要求》中的“应用安全”内容,同时可以参考《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。
3.2.2.6 备份和恢复安全设计
针对信息系统的业务数据安全和系统服务连续性进行安全设计,设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求;针对信息系统服务连续性的安全设计可考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节,包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据《基本要求》中“数据安全和备份恢复”内容,同时可以参考《信息系统灾难恢复规范》等。
3.2.3 建设经费预算和工程实施计划
3.2.3.1 建设经费预算
根据信息系统的安全建设整改内容提出详细的经费预算,包括产品名称、型号、配置、数量、单价、总价和合计等,同时应包括集成费用、等级测评费用、服务费用和管理费用等。对于跨年度的安全建设整改或安全改建,提供分年度的经费预算。
3.2.3.2 工程实施计划
根据信息系统的安全建设整改内容提出详细的工程实施计划,包括建设内容、工程组织、阶段划分、项目分解、时间计划和进度安排等。对于跨年度的安全建设整改或安全改建,要对安全建设整改方案明确的主要安全建设整改内容进行适当的项目分解,比如分解成机房安全改造项目、网络安全建设整改项目、系统平台和应用平台安全建设整改项目等,分别制定中期和短期的实施计划,短期内主要解决目前急迫和关键的问题。
3.2.4 方案论证和备案
将信息系统安全建设整改技术方案与安全管理体系规划共同形成安全建设整改方案。组织专家对安全建设整改方案进行评审论证,形成评审意见。第三级(含)以上信息系统安全建设整改方案应报公安机关备案,并组织实施安全建设整改工程。
3.3 安全建设整改工程实施和管理
3.3.1 工程实施和管理
安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员,保证建设资金足额到位,选择符合要求的安全建设整改服务商,采购符合要求的信息安全产品,管理和控制安全功能开发、集成过程的质量等方面。
按照《信息系统安全工程管理要求》中有关资格保障和组织保障等要求组织管理等级保护安全建设整改工程。实施流程管理、进度规划控制和工程质量控制可参照《信息系统安全工程管理要求》中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要求,实现相应等级的工程目标和要求。
3.3.2 工程监理和验收
为保证建设工程的安全和质量,第二级以上信息系统安全建设整改工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全性等方面的核查。
工程验收的内容包括全面检验工程项目所实现的安全功能、设备部署、安全配置等是否满足设计要求,工程施工质量是否达到预期指标,工程档案资料是否齐全等方面。在通过安全测评或测试的基础上,组织相应信息安全专家进行工程验收。具体参照《信息系统安全工程管理要求》。
3.3.3 安全等级测评
信息系统安全建设整改完成后要进行等级测评,在工程预算中应当包括等级测评费用。对第三级(含)以上信息系统每年要进行等级测评,并对测评费用做出预算。
在公安部备案的信息系统,备案单位应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评;在省(区、市)、地市级公安机关备案的信息系统,备案单位应选择本省(区、市)信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。
附录:
信息安全等级保护主要标准简要说明
为推动我国信息安全等级保护工作的开展,十多年来,在公安部领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作奠定了基础。
为便于各有关单位全面、准确了解掌握信息安全等级保护有关标准,更好地指导等级保护工作,在总结近年来等级保护工作实践基础上,公安部组织专家和标准起草单位编写了信息安全等级保护主要标准简要说明,第一部分梳理了与等级保护工作相关的标准,第二部分从标准的主要用途、主要内容和使用说明三方面进行阐述,供有关单位和部门在工作中参考。
1 信息安全等级保护相关标准体系
信息安全等级保护相关标准大致可以分为四类:基础类、应用类、产品类和其他类。
1.1基础类标准
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护基本要求》(GB/T22239-2008)。
1.2 应用类标准
1.2.1 信息系统定级
《信息系统安全保护等级定级指南》(GB/T22240-2008)
1.2.2 等级保护实施
《信息系统安全等级保护实施指南》(信安字[2007]10号)
1.2.3 信息系统安全建设
《信息系统通用安全技术要求》(GB/T20271-2006)
《信息系统等级保护安全设计技术要求》(信安秘字[2009]059)
《信息系统安全管理要求》(GB/T20269-2006)
《信息系统安全工程管理要求》(GB/T20282-2006)
《信息系统物理安全技术要求》(GB/T21052-2007)
《网络基础安全技术要求》(GB/T20270-2006)
《信息系统安全等级保护体系框架》(GA/T708-2007)
《信息系统安全等级保护基本模型》)(GA/T709-2007)
《信息系统安全等级保护基本配置》(GA/T710-2007)
1.2.4 等级测评
《信息系统安全等级保护测评要求》(报批稿)
《信息系统安全等级保护测评过程指南》(报批稿)
《信息系统安全管理测评》(GA/T713-2007)
1.3 产品类标准
1.3.1 操作系统
《操作系统安全技术要求》(GB/T20272-2006)
《操作系统安全评估准则》(GB/T20008-2005)
1.3.2 数据库
