信息安全等级保护安全建设整改工作指南.docx
《信息安全等级保护安全建设整改工作指南.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护安全建设整改工作指南.docx(97页珍藏版)》请在冰点文库上搜索。
信息安全等级保护安全建设整改工作指南
中华人民共和国公安部
关于印送《关于开展信息安全等级保护
安全建设整改工作的指导意见》的函
公信安[2009]1429号
中央和国家机关各部委,国务院各直属机构、办事机构、事业单
位:
为进一步贯彻落实国家信息安全等级保护制度,指导各地
区、各部门在信息安全等级保护定级工作基础上,深入开展信息
安全等级保护安全建设整改工作,我部制定了《关于开展信息安
全等级保护安全建设整改工作的指导意见》。
现印送给你们,请
在实际工作中参照。
二〇〇九年十月二十七日
—1—
抄送:
各省、自治区、直辖市信息安全等级保护工作协调(领导)
小组。
—2—
关于开展信息安全等级保护
安全建设整改工作的指导意见
为进一步贯彻落实《国家信息化领导小组关于加强信息安全
保障工作的意见》和《关于信息安全等级保护工作的实施意见》、
《信息安全等级保护管理办法》(以下简称《管理办法》)精神,
指导各部门在信息安全等级保护定级工作基础上,开展已定级信
息系统(不包括涉及国家秘密信息系统)安全建设整改工作,特
提出如下意见:
一、明确工作目标
依据信息安全等级保护有关政策和标准,通过组织开展信息
安全等级保护安全管理制度建设、技术措施建设和等级测评,落
实等级保护制度的各项要求,使信息系统安全管理水平明显提
高,安全防范能力明显增强,安全隐患和安全事故明显减少,有
效保障信息化健康发展,维护国家安全、社会秩序和公共利益,
力争在2012年底前完成已定级信息系统安全建设整改工作。
二、细化工作内容
(一)开展信息安全等级保护安全管理制度建设,提高信息
系统安全管理水平。
按照《管理办法》、《信息系统安全等级保护
基本要求》,参照《信息系统安全管理要求》、《信息系统安全工
程管理要求》等标准规范要求,建立健全并落实符合相应等级要
求的安全管理制度:
一是信息安全责任制,明确信息安全工作的
—3—
主管领导、责任部门、人员及有关岗位的信息安全责任;二是人
员安全管理制度,明确人员录用、离岗、考核、教育培训等管理
内容;三是系统建设管理制度,明确系统定级备案、方案设计、
产品采购使用、密码使用、软件开发、工程实施、验收交付、等
级测评、安全服务等管理内容;四是系统运维管理制度,明确机
房环境安全、存储介质安全、设备设施安全、安全监控、网络安
全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处
置、应急预案等管理内容。
建立并落实监督检查机制,定期对各
项制度的落实情况进行自查和监督检查。
(二)开展信息安全等级保护安全技术措施建设,提高信息
系统安全保护能力。
按照《管理办法》、《信息系统安全等级保护
基本要求》,参照《信息系统安全等级保护实施指南》、《信息系
统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系
统等级保护安全设计技术要求》等标准规范要求,结合行业特点
和安全需求,制定符合相应等级要求的信息系统安全技术建设整
改方案,开展信息安全等级保护安全技术措施建设,落实相应的
物理安全、网络安全、主机安全、应用安全和数据安全等安全保
护技术措施,建立并完善信息系统综合防护体系,提高信息系统
的安全防护能力和水平。
(三)开展信息系统安全等级测评,使信息系统安全保护状
况逐步达到等级保护要求。
选择由省级(含)以上信息安全等级
保护工作协调小组办公室审核并备案的测评机构,对第三级(含)
—4—
以上信息系统开展等级测评工作。
等级测评机构依据《信息系统
安全等级保护测评要求》等标准对信息系统进行测评,对照相应
等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分
析其风险,提出改进建议,按照公安部制订的信息系统安全等级
测评报告格式编制等级测评报告。
经测评未达到安全保护要求
的,要根据测评报告中的改进建议,制定整改方案并进一步进行
整改。
各部门要及时向受理备案的公安机关提交等级测评报告。
对于重要部门的第二级信息系统,可以参照上述要求开展等级测
评工作。
三、落实工作要求
(一)统一组织,加强领导。
要按照“谁主管、谁负责”的原
则,切实加强对信息安全等级保护安全建设整改工作的组织领
导,完善工作机制。
要结合各自实际,统一规划和部署安全建设
整改工作,制定安全建设整改工作实施方案。
要落实责任部门、
责任人员和安全建设整改经费。
要利用多种形式,组织开展宣传、
培训工作。
(二)循序渐进,分步实施。
信息系统主管部门可以结合本
行业、本部门信息系统数量、等级、规模等实际情况,按照自上
而下或先重点后一般的顺序开展。
重点行业、部门可以根据需要
和实际情况,选择有代表性的第二、三、四级信息系统先进行安
全建设整改和等级测评工作试点、示范,在总结经验的基础上全
