欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

信息安全離我們遠(yuǎn)嗎?

前言

我做為一個IT技術(shù)人員已經(jīng)很多年了,剛開始時對什么信息安全和數(shù)據(jù)安全沒啥概念,只知道數(shù)據(jù)丟失就去找唄,找不回來就算了。系統(tǒng)中毒了,那就殺唄,殺不掉就算了。沒有從源頭上去杜絕出現(xiàn)這些情況的發(fā)生,后來有了一些安全設(shè)備,于是我們就是簡單加上防火墻、IDS、IPS、WAF等,以期待能杜絕此類事情的發(fā)生??墒掠谠高`,還是會頻繁的發(fā)生此類情況的發(fā)生,為什么呢?關(guān)鍵就是沒有一套信息安全防范體系和制度。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了福綿免費(fèi)建站歡迎大家使用!

國家還專門為信息安全成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組由習(xí)大大領(lǐng)導(dǎo),可見因?yàn)楝F(xiàn)在大數(shù)據(jù)時代對網(wǎng)絡(luò)信息安全上重視程度,后來此小組改為中國中央網(wǎng)絡(luò)安全和信息化委員會。

那么我們該怎樣建立自己的信息安全體系呢?這里我從一家信息系統(tǒng)集成公司的角度來講解,首先我們了解國家信息安全體系認(rèn)證機(jī)構(gòu)是什么,這樣企業(yè)才能得到正規(guī)的安全認(rèn)證。

中國信息安全認(rèn)證中心是經(jīng)中央編制委員會批準(zhǔn)成立,由信息化工作辦公室、國家認(rèn)證認(rèn)可監(jiān)督管理委員會等八部委授權(quán),依據(jù)國家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證、信息安全管理的法律法規(guī),負(fù)責(zé)實(shí)施信息安全認(rèn)證的專門機(jī)構(gòu)。中國信息安全認(rèn)證中心為國家質(zhì)檢總局直屬事業(yè)單位。中心簡稱為信息認(rèn)證中心;英文全稱:China Information Security Certification Center;英文縮寫:ISCCC。

在中心它可以對產(chǎn)品、體系、服務(wù)、人員進(jìn)行不同的認(rèn)證,以得到我們各自所需的認(rèn)證結(jié)果。這里我只介紹信息安全管理、信息技術(shù)-服務(wù)管理體系,信息安全服務(wù)資質(zhì)認(rèn)證(信息系統(tǒng)安全集成服務(wù)、安全運(yùn)維服務(wù)資質(zhì)、信息安全風(fēng)險評估、信息安全應(yīng)急處理服務(wù)),信息安全人員認(rèn)證。

我們做為一個信息系統(tǒng)集成企業(yè)要做哪些認(rèn)證好呢?我覺得應(yīng)該做好下面的認(rèn)證(標(biāo)黑部分),信息安全認(rèn)證架構(gòu)圖:

信息安全離我們遠(yuǎn)嗎?

一、信息安全管理體系

(InformationSecurityManagementSystems,ISMS)是組織整體管理體系的一個部分,是基于風(fēng)險評估建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和持續(xù)改進(jìn)信息安全等一系列的管理活動,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法的體系。

GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn),它要求組織通過一系列的過程,如確定信息安全管理體系范圍,制定信息安全方針和策略,明確管理職責(zé),以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等,是組織達(dá)到動態(tài)的、系統(tǒng)的、全員參與的、制度化的,以預(yù)防為主的信息安全管理方式。

信息安全離我們遠(yuǎn)嗎?

                                                        (證書模板)

二、信息技術(shù)—服務(wù)管理體系

(InformationTechnologyServiceManagementSystems,ITSMS)的目標(biāo)是以合適的成本提供滿足客戶質(zhì)量要求的IT服務(wù),從流程、人員和技術(shù)三方面提升IT的效率和效用,強(qiáng)調(diào)將企業(yè)的運(yùn)營目標(biāo)、業(yè)務(wù)需求與IT服務(wù)提供相協(xié)調(diào)一致。

 GB/T24405.1/ISO/IEC20000-1是建立和維護(hù)信息技術(shù)服務(wù)管理體系的標(biāo)準(zhǔn),規(guī)定了IT組織在向其內(nèi)外部客戶提供IT服務(wù)和支持過程中所需完成的工作。通過這些規(guī)定,信息技術(shù)服務(wù)管理體系展示了一套完整的IT服務(wù)管理流程,旨在幫助IT組織識別并管理IT服務(wù)的關(guān)鍵流程,保證向業(yè)務(wù)和客戶有效地提供高質(zhì)量的IT服務(wù)。

信息安全離我們遠(yuǎn)嗎?

