实例介绍
【实例简介】
信息安全等级保护安全建设能力评估准则(试行) 公安部第一研究所
公安部第一研究所 信息安全等级保护安全建设机构能力评估准则 前言 信息安全等级保护制度是国家信息安全保障工作的基本制度、基本国策,是 促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。信息安 全等级保护工作主要包括定级、备案、安全建设和整改、信息安全等级测评、信 息安全检查五个阶段。安全建设和整改是其屮十分重要的一环。公安部等部委于 2004年和2007年分别发布了《关于信息安全等级保扩工作的实施意见》(公通 字[2004]6号)和《信息安全等级保护管理办法》(公通字[2007]43号)等文件, 对信息安仝等级保护安全建设和整改工作都提出了明确要求。此外,公安部在 2009年专门发布了《关于开展信息安全竽级保护安全建设整改工作的指导意见》 (公信安[2009]129号),为进一步推进信息安仝等级保护安全建设整改工作起 到了积极作用。 《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发 _2012]23号):“落实信息安全等级保护制度,开展相应等级的安全建设和管理, 做好信息系统定级备案、整改和监督检查。”信息安全等级保护安全建设服务能 力是保证信息安全等级保护安全建设工作的基础。为确保有效指导信息安全等级 保护安仝建设服务单位的能力建设,规范其安全建设活动,潢足信息安全等级保 护工作要求,特制定本准则 《信息安全等级保扩安全建设能力评估准则》(以下简称《评估准则》)是信 息安全等级保护安全建设体系指导性文件之·。本规范吸取国际、国内安全建设 与检查机构能力评定的相关內容,结合信息安全等级保护工作的特点,对信息安 全等级保护安仝建设机构的组织管理能力、安全建设实施能力、设施和设备安全 与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范信息、 安全等级休护安全建设机构的建设和管理,及其能力评估工作的开展提供依据。 第3页共12页 公安部第一研究所 信息安全等级保护安全建设能力评估准则 1范围 本准则规定了信息安全等级保护安全建设机构的能力要求。 本准则适用于信息安全等级保扩安全建设机构的建设和管理以及对信息安 全等级保扩安全建设机构能力进行评估等活动 2名词解释 21信息安全等级保护安全建设 信息安仝等级保护安仝建设是指信息安全等级保护安全建设札构依据国家 信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密 信息系统进行信息安全等级保护安全建设的活动。 2.2信息安全等级保护安全建设机构 信息安全等级保护安全建设机构,是指具有信息安全等级保护安全建设机构 的基本条件,经能力评仁和审核,从事信息安全等级保护安全建设的机构 3基本要求 31申请机构要求 信息安全等级保扩安全建设机构(以下简称安全建设机构)应当具备以下基 本条件: a)在中华人民共和国境内注册成立(港澳台地区除外); υ)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地 区除外) c)从事信息系统安全建设相关工作两年以上,无违法记录; d)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; e)具有满足安全建设工作的专业技术人员和管理人员,安全建设技术人员 不少于10人; f)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信 息安全等级保护管理办法》对信息安全产品的要求 g)具有适用于安全建设工作管理休系; h)对国家安全、社会秩序、公共利益不构成威胁; i)应当具备的其他条件 32组织管理要求 第4页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 3.2.1安全建设机构管理者应掌握等级保护政策文件,熟悉相关的标准规范 3.2.2安全建设机构应按一定方式组织并设立相关部门,明确其职责、权限 和相互关系,保证各项工作的有序开展 3.2.3安全建设机构应具有胜任等级保扩安全建设工作的专业技术人员和管 理人员,大学本科(含)以上学历所占比例不低于60%。