面推开。
(三)结合实际,制定规范。
重点行业信息系统主管部门可
—5—
以按照《信息系统安全等级保护基本要求》等国家标准,结合行
业特点,确定《信息系统安全等级保护基本要求》的具体指标;
在不低于等级保护基本要求的情况下,结合系统安全保护的特殊
需求,在有关部门指导下制定行业标准规范或细则,指导本行业
信息系统安全建设整改工作。
(四)认真总结,按时报送。
自2009年起,要对定级备案、
等级测评、安全建设整改和自查等工作开展情况进行年度总结,
于每年年底前报同级公安机关网安部门,各省(自治区、直辖市)
公安机关网安部门报公安部网络安全保卫局。
信息系统备案单位
每半年要填写《信息安全等级保护安全建设整改工作情况统计
表》并报受理备案的公安机关。
附件:
1、信息安全等级保护安全建设整改工作情况统计表》
2、《信息安全等级保护安全建设整改工作指南》
—6—
附件1:
信息安全等级保护安全建设整改工作情况统计表
01单位名称
02单位地址
03单位负责人
04单位联系人
05信息系统总数
07已定级备案信息系
统数量
姓名
办公电话
姓名
办公电话
第二级系统
第四级系统
职务/职称
职务/职称
移动电话
06未定级备案信息
系统数量
第三级系统
合计
08
信息
(1)是否明确主管领导、责任部门和具体负责人员
(2)是否对信息系统安全建设整改工作进行总体部署
(3)是否对信息系统进行安全保护现状分析
□是□否
□是□否
□是□否
系统安全
建设整改
工作情况
(4)是否制定信息系统安全建设整改方案
(5)是否组织开展信息系统安全建设整改工作
(6)是否组织开展信息系统安全自查工作
第二级系统
第三级系统
□是□否
□是□否
□是□否
09
10
已开展安全建设整
改的信息系统数量
已开展等级测评的
信息系统数量
第四级系统
第二级系统
第四级系统
第二级系统
合计
第三级系统
合计
第三级系统
11信息系统发生安全事
件、事故数量
12已达到等级保护要
求的信息系统数量
第四级系统
第二级系统
第四级系统
合计
第三级系统
合计
填表人:
审核人:
填表时间:
年月日
—7—
附件2:
信息安全等级保护安全
建设整改工作指南
中华人民共和国公安部
二〇〇九年十月
前言
为便于信息安全等级保护安全建设整改工作相关单位全面了解和掌握安全
建设整改工作所依据的技术标准规范,以及安全建设整改工作的目标、内容和方
法,公安部编写了《信息安全等级保护安全建设整改工作指南》,供参考。
本指南包括总则、安全管理制度建设、安全技术措施建设三个部分,附录是
信息安全等级保护主要标准简要说明。
由于时间仓促,经验不足,不妥之处,敬请批评指正。
1总则..............................................................
1.1工作目标....................................................
1.2工作内容....................................................
1.3工作流程....................................................
1.4标准应用....................................................
1.5安全保护能力目标............................................
2安全管理制度建设..................................................
2.1落实信息安全责任制..........................................
2.2信息系统安全管理现状分析....................................
2.3确定安全管理策略,制定安全管理制度..........................
2.4落实安全管理措施............................................
2.4.1人员安全管理...........................................
2.4.2系统运维管理...........................................
2.4.2.1环境和资产安全管理...............................
2.4.2.2设备和介质安全管理...............................
2.4.2.3日常运行维护.....................................
2.4.2.4集中安全管理.....................................
2.4.2.5事件处置与应急响应...............................
2.4.2.6灾难备份.........................................