                                                    (證書模板)

信息技術(shù)運(yùn)維服務(wù)管理制度:

第一節(jié) 總則

1、為加強(qiáng)公司信息技術(shù)運(yùn)維服務(wù)的安全管理,保證公司信息系統(tǒng)運(yùn)行環(huán)境的穩(wěn)定,特制定本制度。

2、本制度所稱信息技術(shù)運(yùn)維服務(wù),是指公司以簽訂合同的方式,到委托客戶單位承擔(dān)信息技術(shù)服務(wù),主要包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)及其它相關(guān)信息化建設(shè)服務(wù)等。

3、安全管理是以安全為目的,進(jìn)行有關(guān)安全工作的方針,決策、計(jì)劃、組織、指揮、協(xié)調(diào)、控制等職能,合理有效地使用人力、財(cái)力、物力、時間和信息,為達(dá)到預(yù)定的安全防范而進(jìn)行的各種活動的總和,稱為安全管理。

4、運(yùn)維服務(wù)安全管理遵循關(guān)于安全的所有商業(yè)準(zhǔn)則及適當(dāng)?shù)耐獠糠伞⒎ㄒ?guī)。

第二節(jié) 運(yùn)維服務(wù)范圍

5、運(yùn)維服務(wù)包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)等。

6、咨詢服務(wù):

6.1根據(jù)客戶的信息化建設(shè)總體部署,協(xié)助客戶制定切實(shí)可行的技術(shù)實(shí)施方案。

6.2對客戶現(xiàn)有的信息技術(shù)基礎(chǔ)架構(gòu)、設(shè)備運(yùn)行狀態(tài)和應(yīng)用情況進(jìn)行診斷和評估,提出合理化的解決方案。

6.3根據(jù)客戶的實(shí)際情況提出備份方案和應(yīng)急方案。

6.4其他信息技術(shù)咨詢服務(wù)。

7、運(yùn)行維護(hù)服務(wù):

7.1軟硬件設(shè)備安裝、升級服務(wù)。

7.2硬件的設(shè)備維修和保養(yǎng)。

7.3根據(jù)客戶業(yè)務(wù)變化,提供應(yīng)用系統(tǒng)功能性的需求解決方案及執(zhí)行服務(wù)。

7.4系統(tǒng)定期巡檢和整體性能評估。

7.5日常業(yè)務(wù)數(shù)據(jù)問題的處理服務(wù)。

7.6其他運(yùn)行維護(hù)服務(wù)。

8、技術(shù)培訓(xùn):根據(jù)客戶的實(shí)際情況,提供相關(guān)的技術(shù)培訓(xùn)。

第三節(jié) 運(yùn)維服務(wù)安全管理

9、運(yùn)維服務(wù)安全管理應(yīng)按照“安全第一、預(yù)防為主”的原則,采取科學(xué)有效的安全管理措施,應(yīng)用確保信息安全的技術(shù)手段,建立權(quán)責(zé)明確、覆蓋信息化全過程的崗位責(zé)任制,對信息化全過程實(shí)行嚴(yán)格監(jiān)督和管理,確保信息安全。

10、成立由分管領(lǐng)導(dǎo)同志信息化外包管理組織,明確信息化管理的部門、人員及職責(zé)。

11、建立信息建設(shè)安全保密制度,與客戶方簽訂安全保密協(xié)議或合同,明確符合安全管理及其它相關(guān)制度的要求。并對服務(wù)人員進(jìn)行安全保密教育。

12、制定信息化加工過程管理、信息化成果驗(yàn)收與交接、存儲介質(zhì)管理等操作規(guī)程或規(guī)章制度。

13、運(yùn)維服務(wù)方的人員素質(zhì)、技術(shù)與管理水平能夠滿足擬承擔(dān)項(xiàng)目的要求,進(jìn)行相應(yīng)的安全資質(zhì)管理。