《数据库管理系统安全技术要求》(GB/T20273-2006)
《数据库管理系统安全评估准则》(GB/T20009-2005)
1.3.3 网络
《网络端设备隔离部件技术要求》(GB/T20279-2006)
《网络端设备隔离部件测试评价方法》(GB/T20277-2006)
《网络脆弱性扫描产品技术要求》(GB/T 20278-2006)
《网络脆弱性扫描产品测试评价方法》(GB/T20280-2006)
《网络交换机安全技术要求》(GA/T684-2007)
《虚拟专用网安全技术要求》(GA/T686-2007)
1.3.4 PKI
《公钥基础设施安全技术要求》(GA/T687-2007)
《PKI系统安全等级保护技术要求》(GB/T 21053-2007)
1.3.5 网关
《网关安全技术要求》(GA/T681-2007)
1.3.6 服务器
《服务器安全技术要求》(GB/T21028-2007)
1.3.7 入侵检测
《入侵检测系统技术要求和检测方法》(GB/T20275-2006)
《计算机网络入侵分级要求》(GA/T700-2007)
1.3.8 防火墙
《防火墙安全技术要求》(GA/T683-2007)
《防火墙技术测评方法》(报批稿)
《信息系统安全等级保护防火墙安全配置指南》(报批稿)
《防火墙技术要求和测评方法》(GB/T 20281-2006)
《包过滤防火墙评估准则》(GB/T 20010-2005)
1.3.9 路由器
《路由器安全技术要求》(GB/T 18018-2007)
《路由器安全评估准则》(GB/T 20011-2005)
《路由器安全测评要求》(GA/T 682-2007)
1.3.10 交换机
《网络交换机安全技术要求》(GB/T 21050-2007)
《交换机安全测评要求》(GA/T 685-2007)
1.3.11 其他产品
《终端计算机系统安全等级技术要求》(GA/T671-2006)
《终端计算机系统测评方法》(GA/T 671-2006)
《审计产品技术要求和测评方法》(GB/T 20945-2006)
《虹膜特征识别技术要求》(GB/T 20979-2007)
《虚拟专网安全技术要求》(GA/T 686-2007)
《应用软件系统安全等级保护通用技术指南》(GA/T 711-2007)
《应用软件系统安全等级保护通用测试指南》(GA/T 712-2007)
《网络和终端设备隔离部件测试评价方法》(GB/T 20277-2006)
《网络脆弱性扫描产品测评方法》(GB/T 20280-2006)
1.4其他类标准
1.4.1 风险评估
《信息安全风险评估规范》(GB/T20984-2007)
1.4.2 事件管理
《信息安全事件管理指南》(GB/Z20985-2007)
《信息安全事件分类分级指南》(GB/Z20986-2007)
《信息系统灾难恢复规范》(GB/T 20988-2007)
各类标准在等级保护各工作环节中的关系如图1所示:
2 信息安全等级保护主要标准简要说明
现将信息安全等级保护标准体系中比较重要的《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等十个标准作一简要说明。
2.1 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
2.1.1 主要用途
本标准对计算机信息系统的安全保护能力划分了五个等级,并明确了各个保护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括:
一是用于规范和指导计算机信息系统安全保护有关标准的制定;二是为安全产品的研究开发提供技术支持;三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。
2.1.2 主要内容
本标准界定了计算机信息系统的基本概念:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级,第五级访问验证保护级。
从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。
2.1.3 使用说明
本标准是等级保护的基础性标准,其提出的某些安全保护技术要求受限于当前技术水平尚难以实现,但其构造的安全保护体系应随着科学技术的发展逐步落实。
2.2 《信息系统安全等级保护基本要求》(GB/T22239-2008)
2.2.1 主要用途
根据《信息安全等级保护管理办法》的规定,信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应的基本安全保护要求,各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》(以下简称《基本要求》)。《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础研究制定,提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为信息系统建设单位和运营使用单位在系统安全建设中提供参照。
2.2.2 主要内容
2.2.2.1 总体框架
《基本要求》分为基本技术要求和基本管理要求两大类,其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面,管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。
技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。
管理要求主要包括确定安全策略,落实信息安全责任制,建立安全组织机构,加强人员管理、系统建设和运行维护的安全管理。提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求,提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等要求。
2.2.2.2 保护要求的分级方法