其中安全建设技术人员 不少于10人 3.2.4安仝建设机构应设置满足等级保护安全建设工作需要的岗位,如安仝 建设工程师、安仝建没项目组长、技术主管、质量主管、保密安全员和档案管理 员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。 3.3人员要求 3.3.1安全建设机构任命的技术主管,应在安全建设方面应具有相应的资格 和经历,并全面负责安全建设工作。该技术主管应为长期雇员。 3.3.2安全建设机构从事等级保护安全建设工作的专业技术人员(以下简称 安全建设人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级保护 安全建设的方法、流程和工作规范等方面的知识及能力,并有依据安全风险现状 做出专业判断,给出合理化整改建议的能力。 3.3.3安全建设工作人员应参加由公安部第一研究所举办的专门培训、考试 并取得中心颁发的《信息安全等级保护安全建设工程师》。安全建设工程师需持 证上岗。 3.3.4安全建设工程师、安全建设项日组长和技术主管闵位人员应分别取得 安全建设工程师证书,其比例应满足等级安全建设工作需要。 3.3.5安全建设机构应建立文件化的培训制度,以确保其工作人员在专业技 术和管理方面持续满足等级保护安全建设工作的需要。 34设施和设备安全与保障要求 3.4.1安全建设机构应具备必要的办公环境、设备、设施和管理系统,使用 的技术装备、设施原则上应当符合以下条件 a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股 的,在中华人民共和国境内具有独立的法人资格 b)产品的核心技术、关键部件具有我国自主知识产权 第5页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 c)产品研制、生产单位及其主要业务、技术人员无犯罪记录: d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等 程序和功能; e)对国家安全、社会秩序、公共利益不构成危害 f)信息安全宀品应获得公安部计算机信息安全六品销售许可证。 3.4.2安全建设机构应具备符合相关要求的机房以及必要的软、硬件设备, 用于满足信息系统仿真、技术培训和模拟测试的需要。 3.4.3安仝建设札构应确保设备和工具运行状态良好,并通过校准或比对等 于段保证其提供准确的数据。 3.4.4设备和工具均应有正确的标识。 3.5质量管理要求 3.5.1管理体系建设 3.5.1.1安全建设机构应建立、实施和维护符合等级保护安全建设工作需要 的文件化的管理体系,并确保安全建设机构各级人员能够理解和执 行 3.5.1.2安全建设机构应当制定相应的质量目标,不断提升自身的安全建设 质量和管理水平 3.5.1.3安全建设机构应指定一名质量主管,明确其质量保证的职责。质量 主管不应受可能有损工作质量的影响或利益冲突,并有权直接与安 全建设机构最高管理层沟通。 3.5.1.4安全建设机构应制定完善的规章制度,包括但不限于以下内容 a)保密管理制度 制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求, 以及违反保密制度的罚则等内容。 b)项目管理制度 安全建设机构应制定符合自身特点的安全建设项目管理程序,主要应包 括安全建设工作的组织形式、工作职责,安全建设各阶段的工作内容和管理 要求等 c)质量管埋制度(包含设备管理和文件档案管理等) 第6页共12页 公安部第一研究所 信息安全等级保护安全建设能力评估准则 应以保证质量为前提对安全建设机构的设备、文件档案等提出各项要 求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。 文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案 借阅、保管直至销毁的各项规定等。 d)培训教育制度 应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员 培训档案的建立等内容。 e)申诉、投诉及争议处理制度 应明确包括安全建设机构各岗位人员在申、投诉和争议处理活动中相应 的职责,建立从受理、确认到处置、答复等环节的完整程序 3.5.1.5安全建设方法与程序的规范性 安全建设机构应保证与等级保护安全建设和工作有关的所有工作程序、指 导书、标准规范、工作表格、核查记录表等现行有效并便于安全建设工作人员 获得。 