14、運(yùn)維服務(wù)方配備專人負(fù)責(zé)安全保密工作,負(fù)責(zé)日常信息安全監(jiān)督、檢查、指導(dǎo)工作。對服務(wù)方提供的服務(wù)進(jìn)行安全性監(jiān)督與評估,采取安全措施對訪問實(shí)施控制,出現(xiàn)問題應(yīng)遵照合同規(guī)定及時處理和報告,確保其提供的服務(wù)符合客戶內(nèi)部控制要求。

15、對運(yùn)維服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的安全狀況應(yīng)定期進(jìn)行評估,當(dāng)出現(xiàn)重大安全問題或隱患時應(yīng)進(jìn)行重新評估,提出改進(jìn)意見,直至停止運(yùn)維服務(wù)。

16、使用運(yùn)維服務(wù)方設(shè)備的,對其進(jìn)行必要的安全檢查。

17、在重要安全區(qū)域,對外部人員的每次訪問進(jìn)行風(fēng)險控制;必要時應(yīng)外部人員的訪問進(jìn)行限制。

第四節(jié) 附則

18、本制度由我公司負(fù)責(zé)解釋

19、本制度自發(fā)布之日起生效執(zhí)行。

三、信息安全服務(wù)資質(zhì)認(rèn)證簡介

隨著我國信息化和信息安全保障工作的不斷深入推進(jìn),以應(yīng)急處理、風(fēng)險評估、災(zāi)難恢復(fù)、系統(tǒng)測評、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強(qiáng)和規(guī)范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎(chǔ)性工作。

 我中心是經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn),可以從事信息安全服務(wù)資質(zhì)認(rèn)證的機(jī)構(gòu)(《認(rèn)證機(jī)構(gòu)批準(zhǔn)書》CNCA-R-2007-138),并獲得了中國合格評定國家認(rèn)可委員會的認(rèn)可(證書編號:No. CNAS CO66-V)。服務(wù)資質(zhì)認(rèn)證工作是我中心的核心業(yè)務(wù)之一。

 按照分類分級的工作思路,目前我中心已經(jīng)開展了信息安全應(yīng)急處理和風(fēng)險評估兩類服務(wù)資質(zhì)工作。

對服務(wù)資質(zhì)認(rèn)證工作具體介紹如下:

 一、基本概念

 信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價。

 應(yīng)急處理服務(wù)是對影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為(事件)進(jìn)行標(biāo)識、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。(用1799概述里面一段一句的內(nèi)容)

 風(fēng)險評估服務(wù)是從風(fēng)險管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和整改措施,以求防范和化解信息安全風(fēng)險,或?qū)L(fēng)險控制在可接受的水平。

 通過對信息安全服務(wù)分類分級的資質(zhì)認(rèn)證,可以對信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過程能力等方面進(jìn)行權(quán)威、客觀、公正的評價,證明其服務(wù)能力,滿足社會對服務(wù)的選擇需求。同時,認(rèn)證過程也將有效促進(jìn)服務(wù)提供方完善自身管理體系,提高服務(wù)質(zhì)量和水平,引導(dǎo)行業(yè)健康規(guī)范發(fā)展。

 二、關(guān)于認(rèn)證申請:

 認(rèn)證的基本環(huán)節(jié):

 認(rèn)證申請與受理;

 文檔審核;

 現(xiàn)場審核;

 認(rèn)證決定;

 年度監(jiān)督審核。

 初次申請服務(wù)資質(zhì)認(rèn)證時,申請單位應(yīng)填寫認(rèn)證申請書,并提交資格、能力方面的證明材料。申請材料通常包括:

 服務(wù)資質(zhì)認(rèn)證申請書;

 獨(dú)立法人資格證明材料;

 從事信息安全服務(wù)的相關(guān)資質(zhì)證明;

 工作保密制度及相應(yīng)組織監(jiān)管體系的證明材料;

 與信息安全風(fēng)險評估服務(wù)人員簽訂的保密協(xié)議復(fù)印件;

 人員構(gòu)成與素質(zhì)證明材料;

 公司組織結(jié)構(gòu)證明材料;

 具備固定辦公場所的證明材料;

 項(xiàng)目管理制度文檔;

 信息安全服務(wù)質(zhì)量管理文件;

 項(xiàng)目案例及業(yè)績證明材料;

