為什麽要開展等級保護測評?你必須知道!
隨著我國信息技術的快速發展,為維護國家安全和社會穩定,維護信息網絡安全,國務院於1994年頒布了《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)。條例中規定:我國的“計算機信息系統實行安全等級保護。
2003年**辦公廳、國務院辦公廳轉發的《國家信息化領導小組關於加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出“實行信息安全等級保護”。
2007年公安部會同國家保密局、國家密碼管理局和國務院信息化工作辦公室下發《信息安全等級保護管理辦法》(公通字[2007]43號)明確規定“定期對信息系統安全等級狀況開展等級測評”。“第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評……”。並制定了包括《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息系統安全等級保護定級指南》、《信息系統安全等級保護基本要求》等50多個國家標準和行業標準,形成了信息安全等級保護標準體系。具體如下圖所示:
2012年,CSDN網站因未落實國家信息安全等級保護制度,造成了大量用戶信息泄露的嚴重後果。依據《中華人民共和國計算機信息系統安全保護條例》,北京市公安局對CSDN網站運營公司做出行政警告處罰。可見,開展等級保護工作是企業義不容辭的信息安全義務。
各行業或監管部門落實信息安全等級保護工作的具體工作
隨著國家相關機關不斷出臺等級保護規範標準,各行業或監管部門迅速發文響應並落實行業內信息系統安全等級保護工作。例如,衛生部2011年印發(衛辦發[2011]85號)《衛生行業信息安全等級保護工作的指導意見》的通知,明確衛生行業信息系統實行“定級備案、建設與整改、等級測評”工作。中國人民銀行2012年制定了《金融行業信息安全等級保護測評服務安全指引》、《金融行業信息信息系統信息安全等級保護測評指南》和《金融行業信息系統信息安全等級保護實施指引》,2013年制定了《征信機構管理辦法》(中國人民銀行令[2013]第1號),明確和規範金融機構開展的信息系統安全等級保護測評工作。教育部2014年發布《教育部關於加強教育行業網絡與信息安全工作的指導意見》(教技[2014]4號)明確規定“各單位信息系統要按照教育行業有關規範準確定級和備案”,“按照國際和教育行業有關標準規範要求進行等級測評”。還有財政部、人力資源社會保障、交通運輸行業、電力行業等監管部門或行業都發布相應文件明確落實信息系統安全等級保護工作,建立、健全信息安全管理制度,落實安全保護技術措施,全面貫徹落實信息安全等級保護制度。
等級保護測評的工作內容
為了達到各級的安全保護能力要求,國家等級保護基本安全要求提出了技術要求和管理要求兩大類,涵蓋了物理(機房)、網絡、主機、應用、數據安全、安全管理制度、安全管理機構、人員、系統建設、系統運維十個方面的內容。如下圖所示。
信息系統安全等級保護測評(簡稱“等級保護測評”)包括系統定級、系統備案、安全建設整改、等級保護測評、定期安全檢查五個階段。等級保護工作的實施過程如下圖所示:
等級保護測評是指信息系統運營、使用單位委托具有等級保護測評資質的測評機構對其建設的已定級的信息系統進行等級保護測評過程,測評機構在測評過程中采用訪談、檢查和測試三大類的測評方法,具體細分為人員訪談、文檔審查、配置核查、現場觀測和工具測試等五個小類,對信息系統進行安全測評和風險評估,驗證信息系統是否滿足相應安全保護等級要求,並形成信息安全等級保護測評報告。其所包含的測評工作流程可參考下圖:
公安機關等安全監管部門進行信息安全等級保護監督檢查時,系統運營、使用單位必須提交由具有等級測評資質的機構出具的等級測評報告。
哪些行業需要進行等級保護測評
政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等;
金融行業:金融監管機構、各大銀行、證券、保險公司等;
電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等;
能源行業:電力公司、石油公司、煙草公司;
企業單位:大中型企業、央企、上市公司等;
其它有信息系統定級需求的行業與單位。
一些基於上級監管單位要求和政策的強制要求開展等級保護測評的企業。例如,中國人民銀行要求征信機構必須進行等級保護測評,所以多數相關機構會委托經人民銀行和國家信息安全管理機構批準成立的認證機構CFCA(中國金融認證中心)進行測評。CFCA是國家級權威安全認證機構,是國家重要的金融信息安全基礎設施之一,匯集高、精、尖人才,擁有優秀的管理團隊和工作紮實、飽含**與活力的員工隊伍。CFCA在2013年已獲得公安部頒發的《等級保護測評機構能力評估合格證書》、《等級保護測評機構推薦證書》,CFCA成立的信息安全實驗室擁有40多名具備信息安全等級測評師資質的工程師,大部分工程師在等級保護測評領域有五年以上的工作經驗,是國內最權威的測評機構之一。
組織中哪些信息系統需要實施等級保護
電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統
市(地)級以上黨政機關的重要網站和辦公信息系統。
涉及國家秘密的信息系統。
開展等級保護測評的益處
對於企業來說,實施信息安全等級保護測評能夠有效地提高單位信息和信息系統安全建設的整體水平,有效控制企業信息安全建設成本;有利於明確國家、法人和其他組織、公民的信息安全責任,加強企業信息安全管理。
對於信息系統來說,通過等級保護測評可及時發現信息系統安全狀況並制定方案進行整改,當信息系統完全達到安全保護能力要求時,信息系統就基本可做到“進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。
具體包括:
保障基礎設施安全,保障網絡周邊環境和物理特性引起的網絡設備和線路的持續使用。
保障網絡連接安全,保障網絡傳輸中的安全,尤其保障網絡邊界和外部接入中的安全。
保障計算環境的安全,保障操作系統、數據庫、服務器、用戶終端及相關商用產品的安全。
保障應用系統安全,保障應用程序層對網絡信息的保密性、完整性和信源的真實的保護和鑒別,防止和抵禦各種安全威脅和攻擊手段,在一定程度上彌補和完善現有操作系統和網絡信息系統的安全風險。
保障數據安全及備份恢復,保障數據完整性、數據保密性、備份和恢復等。
安全管理體系保障。根據國家有關信息安全等級保護方面的標準和規範要求,建立一套切實可行的安全管理體系,加強安全管理機制。
黑龍江省內等需要做等保測評的公司或者機構可以與本人聯系,本人所在公司為黑龍江省公安廳等保測評推薦機構。聯系電話:18704631846 趙銘嵩。
本文出自 “黑龍江等保測評師” 博客,轉載請與作者聯系!
為什麽要開展等級保護測評?你必須知道!