中央企业等级保护解决方案
　　【51CTO.com 综合消息】近年来，国家对中央企业信息化建设提出了许多严格和具体的要求，发布了多个专门针对中央企业的信息化工作的规范：&
　　这些管理规定和指导意见都是针对中央企业下发的专门规范要求，究其根本，在有效实施了信息系统安全等级保护的基础上，可以更好地落实此类规范。
　　中央企业中属于国家重点行业的企业目前都正面临等级保护工作的落实与深化。在现已定级的信息系统中，大多数在建设之初并没有按等级保护需求加以考虑，通过这几年等级保护试点经验的积累以及政策环境的大力推动，中央企业已经具备大规模等级保护整改建设的基础环境。
　　开展等级保护差距的整改工作是一项全新的课题，需要从实际出发，扎实实践地稳步推进，需要全社会共同努力。中央企业需要在前期等级保护定级与测评的基础上，对于等级保护存在的差距进行整改与规划，通过落实具体措施要不断提高信息安全水平，使得相关信息系统能够达到相应等级的基本保护和防护能力。目前国家要求已经定级备案的信息系统在三年之内整改建设完毕，通过等级保护相关测评。
　　从2004年公安部、保密局、国密办以及国信办联合发布的公通字[2004]66号文件-（《关于信息安全等级保护工作的实施意见》）以来，等级保护已经成为国家信息安全的基本制度，是所有国内政府、企业进行信息安全建设的基本依据。到2010年，经过近6年的等级保护试点工作，政府与企业已经积累了大量的等保工作经验，在定级标准、定级指南、实施指南、基本要求、设计指南、测评指南等方面已经建立了相关实施标准与指南，但是考虑到等级保护工作的复杂性，基层建设单位在如何使用这些标准和指南来指导等级保护建设工作方面还缺乏经验，往往需要摸索一段时间，涉及较多的人力物力投入，同时由于各自理解存在，等保实施的质量也参差不齐。因此，在现有条件下，如何经济有效地实施等级保护工作是许多中央企业的迫切需求。
　　谷安天下作为一家专业的IT风险管理公司，在调查企业实际需求及总结自身等级保护实施经验的基础上，为中央企业等级保护建设工作设计了一套全面的企业等保建设软件系统解决方案ISLP，ISLP把中央企业等级保护建设工作分为五大阶段：定级备案，现状调研，差距分析，安全整改，系统测评，每个阶段都可以ISLP软件协助进行等保体系的建设。&&&&
中央企业登记保护解决方案阶段图
　　以下对每一个阶段进行说明：
　　阶段一：定级备案
　　为了把中央企业的重要信息系统的安全水平提高到一个全新的高度，首先需要开展等级保护定级工作。通过系统定级，明确信息系统保护的等级，得到权威机构认可并备案，为开展后续信息系统安全工作提供依据和支持。
　　定级前首先要进行信息系统梳理，收集信息系统基本资料，梳理各应用系统之间的关系，考虑那些应用系统可以组成相对完整、独立的业务系统，然后参考《信息系统等级保护定级指南》进行定级工作。定级过程中，对于侵害客体的选择，以及侵害程度的确定，采取客观态度，并考虑备案工作。
　　在定级工作完成以后，就可以准备备案文档，例如：《XXXX信息系统基础情况摸底调查表》、《XX信息系统整体拓扑图》、《XXXX系统拓扑结构及说明模版》等。然后根据《信息系统等级化保护定级报告模版》的要求，在满足模版要求的每个要点基础上，附加描述性文字及表格，使文档逻辑严密，描述完整，完成《XXXX信息系统等级化保护定级报告》。在正式进行备案工作之前，还应该进行内部文档评审工作，需要相关业务单位及有关领导对业务系统涉及的客体、损害程度和最终的定级结果进行内部评审。在系统备案阶段，也可以由专家团队先进行评审和指导，修改后提交备案的相关资料。
　　我们可以通过“等级保护建设管理平台”的定级和备案模块来实现这个阶段的工作：
　　定级模块主要用于创建、维护和保存定级相关的基本信息并形成表单，主要包括：
　　1）“单位基本信息”是用来保存项目单位的基本信息，如：单位名称、责任部门等新兴；
　　2）“系统详细信息”主要用于建立信息系统的基本信息，如：系统名称、支撑信息资产、责任人、审核人等；
　　3）“系统定级情况”保存系统定级的基本情况，如：系统定级表、主管部门（监管单位）等；
　　4）“系统相关材料”用于建立并保存信息系统的相关信息，如：系统拓扑结构、系统安全组织、机构及管理制度、系统等级测评报告等。
　　备案模块主要用于创建、维护和保存备案相关的基本表单，主要包括：“信息系统安全等级保护备案表”将备案表固化在系统中存档备份；“单位信息系统备案记录表”可用于查看本单位内各个系统的定级备案情况。&&
　　阶段二：现状调研
　　安全现状的调研的主要目的是了解组织信息系统的当前安全现状，主要包括采用文件审核、现场访谈、问卷调研、技术工具评估等方式对中央企业在信息安全管理相关的政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查。
　　在现状调研阶段，我们可以通过ISLP的现状调研模块辅助完成这个阶段的工作：
