· 國家管理部門對于檢查結果的處理方式有哪些?
· 具有哪些不符合情況之一的,運營使用單位須進行整改?
· 怎樣理解公安機關監(jiān)督檢查工作內容?
· 如何選擇能夠承擔信息系統(tǒng)安全等級保護測評具有國家有關資質的測評機構?
· 信息系統(tǒng)安全等級保護管理設計主要考慮哪些內容?
· 如何根據差距分析結果設計系統(tǒng)的改建方案?
· 對于已建成并投入運行的系統(tǒng)如何找出現(xiàn)有安全防護與相應等級基本要求的差距?
· 在系統(tǒng)建設階段如何進行系統(tǒng)保護方案設計?
· 如果系統(tǒng)存在特殊安全需求,有哪些解決方式?
· 系統(tǒng)存在特殊安全需求主要來自哪些方面?
· 什么是基本安全要求的S、A、G?
· 信息系統(tǒng)運營、使用單位根據保護等級的建設和改建狀況該如何進行安全需求分析??
· 從哪里可以下載備案表?
· 如何辦理備案手續(xù)?
· 等級保護定級報告該如何起草?
· 等級保護用戶單位如何對信息系統(tǒng)定級?
國家管理部門對于檢查結果的處理方式有哪些?
根據《公安機關信息安全等級保護檢查工作規(guī)范》的規(guī)定,公安機關發(fā)現(xiàn)不符合信息安全等級保護有關管理規(guī)范和技術標準要求,具有違反《信息安全等級保護管理辦法》相關規(guī)范情形的,應當通知其運營使用單位限期整改,并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》。逾期不改正的,給予警告,并向其上級主管部門通報。反之,對于符合規(guī)范和標準要求的,公安機關對信息系統(tǒng)給予頒證認可,對于信息系統(tǒng)安全建設、改造情況優(yōu)秀的運營、維護單位進行評級表彰。
具有哪些不符合情況之一的,運營使用單位須進行整改?
具有下列情形之一的,公安機關通知其運營使用單位限期整改:
??? (一) 未按照《管理辦法》開展信息系統(tǒng)定級工作的;
??? (二) 信息系統(tǒng)安全保護等級定級不準確的;
??? (三) 未按《管理辦法》規(guī)定備案的;
??? (四) 備案材料與備案單位、備案系統(tǒng)不符合的;
??? (五) 未按要求及時提交《信息系統(tǒng)安全等級保護備案登記表》表四的有關內容的;
??? (六) 系統(tǒng)發(fā)生變化,安全保護等級未及時進行調整并重新備案的;
??? (七) 未按《管理辦法》規(guī)定落實安全管理制度、技術措施的;
??? (八) 未按《管理辦法》規(guī)定開展安全建設整改和安全技術測評的;
??? (九) 未按《管理辦法》規(guī)定選擇使用信息安全產品和測評機構的;
??? (十) 未定期開展自查的;
??? (十一) 違反《管理辦法》其他規(guī)定的。?
怎樣理解公安機關監(jiān)督檢查工作內容?
根據《信息安全等級保護管理辦法》第十八條的規(guī)定,受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)的檢查,應當會同其主管部門進行。檢查內容主要包括信息系統(tǒng)安全等級保護定級備案情況,信息安全設施建設、整改情況,信息安全管理制度建立和落實情況,以及檢查系統(tǒng)安全測評是否符合要求等事項。?
如何選擇能夠承擔信息系統(tǒng)安全等級保護測評具有國家有關資質的測評機構???
根據《信息安全等級保護管理辦法》第十四條規(guī)定,信息系統(tǒng)建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構,依據《信息系統(tǒng)安全等級保護測評要求》等技術標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。目前上海市公安局等保辦公室指定上海市信息安全測評認證中心為本市信息系統(tǒng)安全等級保護測評工作的主要測評實施單位。《信息安全等級保護管理辦法》在第二十二條明確了對于等級保護測評機構的要求條件。?
信息系統(tǒng)安全等級保護管理設計主要考慮哪些內容?
結合系統(tǒng)實際安全管理需要和技術建設內容,確定安全管理建設的范圍和內容,同時注意與信息系統(tǒng)安全總體方案的一致性。安全管理設計的內容主要考慮:安全管理機構和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。?
如何根據差距分析結果設計系統(tǒng)的改建方案?
系統(tǒng)改建方案設計的主要依據是安全需求分析的結果,和對信息系統(tǒng)目前保護措施與《基本要求》的差距的分析和評估。因而改建實施方案設計包括以下四個方面的內容:
??? 一、確定系統(tǒng)改建的安全需求
??? 二、差距原因分析
??? 三、分類處理的改建措施。
??? 四、改建措施詳細設計。
對于已建成并投入運行的系統(tǒng)如何找出現(xiàn)有安全防護與相應等級基本要求的差距??
