下面是小编为大家整理的信息安全等级测评实施细则,供大家参考。
信息安全等级测评实施细则
信息安全等级合规测评
合规,简而言之就是要符合法律、法规、政策及有关规则、标准的约定。在信息安全领域内,等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、密码管理等,是典型的合规性要求。
信息安全合规测评是国家强制要求的,信息系统运营、使用单位或者者其主管部门,务必在系统建设、改造完成后,选择具备资质测评机构,根据信息安全合规性要求,对信息系统是否合规进行检测与评估的活动。信息安全合规测评具有强制性与周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,保障信息安全的重要手段。
一、信息安全合规性要求
1、等级保护
等级保护将信息系统按照价值系统基础资源与信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类与分阶段是做好国家信息安全保护的前提。等级保护根据公安部、国家保密局、国家密码管理局与国信办先后联合下发《关于信息安全等级保护工作的实施意见》、 《信息安全等级保护信息安全等级保护管理办法》开展。
2、分级保护
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,与涉密信息系统务必达到的安全保护水平划分为秘密级、机密级与绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法与技术标准,目前,正在执行的两个分级保护的国家保密标准是 bmb17《涉及国家秘密的信息系统分级保护技术要求》与 bmb20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构,XX 省软件评测中心是国家保密科技测评中心在 XX省设立的分中心。
3、塞班斯法案针对安然、世通等财务欺诈事件,美国国会出台了《2002 年公众公司会计改革与投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利与参议院银行委员会主席塞班斯联合提出,又被称作《2002 年塞班斯-奥克斯利法案》(简称塞班斯法案),法案对美国《1933 年证券法》、《1934 年证券交易法》做了很多修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。
塞班斯法案成为在美上市企业躲只是去的坎。它规定,上市公司的财务报告务必包含一份内控报告,并明确规定公司管理层
对建立与保护财务报告的内部操纵体系及相应操纵流程负有完全责任;此外,财务报告中务必附有其内控体系与相应流程有效性的年度评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过有关审计。
4、计算机信息系统安全专用产品销售许可
计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全专用产品的管理,保证安全专用产品的安全功能,由公安部公共信息网络安全监察局颁发的许可证书。
办理根据:
(1)《中华人民共与国计算机信息系统安全保护条例》、(1994 年 2 月 18 日,国务院令 147 号公布)。
(2)、《计算机信息系统安全专用产品检测与销售许可证管理办法》(1997 年 12 月 1 日,公安部令第 32 号)。
(3)、《计算机病毒防治管理办法》(2000 年 4 月 26 日,公安部令第 51 号)。审批办理流程:
(1)、产品检测。申请单位须将样品送指定检测机构进行检测。
(2)、申请办证。检测合格后,申请单位按规定提交证书申请的有关材料。(3)、审批发证。公安部公共信息网络安全监察局。
5、信息系统密码安全管理
为推动商用密码进展,确保国家重要信息系统密码安全,具备检测资质的机构根据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技术实施要求》《信息系统安全等级保护基本要求》,对信息安全等级为三级以上(含三级)信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护测评工作拟分下列三个阶段:测评申请阶段、现场检测阶段、报告与结论阶段。
在信息安全合规性要求中,等级保护与分级保护以其涉及范围广,实施具有高度专业化与复杂性的特点,成为信息安全合规测评工作的重点与难点,后面的文章将会对这两个概念进行重点解读。
二、区分信息安全等级保护与分级保护
通过上文我们明白,信息安全等级保护与分级保护是在信息安全合规测评中两个非常重要的概念,二者密切有关又有区别。XX 省软件评测中心结合在等级保护测评与分级保护测评中的具体实践,对等级保护与分级保护进行全面介绍,理清两者间的关联。
1、信息系统等级保护
由于信息系统结构是应社会进展、社会生活与工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次与级别的,而其中的各类信息系统具有重要的社
会与经济价值,不一致的系统具有不一致的价值。系统基础资源与信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观表达。信息安全保护务必符合客观存在与进展规律,其分级、分区域、分类与分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级。用户自主保护级完全由用户自己来决定如何对资源进行保护,与使用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者与访问对象实施强制访问操纵,并能够进行记录,以便事后的监督、审计。
第四级。结构化保护级将前三级的安全保护能力扩展到所有访问者与访问对象,支持形式化的安全保护策略。
第五级。访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。
在等级保护的实际操作中,强调从五个部分进行保护,即:
物理部分:包含周边环境,门禁检查,防火、防水、防潮、防鼠、虫害与防雷,防电磁泄漏与干扰,电源备份与管理,设备的标识、使用、存放与管理等;
支撑系统:包含计算机系统、操作系统、数据库系统与通信系统;网络部分:包含网络的拓扑结构、网络的布线与防护、网络设备的管理与报警,网络攻击的监察与处理;
应用系统:包含系统登录、权限划分与识别、数据备份与容灾处理,运行管理与访问操纵,密码保护机制与信息存储管理;