由于信息系统分为五个安全保护等级,其安全保护能力逐级增高,相应的安全保护要求和措施逐级增强,体现在两个方面:一是随着信息系统安全级别提高,安全要求的项数增加;二是随着信息系统安全级别的提高,同一项安全要求的强度有所增加。例如,三级信息系统基本要求是在二级基本要求的基础上,在技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时,对身份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增加;在管理方面增加了监控管理和安全管理中心等两项要求,同时对安全管理制度评审、人员安全和系统建设过程管理提出了进一步要求。安全要求的项数和强度的不同,综合体现出不同等级信息系统安全要求的级差。
2.2.2.3 保护措施分类
技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求进一步细分为信息安全类要求(简记为S)、服务保证类要求(简记为A)和通用安全保护类要求(简记为G)。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;服务保证类要求是指保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用。管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
2.2.3 使用说明
《基本要求》对第一级信息系统的基本要求仅供用户参考,按照自主保护的原则采取必要的安全技术和管理措施。
用户在进行信息系统安全建设整改时,可以在《基本要求》基础上,根据行业和系统实际,提出特殊安全要求,开展安全建设整改。
《基本要求》给出了各级信息系统每一保护方面需达到的要求,不是具体的安全建设整改方案或作业指导书,所以,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力。
《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。《基本要求》是信息系统安全建设整改的目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。
《基本要求》综合了《信息系统物理安全技术要求》、《信息系统通用安全技术要求》和《信息系统安全管理要求》的有关内容,在进行系统安全建设整改方案设计时可进一步参考后三个标准。
由于系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行系统安全建设时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求,而通用安全保护要求要与系统等级对应。
信息系统运营使用单位在根据《基本要求》进行安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障体系,提高系统的整体安全防护能力。
对于《基本要求》中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
2.3 《信息系统安全等级保护实施指南》(信安字[2007]10号)
2.3.1 主要用途
《信息安全等级保护管理办法》(公通字[2007]43号)第九条规定,信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。信息系统从规划设计到终止运行要经历几个阶段,《信息系统安全等级保护实施指南》(以下简称《实施指南》)用于指导信息系统运营使用单位,在信息系统从规划设计到终止运行的过程中如何按照信息安全等级保护政策、标准要求实施等级保护工作。
2.3.2 主要内容
2.3.2.1 总体框架
《实施指南》正文由9个章节构成:第一、二和三章定义了标准范围、规范性引用文件和术语定义。第四章介绍了等级保护实施的基本原则、参与角色和几个主要工作阶段。第五章至第九章对于信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统终止五个工作阶段进行了详细描述和说明。
本标准以信息系统安全等级保护建设为主要线索,定义信息系统等级保护实施的主要阶段和过程,包括信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等五个阶段,对于每一个阶段,介绍了主要的工作过程和相关活动的目标、参与角色、输入条件、活动内容、输出结果等。
2.3.2.2 实施等级保护基本流程
对信息系统实施等级保护的基本流程见图2。
信息系统定级阶段内容。用于指导信息系统运营使用单位按照国家有关管理规范和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。
总体安全规划阶段内容。用于指导信息系统运营使用单位根据信息系统定级情况,在分析信息系统安全需求基础上,设计出科学、合理的信息系统总体安全方案,并确定安全建设项目规划,以指导后续的信息系统安全建设工程实施。
安全设计与实施阶段内容。用于指导信息系统运营使用单位按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,进行安全方案详细设计,实施安全建设工程,落实安全保护技术措施和安全管理措施。
安全运行与维护阶段内容。用于指导信息系统运营使用单位通过实施操作管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进、等级测评以及监督检查等活动,进行系统运行的动态管理。
信息系统终止阶段内容。用于指导信息系统运营使用单位在信息系统被转移、终止或废弃时,正确处理系统内的重要信息,确保信息资产的安全。
另外,在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全保护措施,确保满足等级保护的要求;当信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,开始新一轮信息安全等级保护的实施过程。