對于信息系統(tǒng)目前保護措施與《基本要求》之間的差距,主要根據以下三個方面的分析評估:
??? 1、根據確定的安全保護等級,參照前述的安全需求分析方法,確定本系統(tǒng)的總體安全需求,其中包括經過調整的等級保護基本要求和本單位的特殊安全需求。
??? 2、由信息系統(tǒng)的運營使用單位自己組織人員或由第三方評估機構采用等級測評方法對信息系統(tǒng)安全保護現(xiàn)狀與等級保護基本要求進行符合性評估,得到與相應等級要求的差距項。
??? 3、針對滿足特殊安全需求(包括采用高等級的控制措施和采用其它標準的要求的)的安全措施進行符合性評估,得到與滿足特殊安全需求的差距項。?
在系統(tǒng)建設階段如何進行系統(tǒng)保護方案設計?
根據等級保護要求進行信息系統(tǒng)安全的設計是系統(tǒng)建設前必須完成的工作。設計分為總體安全設計和詳細安全設計。總體設計指導全局,一般針對整個單位,詳細設計指導具體項目的建設實施。具體系統(tǒng)保護方案設計的方法和實施步驟請參考《信息系統(tǒng)安全等級保護實施指南》內“總體安全設計”章節(jié)。
如果系統(tǒng)存在特殊安全需求,有哪些解決方式??
針對系統(tǒng)特殊安全需求,有兩種解決方式:
第一種 選擇《基本要求》中更高級別的安全要求達到本級別基本要求不能實現(xiàn)的安全保護能力。
第二種 參照《管理辦法》第十二條和第十三條列出的等級保護的其它標準進行保護。
等級保護基本安全要求和特殊安全需求共同構成系統(tǒng)的總的安全需求。
系統(tǒng)存在特殊安全需求主要來自哪些方面??
明確系統(tǒng)特殊安全需求,特殊需求來自兩個方面:
第一,等級保護相應等級的基本要求中某些方面的安全措施所達到的安全保護不能滿足本單位信息系統(tǒng)的保護需求,需要更強的保護。
第二,由于信息系統(tǒng)的業(yè)務需求、應用模式具有特殊性,系統(tǒng)面臨的威脅具有特殊性,基本要求沒有提供所需要的保護措施,例如有關無線網絡的接入和防護《基本要求》中沒有提出專門的要求,需要作為特殊需求。
什么是基本安全要求的S、A、G??
基本安全要求,其中包括三類基本要求
S類—業(yè)務信息安全保護類—關注的是保護數(shù)據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改。
A類—系統(tǒng)服務安全保護類—關注的是保護系統(tǒng)連續(xù)正常的運行,避免因對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用。
G類—通用安全保護類—既關注保護業(yè)務信息的安全性,同時也關注保護系統(tǒng)的連續(xù)可用性。
例如,以S2表示2級的業(yè)務信息安全保護類要求,A3表示3級的系統(tǒng)服務安全保護類要求。?
信息系統(tǒng)運營、使用單位根據保護等級的建設和改建狀況該如何進行安全需求分析???
具體需求分析步驟:
第一步 根據其等級從《基本要求》中選擇相應等級的基本安全要求。
第二步 根據定級過程中確定業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級,確定該信息系統(tǒng)的安全需求類。
第三步 根據系統(tǒng)所面臨的威脅特點調整安全要求。
從哪里可以下載備案表??
可從上海信息安全等級保護網(www.djbh.sh.cn)專欄下載,或直接在本網站“等保資料下載”欄目內下載《信息系統(tǒng)安全等級保護備案表》。
如何辦理備案手續(xù)??
根據《信息安全等級保護管理辦法》(公通字[2007]43號)第十五條規(guī)定運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。并且按照第十六條的規(guī)定,填寫《信息系統(tǒng)安全等級保護備案表》,提供相關備案材料。
等級保護定級報告該如何起草??
《信息系統(tǒng)安全等級保護實施指南》章節(jié)5.3.2“形成定級報告”中標定了“信息系統(tǒng)定級結果報告”需包括的主要內容。上海信息安全等級保護網(www.djbh.sh.cn)同時提供《信息系統(tǒng)安全等級保護定級報告》簡易模版供參考用途。
等級保護用戶單位如何對信息系統(tǒng)定級??
通過《信息系統(tǒng)安全等級保護實施指南》第五章“信息系統(tǒng)定級”了解定級工作框架及主要內容。依據GB/T22240-2008《信息系統(tǒng)安全等級保護定級指南》,信息系統(tǒng)運營維護單位從中了解等級保護定級原理、定級方法和等級變更等規(guī)范細節(jié)。