　　1）&“人工检查”模块提供人工检查列表，为安全管理与安全技术的现状调查提供工具支撑。人工检查用人工方式直接检查IT资产控制措施是否到位；
　　2）&“工具检查”模块实现与谷安天下自主的漏洞扫描系统及当前最流行的Nessus、Webscan等扫描器的集成，将扫描报告导入到系统中，根据扫描器扫描结果分析组织内部存在的漏洞和风险。通过扫描信息的自动导入，帮助客户有效分析安全现状，并符合相关标准。&&&
　　阶段三：差距分析
　　在现状调研的基础上，根据等级保护的标准进行分析，评估信息系统所面临的威胁和脆弱性，评估信息系统与等级保护要求之间的差距。
　　在差距分析阶段，我们可以通过“等级保护建设管理平台”的差距分析模块辅助完成这个阶段的工作：
　　1）&根据等级保护标准提供技术评估、管理评估和整体评估多种差距分析方法，内置等级保护标准对应的检查问卷，自动生成差距分析报告。
　　2）&本模块主要实现对信息系统与相应等级要求之间的符合程度进行差距分析，根据标准从管理与技术层面对信息系统进行检查，按照控制域->控制点->控制项拆分评估问题形成检查单（checklist），实现在线评估。&&
　　阶段四：安全整改
　　安全整改包括安全规划和安全加固两个方面，安全规划设计阶段通过安全需求分析，判断信息系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划等，以指导后续的信息系统安全建设工程实施。
　　安全加固的总体思路是就是根据网络设备、主机设备、安全设备、应用系统的安装、配置、权限设置等最佳安全实践作为安全基线，找出不足并作出相应修改和升级。
　　在安全整改阶段，我们可以通过“等级保护建设管理平台”的体系建设模块辅助完成以下工作：
　　1）&体系规划
　　系统根据差距分析分析出的不符合项自动推荐控制措施，然后分析识别出的改进措施，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标及工作内容。
　　2）&体系建设
　　体系建设阶段将解决方案建设项目进行汇总，分析任务或项目的实施优先级，根据实施优先级规划这些任务或项目的实施时间、实施范围及参与人员，最后进行时间规划，系统自动生成甘特图。
　　3）&体系完善
　　体系完善阶段主要对整改项目进行跟踪和检查，并形成阶段性报告并与评估过程中发现的不符合项进行关联。
　　4）&体系保障
　　体系保障模块主要用于体系保障工作，包括体系内部审核、管理评审的记录，控制测量的录，体系有效性测量，以及不符合项的记录。&&
　　阶段五：安全测评
　　在准备测评阶段工作的阶段，可以通过“等级保护建设管理平台”导出测评过程中需要的相关资料，协助整理测评前的文件汇总工作，使用户在测评工作前思路清晰，轻松应对测评工作。
　　“等级保护建设管理平台”是国内首家提出合规性管理体系化、规范化、标准化、流程化、平台化的产品，它具有以下特点：
　　1、将管理与软件平台技术的结合，等保领域国内首创
　　创造性地提出了IT合规性管理框架，融合国内外所有相关标准和最佳实践，整理近千条控制措施，形成全面的合规性管理框架。本公司目前一方面拥有国内一流的信息安全咨询技术队伍，一方面又有多年的管理软件产品开发经验，因此二者的结合保证了行业内技术领先优势。&
　　基于合规管理框架，企业将大大提高IT风险管理水平，降低风险管理成本，提高IT工作效率和项目成功率，从而大大提高企业竞争力。并形成有效的技术壁垒。
　　2、解决软件对等级保护合规性建设工作的流程化问题&
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
Copyright (C)
All rights reserved. 京ICP证060517号/京ICP备号 京公网安备76号
TechWeb公众号
机情秀公众号您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
中国石化集团信息系统安全等级保护评估和检查细则.doc 219页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
中国石化集团信息系统安全等级保护评估和检查细则
你可能关注的文档：
··········
··········
2. 规范性引用文件 4
3. 术语和定义 4
3.1. 工作单元 4
3.2. 评估和检查强度 4
4.1. 评估和检查原则 4
4.2. 评估和检查内容 5
5. Ⅰ级安全评估和检查 6
5.1. 信息安全管理评估和检查 6
5.1.1. 安全管理机构 6
5.1.2. 安全管理制度 6
5.1.3. 人员安全管理 7
5.1.4. 系统建设管理 8
5.1.5. 系统运行维护管理 10
5.2. 信息安全技术评估和检查 13
5.2.1. 物理安全 13
5.2.2. 网络安全 14
5.2.3. 主机安全 15
5.2.4. 应用安全 17
5.2.5. 数据安全及备份恢复 18