 信息安全服務(wù)能力證明材料等。

 三、關(guān)于認(rèn)證依據(jù):

 對特定類別的信息安全服務(wù),有具體的評價標(biāo)準(zhǔn)。例如,信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證的依據(jù)是《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估方法》(YD/T 1799-2008),信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證的依據(jù)是《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》(GB/T 20984-2007)與《信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-002)。

 四、關(guān)于認(rèn)證流程:

 參見我中心網(wǎng)站上的《信息安全服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-001)及認(rèn)證流程圖。認(rèn)證周期一般是10周,包括自申請被正式受理之日起至頒發(fā)認(rèn)證證書時止所實(shí)際發(fā)生的時間,不包括由于申請單位準(zhǔn)備或補(bǔ)充材料的時間。

3.1信息系統(tǒng)安全集成服務(wù)

是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素,從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等,通常被稱為安全優(yōu)化或安全加固。
  信息系統(tǒng)安全集成服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個方面體現(xiàn):基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過程能力;服務(wù)人員的能力主要從掌握的知識、安全集成服務(wù)的經(jīng)驗(yàn)等綜合評定。

3.2 安全運(yùn)維服務(wù)資質(zhì)認(rèn)證

通過技術(shù)設(shè)施安全評估,技術(shù)設(shè)施安全加固,安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢,協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作,以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應(yīng)。

 安全運(yùn)維資質(zhì)認(rèn)證是對安全運(yùn)維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運(yùn)維過程能力等方面進(jìn)行評價。安全運(yùn)維服務(wù)資質(zhì)級別是衡量服務(wù)提供方的安全運(yùn)維服務(wù)資格和能力的尺度。

資質(zhì)級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。

3.3 信息安全風(fēng)險評估

是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。服務(wù)提供者通過對信息系統(tǒng)提供風(fēng)險評估服務(wù),系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和安全整改措施,防范和消除信息安全風(fēng)險,或?qū)L(fēng)險控制在可接受的水平,為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。

 信息安全風(fēng)險評估服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。風(fēng)險評估服務(wù)提供方的服務(wù)能力主要從以下四個方面體現(xiàn):基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過程能力;服務(wù)人員的能力主要從掌握的知識、風(fēng)險評估服務(wù)的經(jīng)驗(yàn)等綜合評定。對服務(wù)提供方的背景審查主要指客戶投訴、違法違紀(jì)行為等;服務(wù)人員的背景審查主要指行業(yè)主管部門或使用單位對從事風(fēng)險評估服務(wù)的人員進(jìn)行必要的審查。

 資質(zhì)級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。

3.4 信息安全應(yīng)急處理服務(wù)

是通過制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時響應(yīng),并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一,它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動。

信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證是對應(yīng)急處理服務(wù)提供方的基本資格、管理能力、技術(shù)能力和應(yīng)急處理服務(wù)過程能力等方面進(jìn)行評價。信息安全應(yīng)急處理服務(wù)資質(zhì)級別是衡量服務(wù)提供方應(yīng)急處理服務(wù)資格和能力的尺度,應(yīng)急處理服務(wù)資質(zhì)分為三級,其中一級最高,三級最低。