2.3.3 使用说明
本标准属于指南性标准,读者可通过该标准了解信息系统实施等级保护的过程、主要内容和脉络,不同角色在不同阶段的作用,不同活动的参与角色、活动内容等。
在实施等级保护的过程中除了参考本标准外,在不同阶段和环节中还需要参考和依据其他相关标准。例如在定级环节可参考《信息系统安全等级保护定级指南》。在系统建设环节可参考《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等。在等级测评环节可参照《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等。
2.4 《信息系统安全等级保护定级指南》(GB/T22240-2008)
2.4.1 主要用途
《信息安全等级保护管理办法》(以下简称《管理办法》)对信息系统的安全保护等级给出了明确定义。信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。《信息系统安全等级保护定级指南》(以下简称《定级指南》)依据《管理办法》,从信息系统对国家安全、经济建设、社会生活的重要作用,信息系统承载业务的重要性以及业务对信息系统的依赖程度等方面,提出确定信息系统安全保护等级的方法。
2.4.2 主要内容
《定级指南》包括了定级原理、定级方法以及等级变更等内容。
2.4.2.1 定级原理
给出了信息系统五个安全保护等级的具体定义,将信息系统受到破坏时所侵害的客体和对客体造成侵害的程度等两方面因素作为信息系统的定级要素,并给出了定级要素与信息系统安全保护等级的对应关系。
2.4.2.2 定级方法
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级可以分别确定业务信息安全保护等级和系统服务安全保护等级,并取二者中的较高者为信息系统的安全保护等级。具体定级方法见图3:
2.4.2.3 等级变更
信息系统的安全保护等级会随着信息系统所处理信息或业务状态的变化而变化,当信息系统发生变化时应重新定级并备案。
2.4.3 使用说明
应根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)要求,参照《定级指南》开展定级工作。
2.4.3.1 定级工作流程
可以参照以下步骤进行:(1)摸底调查,掌握信息系统底数;(2)确定定级对象;(3)初步确定信息系统等级;(4)专家评审;(5)上级主管部门审批;(6)到公安机关备案。
2.4.3.2 定级范围
新建信息系统和已经投入运行的信息系统(包括网络)都要定级。新建信息系统应在规划设计阶段定级,同步建设安全设施、落实安全保护措施。
2.4.3.3 等级确定
第一、二级信息系统为一般信息系统,第三、四、五级信息系统为重要信息系统。重要信息系统是国家和各部门保护的重点,国家在项目、经费、科研等方面将给予重点支持。信息系统的安全保护等级是信息系统的客观属性,在定级时,应站在维护国家信息安全的高度,综合考虑信息系统遭到破坏后对社会稳定的影响,确定信息系统安全保护等级。具体可参考《信息安全等级保护工作简报》第22期。
2.4.3.4 定级工作指导
行业主管部门可以根据《定级指南》,结合行业特点和信息系统实际情况,出台定级指导意见,保证同行业信息系统在不同地区等级的一致性,指导本行业信息系统定级工作的开展。
2.5 《信息系统安全管理要求》(GB/T20269-2006)
2.5.1主要用途
《信息安全等级保护管理办法》明确规定,信息系统运营使用单位应当参照《信息系统安全管理要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。不同安全保护等级的信息系统有着不同的安全管理需求,为此,针对不同安全等级的信息系统提出了相应的安全管理要求。各个等级的安全管理要求构成了《信息系统安全管理要求》(以下简称“《安全管理要求》”)的基本内容。
《安全管理要求》为信息系统运营使用单位的信息系统安全管理策略制定、信息系统安全管理组织体系建设、信息系统安全管理制度体系建设、信息系统运维及规划建设管理、信息系统安全管理监督检查、信息系统安全管理体系建立和完善等提供指导和参考。在信息系统安全整改阶段进行信息系统等级保护安全管理方案设计的过程中,也可按照《安全管理要求》所规定的各个安全保护等级的安全管理要求,作为建立信息安全管理体系和制定相关信息安全管理制度、措施的基本依据。
2.5.2主要内容
2.5.2.1 总体框架
《安全管理要求》对当前信息系统安全普遍适用的安全管理进行了全面的描述,对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上。
《安全管理要求》具体主要由6章和2个附录组成,其核心内容主要从以下八个方面描述:信息系统安全管理文档体系的建设要求;信息安全管理的组织保证,规定了信息安全管理的领导层、管理层以及执行机构的要求;信息系统安全管理中的风险管理要求;信息系统的环境和资源管理要求;信息系统的运行和维护管理要求;信息系统的业务连续性管理要求,提出备份与恢复、应急处理、安全事件处理的要求;信息系统的监督和检查管理要求;系统生存周期管理要求。
2.5.2.2 安全管理要求的分级描述方式
根据信息系统的五个安全保护等级的划分,随着信息系统安全保护能力逐级增高,相应的安全管理要求也逐级增强,体现在管理要素数量的增加和管理强度的增强两方面。例如,在描述信息系统安全管理要素“建立安全管理机构”时,在该安全管理要素的标题之下,首先简要说明本要素的作用,然后分列a)配备安全管理人员、b)建立安全职能部门、c)成立安全领导小组、d)主要负责人出任领导、e)建立信息安全部门为小标题的五个不同强度的管理要求,而且在小标题之下还有更细化的描述。由a)至e)强度逐步提高,并明确规定不同安全等级应有选择地满足这些要求的一项。在具体描述时,有些管理要素的管理强度要求在前一强度基础之上继续完成的,会明确指出,如“在a)的基础上,..”。
2.5.2.