6. ⅡA级安全评估和检查 20
6.1. 信息安全管理评估和检查 20
6.1.1. 安全管理机构 20
6.1.2. 安全管理制度 22
6.1.3. 人员安全管理 22
6.1.4. 系统建设管理 25
6.1.5. 系统运行维护管理 27
6.2. 信息安全技术评估和检查 32
6.2.1. 物理安全 32
6.2.2. 网络安全 36
6.2.3. 主机安全 39
6.2.4. 应用安全 42
6.2.5. 数据安全及备份恢复 45
7. ⅡB级安全评估和检查 47
7.1. 信息安全管理评估和检查 47
7.1.1. 安全管理机构 47
7.1.2. 安全管理制度 50
7.1.3. 人员安全管理 50
7.1.4. 系统建设管理 53
7.1.5. 系统运行维护管理 55
7.2. 信息安全技术评估和检查 60
7.2.1. 物理安全 60
7.2.2. 网络安全 63
7.2.3. 主机安全 67
7.2.4. 应用安全 69
7.2.5. 数据安全及备份恢复 72
8. ⅢA级安全评估和检查 75
8.1. 信息安全管理评估和检查 75
8.1.1. 安全管理机构 75
8.1.2. 安全管理制度 78
8.1.3. 人员安全管理 79
8.1.4. 系统建设管理 81
8.1.5. 系统运行维护管理 84
8.2. 信息安全技术评估和检查 91
8.2.1. 物理安全 91
8.2.2. 网络安全 95
8.2.3. 主机安全 98
8.2.4. 应用安全 102
8.2.5. 数据安全及备份恢复 107
9. ⅢB级安全评估和检查 108
9.1. 信息安全管理评估和检查 108
9.1.1. 安全管理机构 108
9.1.2. 安全管理制度 112
9.1.3. 人员安全管理 113
9.1.4. 系统建设管理 116
9.1.5. 系统运行维护管理 120
9.2. 信息安全技术评估和检查 127
9.2.1. 物理安全 127
9.2.2. 网络安全 132
9.2.3. 主机安全 137
9.2.4. 应用安全 144
9.2.5. 数据安全及备份恢复 150
10. Ⅳ级安全评估和检查 153
10.1. 信息安全管理评估和检查 153
10.1.1. 安全管理机构 153
10.1.2. 安全管理制度 157
10.1.3. 人员安全管理 158
10.1.4. 系统建设管理 162
10.1.5. 系统运行维护管理 168
10.2. 信息安全技术评估和检查 177
10.2.1. 物理安全 177
10.2.2. 网络安全 185
10.2.3. 主机安全 191
10.2.4. 应用安全 201
10.2.5. 数据安全及备份恢复 210
根据《中国石化集团信息系统安全等级保护基本要求》，为推动中国石化信息系统安全等级保护工作的开展，结合国家信息系统安全等级保护检查细则的相关要求，修订本细则。
本规定了安全等级保护要求。
本适用于对安全等级保护。GB计算机信息系统安全保护等级划分准则
GB/T 5271.8 信息技术 词汇 第8部分：安全
信息安全技术 信息系统安全等级保护基本要求
术语和定义
GB/T 5271.8和GB/T 所确立的以及下列术语和定义适用于本细则。
工作单元是安全评估和检查的最小工作单位，由评估和检查项目、评估和检查内容、评估和检查标准、评估和检查方法以及备注等组成，分别描述评估和检查项目和内容、评估和检查过程中涉及的评估和检查标准。
评估和检查强度
评估和检查是一个自评估的工作，通过评估和检查工作对比等级保护的工作。
评估和检查的广度和深度，体现评估和检查工作的实际投入程度。
评估和检查原则
评估和检查原则包括：
客观性和公正性原则
虽然评估和检查工作不能完全摆脱个人主张或判断，但评估和检查人员应当没有偏见，在最小
正在加载中，请稍后...当前位置： >>
等级保护实施FAQ
根据《公安机关信息安全等级保护检查工作规范》的规定，公安机关发现不符合信息安全等级保护有关管理规范和技术标准要求，具有违反《信息安全等级保护管理办法》相关规范情形的，应当通知其运营使用单位限期整改，并发送《信息系统安全等级保护限期整改通知书》。逾期不改正的，给予警告，并向其上级主管部门通报。反之，对于符合规范和标准要求的，公安机关对信息系统给予颁证认可，对于信息系统安全建设、改造情况优秀的运营、维护单位进行评级表彰。
具有下列情形之一的，公安机关通知其运营使用单位限期整改：
（一） 未按照《管理办法》开展信息系统定级工作的；
（二） 信息系统安全保护等级定级不准确的；
（三） 未按《管理办法》规定备案的；
（四） 备案材料与备案单位、备案系统不符合的；
（五） 未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的；
（六） 系统发生变化，安全保护等级未及时进行调整并重新备案的；
（七） 未按《管理办法》规定落实安全管理制度、技术措施的；
