信息安全等級保護測評(信息安全等級保護測評工作原則哪些)
等級保護測評的工作流程是什么?
①系統(tǒng)定級:系統(tǒng)檢測,自主定級,新系統(tǒng)建設(shè)同時同步確定等級;
②等級評審:專家評審,定級報告,市級黨政機關(guān)到市信息辦備案,區(qū)縣黨政機關(guān)到區(qū)縣信息辦備案;
③定級備案:涉密系統(tǒng)報市和區(qū)縣國家保密工作部門、其他到公安機關(guān)辦理備案手續(xù)、受理單位備案審核;
④評估和整改建設(shè):評估和現(xiàn)狀檢測,制定整改方案,開展安全建設(shè)或改建,建立基礎(chǔ)安全設(shè)施以及等級保護管理制度;
⑤等級測評:開展等級測評,三級每年至少一次,四級至少每半年一次;
⑥監(jiān)督檢查:監(jiān)督、檢查、自查,整改,違法違規(guī)情況,依法處理。
等級保護測評有哪些技術(shù)類型?
等級保護主要從技術(shù)要求和管理要求兩方面進行綜合測評,而根據(jù)等級保護測評的三種不同技術(shù)類型,其測評的指標要求也有所不同。等級保護測評的三種技術(shù)類型(S/A/G):
S:保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)修改的信息安全類要求;物理訪問控制、邊界完整性檢查、身份鑒別、通信完整性、保密性等;
A:保護系統(tǒng)連續(xù)正常的運行,免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求,電力供應(yīng)、資源控制、軟件容錯等;
G:通用安全保護類要求,技術(shù)類中的安全審計、管理制度等。
定級
一、等級劃分
計算機信息系統(tǒng)安全保護等級根據(jù)計算機信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,計算機信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定,分為五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。
二、定級程序
信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應(yīng)當經(jīng)主管部門審核批準。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。
對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審。
三、定級注意事項
一級信息系統(tǒng):適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個體、私營企業(yè)中的信息系統(tǒng)。中小學中的信息系統(tǒng)。
二級信息系統(tǒng):適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如小的局域網(wǎng),非涉及秘密、敏感信息的辦公系統(tǒng)等。
三級信息系統(tǒng):適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng);重要領(lǐng)域、重要部門跨省、跨市或全國(?。┞?lián)網(wǎng)運行的信息系統(tǒng);跨省或全國聯(lián)網(wǎng)運行重要信息系統(tǒng)在省、地市的分支系統(tǒng);各部委官方網(wǎng)站;跨省(市)聯(lián)接的信息網(wǎng)絡(luò)等。
四級信息系統(tǒng):適用于重要領(lǐng)域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調(diào)度系統(tǒng),銀行、證券、保險、稅務(wù)、海關(guān)等部門中的核心系統(tǒng)。
日常測評
計算機信息系統(tǒng)投入使用后,存在下列情形之一的,應(yīng)當進行安全自查,同時委托安全測評機構(gòu)進行安全測評:
(一)變更關(guān)鍵部件;
(二)安全測評時間滿一年;
(三)發(fā)生危害計算機信系統(tǒng)安全的案件或安全事故;
(四)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認為應(yīng)當進行安全測評;
第三級計算機信息系統(tǒng)應(yīng)當每年至少進行一次安全自查和安全測評,第四級計算機信息系統(tǒng)應(yīng)當每半年至少進行一次安全自查和安全測評,第五級計算機信息系統(tǒng)應(yīng)當依據(jù)特殊安全要求進行安全自查和安全測評。
自查報告連同測評報告應(yīng)當由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。
測評基本內(nèi)容
對信息系統(tǒng)安全等級保護狀況進行測試評估,應(yīng)包括兩個方面的內(nèi)容:
一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況;
二是系統(tǒng)整體測評,主要測評分析信息系統(tǒng)的整體安全性。其中,安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。
對安全控制測評的描述,使用測評單元方式組織。測評單元分為安全技術(shù)測評和安全管理測評兩大類。
安全技術(shù)測評:包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)?安全、應(yīng)用安全和數(shù)據(jù)安全等五個層面上的安全控制測評。
安全管理測評:包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評。