3.5.2管理休系维扩 3.5.2.1安全建设机构应保证管理体系的有效运行,发现问题及吋反馈并采 取纠正措施,确保其冇效性。 3.5.2.2安全建设机构应定期对管理体系进行评审并持续改进,不断提高管 理要求。设定中、远期目标(如获得相应管理体系资质认可),通 过日标的实现,逐步提升质量管理能力。 3.6规范性保证要求 3.6.1公正性保证能力 3.6.1.1安全建设机构及其安全建设工作人员应当严格执行有关管理规范 和技术标准,开展客观、公正、安全的安全建设服务 3.6.1.2安全建设机构的人员应不受可能影响其安全建设结果的来自于商 业、财务和其他方面的压力。 3.6.2可信与保密性保证能力 3.6.2.1安全建设机构的单位法人及主要工作人员仅限于中华人民共和国 境内的中国公民,且无犯罪记录。 第7页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 3.6.2.2安全建设机构应通过提供单位性质、股权结构、出资情况、法人及 股东身份等信息的文件材料,证明其机构合规、产权关系明晰 3.6.2.3安全建设机构应建立并保存工作人员的人员档案,包括人员基木信 息、社会背景、工作经历、培训记录、专业资格、奖惩情况等,保 障人员的稳定和可靠 3.6.2.4安全建设机构使用的设备和工具应具备全面的功能列表,且不存在 功能列表之外的隐蔽功能。 3.6.2.5安全建设机构应重视安仝保密工作,指派安全保密工作的责任人。 3.6.2.6安全建设杋构应根据国家有关保密规定制定保密管理制度,并定期 对工作人员进行保密教育,安全建设机构和安全建设工作人员应当 保守在安全建设过程中知悉的国家秘密、商业秘密、敏感信息和个 人隐私等。 3.6.2.7安全建设机构应明确岗位保密要求,与全体人员签订《保密责仼 书》,规定其应当履行的安全保密义务和承担的法律责任,并负责 检查落实。 3.6.2.8安全建设机构应釆取技术和管理措施来确保等级保护安全建设相 关信息的安全、保密和可控,这些信息包括但不限于: a)安全建设需求单位提供的资料 b)安全建设活动生成的数据和记录; c)依据上述信息做出的分析与专业判断 3.6.2.9安全建设机构应借助有效的技术于段,确保等级侏护安全建设相关 信息的整个数据生命周期的安全和保密。 3.7风险控制要求 3.7.1安全建设机构应充分佔计安全建设可能给信息系统带来的凤险,风险 包括但不限于以下方面: a)安全建设机构由于自身能力或资源不足造成的风险: b)验证活动可能对信息系统正常运行造成影响的风险 C)设备和工具接入可能对被测系统正常运行造成影响的风险 安仝建设过程中可能发生信息系统重要信息(如网络拓扑、P地址 第8页共12页 公安部第一研究所 信息安全等级保护安全建设能力评估准则 业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等 3.7.2安仝建设机构应通过多种措施对上述信息系统可能面临的风险加以规 避和控制。 3.8可持续性发展要求 3.8.Ⅰ安全建设机构炆根据自身情况制定战略规划,通过不断的投入保证安 全建设机构的持续建设和发展。 3.8.2安仝建设机构应投入专门的力量来从事等级保护安全建设实践总结和 安全建设技术研究工作,安仝建设机构间应进行绎验交流和技术研讨 3.9安全建设机构能力约束性要求 安全建设机构不得从事下列活动: a)影响信息系统正常运行,危害信息系统安全; b)泄露知悉的安全建设需求单位及信息系统的国家秘密和工作秘密; c)故意隐瞒安全建设过程屮发现的安全问题,或者在安全建设过程中弄虚 作假 d)非授权占有、使等级保扩'安全建设相关资料及数据文件; e)限定安全建设需求单位购买、使用其指定的信息安全宀品; f)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。 4能力要求 4.1总则 4.1.1安全建设机构应通过提供案例、过程记录等资料,证明其具有从事信 息系统安全建设相关工作两年以上的工作经验。 4.1.2安全建设机构应保证在其能力范制内从事安全建设工作,并有足够的 资源来满足安全建设工作要求。 