（八） 未按《管理办法》规定开展安全建设整改和安全技术测评的；
（九） 未按《管理办法》规定选择使用信息安全产品和测评机构的；
（十） 未定期开展自查的；
（十一） 违反《管理办法》其他规定的。
　　根据《信息安全等级保护管理办法》第十八条的规定，受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。检查内容主要包括信息系统安全等级保护定级备案情况，信息安全设施建设、整改情况，信息安全管理制度建立和落实情况，以及检查系统安全测评是否符合要求等事项。
　　根据《信息安全等级保护管理办法》第十四条规定，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。目前上海市公安局等保办公室指定上海市信息安全测评认证中心为本市信息系统安全等级保护测评工作的主要测评实施单位。《信息安全等级保护管理办法》在第二十二条明确了对于等级保护测评机构的要求条件。
　　结合系统实际安全管理需要和技术建设内容，确定安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
系统改建方案设计的主要依据是安全需求分析的结果，和对信息系统目前保护措施与《基本要求》的差距的分析和评估。因而改建实施方案设计包括以下四个方面的内容：
一、确定系统改建的安全需求
二、差距原因分析
三、分类处理的改建措施。
四、改建措施详细设计。
对于信息系统目前保护措施与《基本要求》之间的差距，主要根据以下三个方面的分析评估：
1、根据确定的安全保护等级，参照前述的安全需求分析方法，确定本系统的总体安全需求，其中包括经过调整的等级保护基本要求和本单位的特殊安全需求。
2、由信息系统的运营使用单位自己组织人员或由第三方评估机构采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估，得到与相应等级要求的差距项。
3、针对满足特殊安全需求（包括采用高等级的控制措施和采用其它标准的要求的）的安全措施进行符合性评估，得到与满足特殊安全需求的差距项。
根据等级保护要求进行信息系统安全的设计是系统建设前必须完成的工作。设计分为总体安全设计和详细安全设计。总体设计指导全局，一般针对整个单位，详细设计指导具体项目的建设实施。具体系统保护方案设计的方法和实施步骤请参考《信息系统安全等级保护实施指南》内“总体安全设计”章节。
针对系统特殊安全需求，有两种解决方式：
第一种 选择《基本要求》中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力。
第二种 参照《管理办法》第十二条和第十三条列出的等级保护的其它标准进行保护。
等级保护基本安全要求和特殊安全需求共同构成系统的总的安全需求。
明确系统特殊安全需求，特殊需求来自两个方面：
第一，等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求，需要更强的保护。
第二，由于信息系统的业务需求、应用模式具有特殊性，系统面临的威胁具有特殊性，基本要求没有提供所需要的保护措施，例如有关无线网络的接入和防护《基本要求》中没有提出专门的要求，需要作为特殊需求。
基本安全要求，其中包括三类基本要求
S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
A类—系统服务安全保护类—关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。
G类—通用安全保护类—既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。
例如，以S2表示2级的业务信息安全保护类要求，A3表示3级的系统服务安全保护类要求。
具体需求分析步骤：
第一步 根据其等级从《基本要求》中选择相应等级的基本安全要求。
第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级，确定该信息系统的安全需求类。
第三步 根据系统所面临的威胁特点调整安全要求。
根据《信息安全等级保护管理办法》（公通字[2007]43号）第十五条规定运营、使用单位到所在地设区的市级以上公安机关办理备案手续。并且按照第十六条的规定，填写《信息系统安全等级保护备案表》，提供相关备案材料。
《信息系统安全等级保护实施指南》章节5.3.2“形成定级报告”中标定了“信息系统定级结果报告”需包括的主要内容。
通过《信息系统安全等级保护实施指南》第五章“信息系统定级”了解定级工作框架及主要内容。依据GB/T《信息系统安全等级保护定级指南》,信息系统运营维护单位从中了解等级保护定级原理、定级方法和等级变更等规范细节。
如果您有任何问题或疑问请拨打我们的销售热线国家统计局发布的70个大中城市10月住宅销售数据显示，楼市“银十”刚过，70个大中...