四、信息安全人員認(rèn)證與培訓(xùn)簡介

中國信息安全認(rèn)證中心(ISCCC)是國家批準(zhǔn)的信息安全專業(yè)認(rèn)證與培訓(xùn)機(jī)構(gòu)。ISCCC的服務(wù)宗旨是保障國家信息安全,促進(jìn)各類組織信息安全技術(shù)水平和管理水平的提高,提升信息安全的社會認(rèn)知度及從業(yè)人員的專業(yè)水平。目前開展的人員認(rèn)證與培訓(xùn)業(yè)務(wù)包括:信息安全從業(yè)人員資格認(rèn)證、信息安全認(rèn)證從業(yè)人員培訓(xùn)和信息安全技術(shù)與意識培訓(xùn)。
  ISCCC推出了“信息安全保障從業(yè)人員認(rèn)證(CISAW)”和 “信息安全保障預(yù)備從業(yè)人員認(rèn)證(CISAC)”,以期推動我國信息安全保障的人才隊(duì)伍建設(shè),提高從業(yè)人員的職業(yè)素養(yǎng),加強(qiáng)后備人才培養(yǎng)。
  ISCCC開展了面向信息安全產(chǎn)品認(rèn)證工廠檢查員、信息安全服務(wù)資質(zhì)認(rèn)證評審員、信息安全管理體系(ISO/IEC27001)認(rèn)證審核員、IT 服務(wù)管理體系(ISO/IEC20000-1)認(rèn)證審核員、信息安全管理體系和IT服務(wù)管理咨詢師等信息安全認(rèn)證從業(yè)人員的培訓(xùn)工作,期望能夠進(jìn)一步提高信息安全認(rèn)證相關(guān)人員的執(zhí)業(yè)水平,從而保障信息安全認(rèn)證質(zhì)量。
  ISCCC專門開發(fā)了信息安全技術(shù)培訓(xùn)和信息安全意識教育的系列基礎(chǔ)課程,并以此為基礎(chǔ),依據(jù)不同組織的實(shí)際需求,開展量身定制的個性化培訓(xùn)服務(wù),旨在提高各類組織的信息安全保障能力和全民信息安全意識。

人員的認(rèn)證分為9大類三級認(rèn)證,預(yù)備認(rèn)證、資格認(rèn)證、專業(yè)認(rèn)證。其中專業(yè)認(rèn)證又分為專業(yè)級和專業(yè)高級。如下圖:

信息安全離我們遠(yuǎn)嗎?

其它就是關(guān)于國家對信息安全保護(hù)等級劃分和涉密分級保護(hù)的概念要做個初步的認(rèn)識。

五、信息系統(tǒng)的安全保護(hù)等級分

總共分為以下五級:

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。

第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。

第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。

5.1 等級保護(hù)的實(shí)施與管理

我這里只摘錄其中主要條款:

第九條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》具體實(shí)施等級保護(hù)工作。

第十條

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。

對擬確定為第四級以上信息系統(tǒng)的,運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。

第十一條

信息系統(tǒng)的安全保護(hù)等級確定后,運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。

第十二條

在信息系統(tǒng)建設(shè)過程中,運(yùn)營、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。

第十六條

辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時,應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》,第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料:

(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;

(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;

(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案;

(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;

(五)測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告;

(六)信息系統(tǒng)安全保護(hù)等級專家評審意見;

(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。

5.2 涉密信息系統(tǒng)的分級保護(hù)管理

我這里只摘錄其中主要條款:

第二十四條

涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。

非涉密信息系統(tǒng)不得處理國家秘密信息等。

第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機(jī)密、絕密三個等級。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護(hù)管理辦法和國家保密標(biāo)準(zhǔn)BMB17-2006《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護(hù)等級。

保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應(yīng)當(dāng)提交以下材料:

(一)系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見;

(二)系統(tǒng)承建單位資質(zhì)證明材料;

(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;

(四)系統(tǒng)安全保密檢測評估報告;

(五)系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況;

(六)其他有關(guān)材料。

5.3 等級保護(hù)所對應(yīng)的輸出

整個等保跟市場需求之間的關(guān)系可以總結(jié)為:新要求——新產(chǎn)品——滿足等級保護(hù)測評分?jǐn)?shù)——備案成功。從下表中可以看到新增要求項(xiàng)集中在***防范、惡意代碼防范、集中管控、安全審計(jì)等方面。

信息安全離我們遠(yuǎn)嗎?