4.1.3安全建设机构应有完备的安全建设工作流程,有计划、按步骤地开展 安全建设工作,并保证安全建设活动的个环节都得到有效的控制 4.L.4安全建设机构应按照国家有关规定和标准规范要求,落实信息安全责 任,建立并落实各类安全管理制度,包括但不限于人员安全管理、系统建设管理 和系统运维管理等工作;落实物理安全、网络安全、主机安全、应用安全和数据 安仝等安仝保护技术措施。将技术措施和管理措施有机结合,建立信息系统综合 第9页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 防护体系,提高信息系统整体安全保护能力。 4.2安全建设实施要求 4.2.1安全建设准备阶段 4.2.1.1制定信息系统安全建设工作规划,对信息系统安全建设工作进行总 体部署。 4.2.1.2开展信息系统安全保护现状分析,从管理和技术两个方面确定信息 系统安全建设需求。 1.2.2安全建设方案设计阶段 确定安全保护策略,制定信息系统安全建设方案。安全建设方案包括但 不限于以下方面 安全管理制度建设: υ)落实信息安全责任制,包括明确领导机构和责任部门,建立岗位和 人员管理制度、安全教育和培训制度等。 信息系统安全管理现状分析,主要是查找信息系统安全管理建设需 解决的问题,明确信息系统安全管理建设的需求。 c)确定安全管理策略,制定安全管理制度。针对信息系统的各类管理 活动,制度人员安全管理制度、系统建设管理制度、系统运维管理制度、定 期检査制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理 体系。 d)落实安全管理措施 安全技术措施建设 a)信息系统安全保护技术现状分析,明确信息系统安全技术建设需求。 b)信息系统安全技术建设方案设计,包括总体设计和详细设计,制定 工程预算和工程实施计划等。 c)安全建设工程实施和管理,包括落实安全建设的责仁部门和人员, 保证建设资金,选择符合要求的安全建设服务器,采购符合要求的信息安全 产品,管理和控制安全功能开发、集成过程的质量等方面 4.2.3安全建设实施阶段 4.2.3.1安全建设实施 第10页共12页 【实例截图】
【核心代码】
信息安全等级保护安全建设能力评估准则(试行) 公安部第一研究所
公安部第一研究所 信息安全等级保护安全建设机构能力评估准则 前言 信息安全等级保护制度是国家信息安全保障工作的基本制度、基本国策,是 促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。信息安 全等级保护工作主要包括定级、备案、安全建设和整改、信息安全等级测评、信 息安全检查五个阶段。安全建设和整改是其屮十分重要的一环。公安部等部委于 2004年和2007年分别发布了《关于信息安全等级保扩工作的实施意见》(公通 字[2004]6号)和《信息安全等级保护管理办法》(公通字[2007]43号)等文件, 对信息安仝等级保护安全建设和整改工作都提出了明确要求。此外,公安部在 2009年专门发布了《关于开展信息安全竽级保护安全建设整改工作的指导意见》 (公信安[2009]129号),为进一步推进信息安仝等级保护安全建设整改工作起 到了积极作用。 《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发 _2012]23号):“落实信息安全等级保护制度,开展相应等级的安全建设和管理, 做好信息系统定级备案、整改和监督检查。”信息安全等级保护安全建设服务能 力是保证信息安全等级保护安全建设工作的基础。为确保有效指导信息安全等级 保护安仝建设服务单位的能力建设,规范其安全建设活动,潢足信息安全等级保 护工作要求,特制定本准则 《信息安全等级保扩安全建设能力评估准则》(以下简称《评估准则》)是信 息安全等级保护安全建设体系指导性文件之·。本规范吸取国际、国内安全建设 与检查机构能力评定的相关內容,结合信息安全等级保护工作的特点,对信息安 全等级保护安仝建设机构的组织管理能力、安全建设实施能力、设施和设备安全 与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范信息、 安全等级休护安全建设机构的建设和管理,及其能力评估工作的开展提供依据。 第3页共12页 公安部第一研究所 信息安全等级保护安全建设能力评估准则 1范围 本准则规定了信息安全等级保护安全建设机构的能力要求。 