2.4.2.7安全监测........................................0
2.4.2.8其他安全管理....................................0
2.5系统建设管理...............................................0
2.6安全自查与调整.............................................0
3安全技术措施建设.................................................0
3.1信息系统安全保护技术现状分析...............................1
3.1.1信息系统现状分析......................................1
3.1.2信息系统安全保护技术现状分析..........................2
3.1.3安全需求论证和确定....................................2
3.2信息系统安全技术建设整改方案设计...........................2
3.2.1确定安全技术策略,设计总体技术方案.............................................12
3.2.1.1确定安全技术策略................................2
3.2.1.2设计总体技术方案..........................................................................12
3.2.2安全技术方案详细设计..................................3
3.2.2.1物理安全设计...................................................................................13
3.2.2.2通信网络安全设计..........................................................................13
3.2.2.3区域边界安全设计..........................................................................13
3.2.2.4主机系统安全设计..........................................................................13
3.2.2.5应用系统安全设计..........................................................................14
3.2.2.6备份和恢复安全设计.....................................................................14
3.2.3建设经费预算和工程实施计划............................4
3.2.3.1建设经费预算...................................................................................14
3.2.3.2工程实施计划....................................4
3.2.4方案论证和备案...........................................................................................15
3.3安全建设整改工程实施和管理.....................................5
3.3.1工程实施和管理...........................................................................................15
3.3.2工程监理和验收...........................................................................................15
3.3.3安全等级测评...............................................................................................15
附录:
信息安全等级保护主要标准简要说明.............................7
1总则
1.1工作目标
信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上,
按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。
通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的
各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐
患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和
公共利益。
1.2工作内容
信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按
照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管
理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。
要依据《信息系统安全等级保护基本要求》(以下简称《基本要求》),落实信息
安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理
和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据
安全等安全保护技术措施,具体内容如图1所示。
—1—
信息系统安全等级保护基本要求
安全管理建设整改
安全技术建设整改
全
理
安
管
制
统
设
安
管
机
构
全
理
度
系
建
管
理
岗位设置
人员配备
授权和审批
沟通和合作
审核和检查
管理制度
制定和发布
评审和修订
定级备案
安全方案设计
产品采购使用
自行软件开发
外包软件开发
工程实施
测试验收
系统交付
安全服务选择
等级测评
员
全
统
维
人
安
管
理
系
运
管
理
人员录用
人员离岗
人员考核
教育和培训
人员访问管理
环境管理
资产管理
介质管理
设备管理
监控管理
安全管理中心
网络安全管理
系统安全管理
变更管理
备份恢复管理
事件处置
应急响应
物
安
络
数
安
与
份
理
全
网
安
全
据
全
备
恢
复
机房位置选择
防火防雷
防水防潮
防静电
物理访问控制
防盗窃防破坏
温湿度控制
电力供应
电磁防护
区域划分
边界防护
访问控制
安全审计
入侵防范
病毒防护
通信保护
数据保密性
数据完整性
备份与恢复
主
安
安
机
全
应
用
全
身份鉴别
访问控制
安全审计
入侵防范
病毒防护
资源控制
安全标记
剩余信息保护
身份鉴别
访问控制
安全审计
通信完整性
通信保密性
软件容错
资源控制
安全标记
剩余信息保护
抗抵赖
图1:
信息系统安全建设整改主要内容
需要说明的是:
不同级别信息系统安全建设整改的具体内容应根据信息系统
定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现状确
定。
信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全
技术整改内容一并实施,或分步实施。
1.3工作流程
信息系统安全建设整改工作分五步进行。
第一步:
制定信息系统安全建设整
改工作规划,对信息系统安全建设整改工作进行总体部署;第二步:
开展信息系
—2—
统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;
第三步:
确定安全保护策略,制定信息系统安全建设整改方案;第四步:
开展信
息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安
全设施,落实安全措施;第五步:
开展安全自查和等级测评,及时发现信息系统
中存在安全隐患和威胁,进一步开展安全建设整改工作。
该流程如图2所示。
信息系统安全建设整改工作规划和工作部署
信息系统安全保护现状分析
确定安全策略,制定安全建设整改方案
信息系统安全管理建设
信息系统安全技术建设
安
管
机
全
理
构
安
管
制
全
理
度
人
安
管
员
全
理
系
建
管
统
设
理
系
运
管
统
行
理
物
理
安
全
网
络
安
全
主
机
安
全
应
用
安
全
数
据
安
全
开展信息系统安全自查和等级测评
1.4标准应用
图2:
信息系统安全建设整改工作基本流程
信息系统安全建设整改工作应依据《基本要求》,并在不同阶段、针对不同
技术活动参照相应的标准规范进行。
等级保护有关标准在信息系统安全建设整改
工作中的作用如图3所示。
—3—
信息系统安全等级保护定级指南
信息系统安全等级保护行业定级细则
保
护
信
息
保
护
信
息
安全等级
保
信
息
全息
安信
设
测
过
指
评
程
南
系
安
等
统
全
级
测
要
评
求
系
安
等
统
全
级
状
分
况
析
整改
信息系统安全
等级保护建设
基线要求
指
方
法
导
实统
指全
护系
施安
南等
级
系
计统
技
术
要
求护
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求
技术类
信息系统通用安全
技术要求
管理类
信息系统安全
管理要求
产品类
操作系统安全技术
要求
信息系统物理安全
技术要求
信息系统安全工程
管理要求
数据库管理系统安全
技术要求
网络基础安全技术
要求
其他管理类标准
网络和终端设备隔离部
件技术要求
其他技术类标准
其他产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
图3:
等级保护相关标准间的关系
—4—
需要说明的是,
(一)《计算机信息系统安全保护等级划分准则》及配套标准
是《基本要求》的基础。
《计算机信息系统安全保护等级划分准则》(GB17859,
以下简称《划分准则》)是等级保护的基础性标准,《信息系统通用安全技术要求》
等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术
要求》等产品类标准是在《划分准则》基础上研究制定的。
《基本要求》以上述
标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同
升级会员 