安全威脅識別所采用的方法主要有:文檔查閱、問卷調(diào)查、人工核查、工具檢測、***性測試等。

(1)安全技術(shù)威脅性核查

物理環(huán)境安全

(1)安全措施:機(jī)房選址、建筑物的物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等。  

(2)核查方法:現(xiàn)場查看、詢問物理環(huán)境現(xiàn)狀,驗(yàn)證安全措施的有效性。  

網(wǎng)絡(luò)安全

(1)安全措施:網(wǎng)絡(luò)拓?fù)鋱D,vlan劃分,網(wǎng)絡(luò)訪問控制,網(wǎng)絡(luò)設(shè)備防護(hù),安全審計(jì),邊界完整性檢查,***防范,惡意代碼防范等。
  (2)核查方法:查看網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)安全設(shè)備的安全策略、配置等相關(guān)文檔,詢問相關(guān)人員,查看網(wǎng)絡(luò)設(shè)備的硬件配置情況,手工或自動查看或檢測網(wǎng)絡(luò)設(shè)備的軟件安裝和配置情況,查看和驗(yàn)證身份鑒別、訪問控制、安全審計(jì)等安全功能,檢查分析網(wǎng)絡(luò)和安全設(shè)備日志記錄,利用工具探測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),掃描網(wǎng)絡(luò)安全設(shè)備存在的漏洞,探測網(wǎng)絡(luò)非法接入或外聯(lián)情況,測試網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備負(fù)荷承載能力以及網(wǎng)絡(luò)帶寬,手工或自動查看和檢測安全措施的使用情況并驗(yàn)證其有效性等。    

主機(jī)系統(tǒng)安全

(1)安全措施:身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、***防范、惡意代碼防范、資源控制等。    
 (2)核查方法:手工或自動查看或檢測主機(jī)硬件設(shè)備的配置情況以及軟件系統(tǒng)的安裝配置情況,查看軟件系統(tǒng)的自啟動和運(yùn)行情況,查看和驗(yàn)證身份鑒別、訪問控制、安全審計(jì)等安全功能,查看并分析主機(jī)系統(tǒng)運(yùn)行產(chǎn)生的歷史數(shù)據(jù)(如鑒別信息、上網(wǎng)痕跡),檢查并分析軟件系統(tǒng)日志記錄,利用工具掃描主機(jī)系統(tǒng)存在的漏洞,測試主機(jī)系統(tǒng)的性能,手工或自動查看或檢測安全措施的使用情況并驗(yàn)證其有效性等。    

應(yīng)用系統(tǒng)安全

(1)安全措施:身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等。    
 (2)核查方法:查閱應(yīng)用系統(tǒng)的需求、設(shè)計(jì)、測試、運(yùn)行報告等相關(guān)文檔,檢查應(yīng)用系統(tǒng)在架構(gòu)設(shè)計(jì)方面的安全性(包括應(yīng)用系統(tǒng)各功能模塊的容錯保障、各功能模塊在交互過程中的安全機(jī)制、以及多個應(yīng)用系統(tǒng)之間數(shù)據(jù)交互接口的安全機(jī)制等),審查應(yīng)用系統(tǒng)源代碼,手工或自動查看或檢測應(yīng)用系統(tǒng)的安裝配置情況,查看和驗(yàn)證身份鑒別、訪問控制、安全審計(jì)等安全功能,查看并分析主機(jī)系統(tǒng)運(yùn)行產(chǎn)生的歷史數(shù)據(jù)(如用戶登錄、操作記錄),檢查并分析應(yīng)該系統(tǒng)日志記錄,利用掃描工具檢測應(yīng)用系統(tǒng)存在的漏洞,測試應(yīng)用系統(tǒng)的性能,手工或自動查看或檢測安全措施的使用情況并驗(yàn)證其有效性等。    

數(shù)據(jù)安全

(1)安全措施:數(shù)據(jù)完整性保護(hù)措施、數(shù)據(jù)保密性保護(hù)措施、備份和恢復(fù)等。  
  (2)核查方法:通信協(xié)議分析、數(shù)據(jù)破解、數(shù)據(jù)完整性校驗(yàn)等。  

(2)安全管理威脅性核查

安全管理核查主要通過查閱文檔、抽樣調(diào)查和詢問等方法,并核查信息安全規(guī)章制度的合理性、完整性、適用性等。

安全管理組織

核查方法:查看安全管理機(jī)構(gòu)設(shè)置、職能部門設(shè)置、崗位設(shè)置、人員配置等相關(guān)文件,以及安全管理組織相關(guān)活動記錄等文件。  

安全管理策略

核查方法:查看是否存在明確的安全管理策略文件,并就安全策略有關(guān)內(nèi)容詢問相關(guān)人員,分析策略的有效性,識別安全管理策略存在的脆弱性。    

安全管理制度

核查方法:審查相關(guān)制度文件完備情況,查看制度落實(shí)的記錄,就制度有關(guān)內(nèi)容詢問相關(guān)人員,了解制度的執(zhí)行情況,綜合識別安全管理制度存在的脆弱性。    