本准则适用于信息安全等级保扩安全建设机构的建设和管理以及对信息安 全等级保扩安全建设机构能力进行评估等活动 2名词解释 21信息安全等级保护安全建设 信息安仝等级保护安仝建设是指信息安全等级保护安全建设札构依据国家 信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密 信息系统进行信息安全等级保护安全建设的活动。 2.2信息安全等级保护安全建设机构 信息安全等级保护安全建设机构,是指具有信息安全等级保护安全建设机构 的基本条件,经能力评仁和审核,从事信息安全等级保护安全建设的机构 3基本要求 31申请机构要求 信息安全等级保扩安全建设机构(以下简称安全建设机构)应当具备以下基 本条件: a)在中华人民共和国境内注册成立(港澳台地区除外); υ)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地 区除外) c)从事信息系统安全建设相关工作两年以上,无违法记录; d)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; e)具有满足安全建设工作的专业技术人员和管理人员,安全建设技术人员 不少于10人; f)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信 息安全等级保护管理办法》对信息安全产品的要求 g)具有适用于安全建设工作管理休系; h)对国家安全、社会秩序、公共利益不构成威胁; i)应当具备的其他条件 32组织管理要求 第4页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 3.2.1安全建设机构管理者应掌握等级保护政策文件,熟悉相关的标准规范 3.2.2安全建设机构应按一定方式组织并设立相关部门,明确其职责、权限 和相互关系,保证各项工作的有序开展 3.2.3安全建设机构应具有胜任等级保扩安全建设工作的专业技术人员和管 理人员,大学本科(含)以上学历所占比例不低于60%。其中安全建设技术人员 不少于10人 3.2.4安仝建设机构应设置满足等级保护安全建设工作需要的岗位,如安仝 建设工程师、安仝建没项目组长、技术主管、质量主管、保密安全员和档案管理 员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。 3.3人员要求 3.3.1安全建设机构任命的技术主管,应在安全建设方面应具有相应的资格 和经历,并全面负责安全建设工作。该技术主管应为长期雇员。 3.3.2安全建设机构从事等级保护安全建设工作的专业技术人员(以下简称 安全建设人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级保护 安全建设的方法、流程和工作规范等方面的知识及能力,并有依据安全风险现状 做出专业判断,给出合理化整改建议的能力。 3.3.3安全建设工作人员应参加由公安部第一研究所举办的专门培训、考试 并取得中心颁发的《信息安全等级保护安全建设工程师》。安全建设工程师需持 证上岗。 3.3.4安全建设工程师、安全建设项日组长和技术主管闵位人员应分别取得 安全建设工程师证书,其比例应满足等级安全建设工作需要。 3.3.5安全建设机构应建立文件化的培训制度,以确保其工作人员在专业技 术和管理方面持续满足等级保护安全建设工作的需要。 34设施和设备安全与保障要求 3.4.1安全建设机构应具备必要的办公环境、设备、设施和管理系统,使用 的技术装备、设施原则上应当符合以下条件 a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股 的,在中华人民共和国境内具有独立的法人资格 b)产品的核心技术、关键部件具有我国自主知识产权 第5页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 c)产品研制、生产单位及其主要业务、技术人员无犯罪记录: d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等 程序和功能; e)对国家安全、社会秩序、公共利益不构成危害 f)信息安全宀品应获得公安部计算机信息安全六品销售许可证。 