管理制度。包含管理的组织机构与各级的职责、权限划分与责任追究制度,人员的管理与培训、教育制度,设备的管理与引进、退出制度,环境管理与监控,安防与巡查制度,应急响应制度与程序,规章制度的建立、更换与废止的操纵程序。
由这五部分的安全操纵机制构成系统整体安全操纵机制。
2、涉密信息系统分级保护
涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,与涉密信息系统务必达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理与监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法与技术标准,目前,正在执行的两个分级保护的国家保密标准是 bmb17《涉
及国家秘密的信息系统分级保护技术要求》与 bmb20《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全与安全保密管理等方面,对不一致级别的涉密信息系统有明确的分级保护措施,从技术要求与管理标准两个层面解决涉密信息系统的分级保护问题。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,能够划分为秘密级、机密级与机密级(增强)、绝密级三个等级:
秘密级。信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,同时还务必符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还务必符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:
(1)信息系统的使用单位为副省级以上的党政首脑机关,与国防、外交、国家安全、军工等要害部门;
(2)信息系统中的机密级信息含量较高或者数量较多; (3)信息系统使用单位对信息系统的依靠程度较高。
绝密级。信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还务必符合分
级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或者广域网相联。
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级"的原则,能够根据信息密级、系统重要性与安全策略划分为不一致的安全域,针对不一致的安全域确定不一致的等级,并进行相应的保护。建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评(XX 省软件评测中心是 XX 省内唯一的涉密信息系统检测机构),确定在技术层面是否达到了涉密信息系统分级保护的要求。
3、等级保护与分级保护之间的关系
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统与通信基础信息系统,而不论它是否涉密。如:国家事务处理信息系统(党政机关办公系统);金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;国防工业企业、科研等单位的信息系统等。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队与军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统与信息安全,确保国家秘密不被泄漏。
国家信息安全等级保护是国家从整体上、根本上解决国家信
息安全问题的办法,进一步确定了信息安全进展的主线与中心任务,提出了总体要求。对信息系统实行等级保护是国家法定制度与基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的进展方向。而涉密信息系统分级保护则是是国家信息安全等级保护的重要构成部分,是等级保护在涉密领域的具体表达。
三、等级合规测评的要紧内容
1、单元测评。单元测评从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面,测评《信息系统安全等级保护基本要求》(gb/t22239-2008)所要求的基本安全操纵在信息系统中的实施配置情况。
2、整体测评。整体测评要紧测评分析信息系统的整体安全性。在内容上要紧包含安全操纵间、层面间与区域间相互作用的安全测评与系统结构的安全测评等,是在单元测评基础上进行的进一步测评分析。
四、等级合规测评的重要作用
1、等级合规测评是落实信息安全等级保护制度的重要环节
在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状与存在的安全问题,并在此基础上确定系统的整改安全需求。信息系统定级是整
个等级保护工作的开始,等级保护基本要求是对不一致等级信息系统实行等级保护的基础。客户能够基于定级指南对信息系统定级,基于等级保护基本要求实施保护措施,从而将有效落实国家有关等级保护的制度要求与文件精神。
2、等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料
等级测评结论为信息系统未达到相应等级的基本安全保护能力的,运营、使用单位应当根据等级测评报告,制定方案进行整改,尽快达到相应等级的安全保护能力。
3、等级测评使整个组织规范一致的开展等级评定工作
合规测评基于客户的组织架构、运作模式等特点,制定信息系统安全保护等级定级指南,明确在组织内开展等级评定工作的原则、方法与流程,从而使得客户的等级评定工作能够在整个组织范围内一致地开展。
4、确保突出重点保护对象并进行适度保护
信息系统安全等级保护基本要求明确了不一致等级信息系统的技术要求与管理要求,基于信息系统安全等级保护基本要求,合规测评可使客户在符合国家法律法规要求的前提下,针对不一致等级信息系统采取相应等级的保护措施,从而确保重点突出、适度保护,节约 it 投资。
5、等级测评提高内部人员的信息安全意识
合规测评过程中,第三方咨询专家将与被服务单位人员密切合作。通过与被服务单位人员有针对性的交流,与精心设计的调查问卷等,被服务单位的管理、业务、技术等人员将逐步提高对信息安全合规的认识,强化信息安全意识,杜绝违规操作。
作为第三方测评机构,XX 省软件评测中心认为,通过等级合规测评可指导用户在各个层面上综合采取多种保护措施,保护网络与安全域边界、网络及基础设...
推荐访问:实施细则 信息安全 测评 信息安全等级测评实施细则 信息安全等级测评实施细则最新