邀请好友送大礼，“山东24小时”果6、米4、话费等你拿。
体现中国的责任与担当，为中国与世界互联互通搭建国际平台。
女司机回应称辱骂保安实为车技不行，气急败坏所致。
11月19日消息，由阿里健康旗下的中信二十一世纪（科技）有限公司建设、运维的“中国药品电子监管网”，正式通过信息安全等级保护三级测评。这是全国首例部署在“云端”的部委级应用系统，通过国家权威机构测评，进一步证明阿里云的数据安全性。
　　11月19日消息，由阿里健康旗下的中信二十一世纪（中国）科技有限公司建设、运维的“中国药品电子监管网”，正式通过信息安全等级保护三级测评。这是全国首例部署在“云端”的部委级应用系统，通过国家权威机构测评，进一步证明阿里云的数据安全性。
　　中国药品电子监管网是我国唯一药品追溯监管平台，通过类似于药品“身份证”的电子监管码，实现对生产、流通、销售、使用全过程监控。该平台在药品安全领域发挥着重要作用，目前已覆盖疫苗、基本药物等大多数高风险和常用药品，每天新增上亿条药品记录。
　　作为中国药品电子监管网的主管单位，国家食品药品监督管理总局对该系统，提出了严格的数据安全保护要求，并希望由国家权威测评机构验证其安全性。今年8月，公安部信息安全等级保护评估中心启动测评项目，并开展云计算环境数据安全专项评估。评估小组针对用户数据隔离、容灾技术进行重点检查和验证，累计测评点超过2154个。
　　测评结论显示：中国药品电子监管网基本具备三级安全保护能力要求；阿里云数据安全保护措施，通过了测评专家实际检验。阿里云在提供单表百TB级别的存储能力下，可做到高并发、低延迟，能支撑业务实时查询能力；多份数据副本特性及异地容灾（两地共6份数据），存储做到数据高可靠性。
　　此外，为确保数据不被运维人员非法接触，中国药品电子监管网和阿里云均采用堡垒机登录运维数据库，制定了严格的系统安全管理制度，从技术上和管理上两个角度保障数据安全。
　　截至2014年6月，中国药品电子监管网超过800亿条的药品生产、流通数据，存储在阿里云计算平台，并可被实时调取查询。如此海量、实时的数据，要实现异地数据灾备，且经国家权威安全测评机构检测，这对中国药品电子监管网和阿里云均是一次严格的考验。测评结果证明：“中国药品电子监管网这样国家部委级的应用系统，在云上也是安全的。”
　　业内人士表示，这是全国首例基于云计算技术的应用系统，通过国家权威等保三级测评，且涉及关系国计民生的重要数据，具有突破性意义。这将帮助一些政府部门和企业，消除对云计算数据安全性的担忧，加速中国云计算产业的发展。
　　公安部信息安全等级保护评估中心，是构建国家信息安全保障体系的专业技术支撑机构，承担国家信息安全等级保护标准体系设计和重要技术标准的编制。
本文相关新闻
初审编辑：
责任编辑：张艳
一张图读懂沪港通。
10月7日晚，天津女孩儿张碧晨在第三季《中国好声音》总决赛中...
芭蕾的美，不止在前台，后台的另一番天地，让摄影师欲罢不能...
中国抗日战争作为世界反法西斯战争的重要组成部分，抗击和牵...
新闻热搜词
来源：360新闻
正在加载中
|||||||||||||
||||||||||||绗?竴鏉