3.4.2安全建设机构应具备符合相关要求的机房以及必要的软、硬件设备, 用于满足信息系统仿真、技术培训和模拟测试的需要。 3.4.3安仝建设札构应确保设备和工具运行状态良好,并通过校准或比对等 于段保证其提供准确的数据。 3.4.4设备和工具均应有正确的标识。 3.5质量管理要求 3.5.1管理体系建设 3.5.1.1安全建设机构应建立、实施和维护符合等级保护安全建设工作需要 的文件化的管理体系,并确保安全建设机构各级人员能够理解和执 行 3.5.1.2安全建设机构应当制定相应的质量目标,不断提升自身的安全建设 质量和管理水平 3.5.1.3安全建设机构应指定一名质量主管,明确其质量保证的职责。质量 主管不应受可能有损工作质量的影响或利益冲突,并有权直接与安 全建设机构最高管理层沟通。 3.5.1.4安全建设机构应制定完善的规章制度,包括但不限于以下内容 a)保密管理制度 制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求, 以及违反保密制度的罚则等内容。 b)项目管理制度 安全建设机构应制定符合自身特点的安全建设项目管理程序,主要应包 括安全建设工作的组织形式、工作职责,安全建设各阶段的工作内容和管理 要求等 c)质量管埋制度(包含设备管理和文件档案管理等) 第6页共12页 公安部第一研究所 信息安全等级保护安全建设能力评估准则 应以保证质量为前提对安全建设机构的设备、文件档案等提出各项要 求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。 文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案 借阅、保管直至销毁的各项规定等。 d)培训教育制度 应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员 培训档案的建立等内容。 e)申诉、投诉及争议处理制度 应明确包括安全建设机构各岗位人员在申、投诉和争议处理活动中相应 的职责,建立从受理、确认到处置、答复等环节的完整程序 3.5.1.5安全建设方法与程序的规范性 安全建设机构应保证与等级保护安全建设和工作有关的所有工作程序、指 导书、标准规范、工作表格、核查记录表等现行有效并便于安全建设工作人员 获得。 3.5.2管理休系维扩 3.5.2.1安全建设机构应保证管理体系的有效运行,发现问题及吋反馈并采 取纠正措施,确保其冇效性。 3.5.2.2安全建设机构应定期对管理体系进行评审并持续改进,不断提高管 理要求。设定中、远期目标(如获得相应管理体系资质认可),通 过日标的实现,逐步提升质量管理能力。 3.6规范性保证要求 3.6.1公正性保证能力 3.6.1.1安全建设机构及其安全建设工作人员应当严格执行有关管理规范 和技术标准,开展客观、公正、安全的安全建设服务 3.6.1.2安全建设机构的人员应不受可能影响其安全建设结果的来自于商 业、财务和其他方面的压力。 3.6.2可信与保密性保证能力 3.6.2.1安全建设机构的单位法人及主要工作人员仅限于中华人民共和国 境内的中国公民,且无犯罪记录。 第7页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 3.6.2.2安全建设机构应通过提供单位性质、股权结构、出资情况、法人及 股东身份等信息的文件材料,证明其机构合规、产权关系明晰 3.6.2.3安全建设机构应建立并保存工作人员的人员档案,包括人员基木信 息、社会背景、工作经历、培训记录、专业资格、奖惩情况等,保 障人员的稳定和可靠 3.6.2.4安全建设机构使用的设备和工具应具备全面的功能列表,且不存在 功能列表之外的隐蔽功能。 3.6.2.5安全建设机构应重视安仝保密工作,指派安全保密工作的责任人。 3.6.2.6安全建设杋构应根据国家有关保密规定制定保密管理制度,并定期 对工作人员进行保密教育,安全建设机构和安全建设工作人员应当 保守在安全建设过程中知悉的国家秘密、商业秘密、敏感信息和个 人隐私等。 3.6.2.7安全建设机构应明确岗位保密要求,与全体人员签订《保密责仼 书》,规定其应当履行的安全保密义务和承担的法律责任,并负责 检查落实。 3.6.2.8安全建设机构应釆取技术和管理措施来确保等级保护安全建设相 关信息的安全、保密和可控,这些信息包括但不限于: a)安全建设需求单位提供的资料 b)安全建设活动生成的数据和记录; c)依据上述信息做出的分析与专业判断 3.6.2.9安全建设机构应借助有效的技术于段,确保等级侏护安全建设相关 信息的整个数据生命周期的安全和保密。 3.7风险控制要求 3.7.1安全建设机构应充分佔计安全建设可能给信息系统带来的凤险,风险 包括但不限于以下方面: a)安全建设机构由于自身能力或资源不足造成的风险: b)验证活动可能对信息系统正常运行造成影响的风险 C)设备和工具接入可能对被测系统正常运行造成影响的风险 安仝建设过程中可能发生信息系统重要信息(如网络拓扑、P地址 第8页共12页 公安部第一研究所 信息安全等级保护安全建设能力评估准则 业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等 3.7.2安仝建设机构应通过多种措施对上述信息系统可能面临的风险加以规 避和控制。 3.8可持续性发展要求 3.8.Ⅰ安全建设机构炆根据自身情况制定战略规划,通过不断的投入保证安 全建设机构的持续建设和发展。 3.8.2安仝建设机构应投入专门的力量来从事等级保护安全建设实践总结和 安全建设技术研究工作,安仝建设机构间应进行绎验交流和技术研讨 3.9安全建设机构能力约束性要求 安全建设机构不得从事下列活动: a)影响信息系统正常运行,危害信息系统安全; b)泄露知悉的安全建设需求单位及信息系统的国家秘密和工作秘密; c)故意隐瞒安全建设过程屮发现的安全问题,或者在安全建设过程中弄虚 作假 d)非授权占有、使等级保扩'安全建设相关资料及数据文件; e)限定安全建设需求单位购买、使用其指定的信息安全宀品; f)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。 4能力要求 4.1总则 4.1.1安全建设机构应通过提供案例、过程记录等资料,证明其具有从事信 息系统安全建设相关工作两年以上的工作经验。 4.1.2安全建设机构应保证在其能力范制内从事安全建设工作,并有足够的 资源来满足安全建设工作要求。 4.1.3安全建设机构应有完备的安全建设工作流程,有计划、按步骤地开展 安全建设工作,并保证安全建设活动的个环节都得到有效的控制 4.L.4安全建设机构应按照国家有关规定和标准规范要求,落实信息安全责 任,建立并落实各类安全管理制度,包括但不限于人员安全管理、系统建设管理 和系统运维管理等工作;落实物理安全、网络安全、主机安全、应用安全和数据 安仝等安仝保护技术措施。将技术措施和管理措施有机结合,建立信息系统综合 第9页共12页 公安部第一研究所 信息安全等级保护安全建设能力评佔准则 防护体系,提高信息系统整体安全保护能力。 4.2安全建设实施要求 4.2.1安全建设准备阶段 4.2.1.1制定信息系统安全建设工作规划,对信息系统安全建设工作进行总 体部署。 4.2.1.2开展信息系统安全保护现状分析,从管理和技术两个方面确定信息 系统安全建设需求。 1.2.2安全建设方案设计阶段 确定安全保护策略,制定信息系统安全建设方案。安全建设方案包括但 不限于以下方面 安全管理制度建设: υ)落实信息安全责任制,包括明确领导机构和责任部门,建立岗位和 人员管理制度、安全教育和培训制度等。 信息系统安全管理现状分析,主要是查找信息系统安全管理建设需 解决的问题,明确信息系统安全管理建设的需求。 c)确定安全管理策略,制定安全管理制度。针对信息系统的各类管理 活动,制度人员安全管理制度、系统建设管理制度、系统运维管理制度、定 期检査制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理 体系。 d)落实安全管理措施 安全技术措施建设 a)信息系统安全保护技术现状分析,明确信息系统安全技术建设需求。 b)信息系统安全技术建设方案设计,包括总体设计和详细设计,制定 工程预算和工程实施计划等。 c)安全建设工程实施和管理,包括落实安全建设的责仁部门和人员, 保证建设资金,选择符合要求的安全建设服务器,采购符合要求的信息安全 产品,管理和控制安全功能开发、集成过程的质量等方面 4.2.3安全建设实施阶段 4.2.3.1安全建设实施 第10页共12页 【实例截图】
【核心代码】
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论