人員安全管理

核查方法:查閱相關(guān)制度文件以及相關(guān)記錄,或要求相關(guān)人員現(xiàn)場執(zhí)行某些任務(wù),或以外來人員身份訪問等方式進(jìn)行人員安全管理脆弱性的識別。    

系統(tǒng)運(yùn)維管理

核查方法:審閱系統(tǒng)運(yùn)維的相關(guān)制度文件、操作手冊、運(yùn)維記錄等,現(xiàn)場查看運(yùn)維情況,訪談運(yùn)維人員,讓運(yùn)維人員演示相關(guān)操作等方式進(jìn)行系統(tǒng)運(yùn)維管理脆弱性的識別。    

等保安全項(xiàng)目結(jié)束時召開評審會,參與人員一般包括:被評估組織、評估機(jī)構(gòu)及專家等。等保安全項(xiàng)目驗(yàn)收文檔如下:

工作階段

輸出文檔

文檔內(nèi)容

準(zhǔn)備階段

《系統(tǒng)調(diào)研報告》

對被評估系統(tǒng)的調(diào)查了解情況,涉及網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)情況、業(yè)務(wù)應(yīng)用等內(nèi)容。

《風(fēng)險評估方案》

根據(jù)調(diào)研情況及評估目的,確定評估的目標(biāo)、范圍、對象、工作計(jì)劃、主要技術(shù)路線、應(yīng)急預(yù)案等。

識別階段

《資產(chǎn)價值分析報告》

資產(chǎn)調(diào)查情況,分析資產(chǎn)價值,以及重要資產(chǎn)說明。

《威脅分析報告》

威脅調(diào)查情況,明確存在的威脅及其發(fā)生的可能性,以及嚴(yán)重威脅說明。

《安全技術(shù)脆弱性分析報告》

物力、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等方面的脆弱性說明。

《安全管理脆弱性分析報告》

安全組織、安全策略、安全制度、人員安全、系統(tǒng)運(yùn)維等方面的脆弱性說明。

《已有安全措施分析報告》

分析組織或信息系統(tǒng)已部署安全措施的有效性,包括技術(shù)和管理兩方面的安全管控說明

風(fēng)險分析

《風(fēng)險評估報告》

對資產(chǎn)、威脅、脆弱性等評估數(shù)據(jù)進(jìn)行關(guān)聯(lián)計(jì)算、分析評價等,應(yīng)說明風(fēng)險分析模型、分析計(jì)算方法。

風(fēng)險處置

《安全整改建議》

對評估中發(fā)現(xiàn)的安全問題給予有針對性的風(fēng)險處置建議

    說到這里就籠統(tǒng)的說完了一個集成公司對于信息安全大概要了解的信息安全內(nèi)容和需要做的安全管理和辦法,當(dāng)然還有很多不完善的地方,但能做到或了解上面所說的所有內(nèi)容也是很不容易的,萬事都是從零開始的。好吧,下次我打算有時間就做了安全***防御的文章,大家耐心等待吧。

 

新聞名稱:信息安全離我們遠(yuǎn)嗎?
本文URL:http://aaarwkj.com/article22/igedcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、網(wǎng)站策劃、標(biāo)簽優(yōu)化、網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護(hù)公司
国产精品成人一区二区艾草| 国产亚洲一区二区高清| 色呦呦中文字幕在线播放| 日韩中文字幕视频久久| 韩国久久久久三级成人| 免费国产成人在线视频| 国内传媒视频免费观看| 国产精品久久久久大屁股精品性色 | 国产欧美日韩国产欧美日| 人妻艳情一区二区三区| 中文字幕日日夜夜av| 国产精品蜜臀av在线一区| 日韩不卡免费在线视频| 日本一区二区三区高清在线| 亚洲淫婷婷久久一区二区| 久久超碰一区二区三区| 黄色日韩大片在线观看| 手机看片黄色福利视频91| 色偷拍亚洲偷自拍二区| 天堂av在线播放观看| 黄片欧美视频在线观看| 国产91对白在线观看| 97视频精品免费观看| 国产精品黄黄久久久免费| 一区二区三区人妻日韩| 亚洲av天堂天天天堂色| 伦理中文字幕一区二区| 中文字幕熟女人妻另类癖好| 在线看岛国毛片十八禁| 国产精品久久久久久久久| 欧美日韩一区二区三区色拉拉| 一区二区三区日韩激情| 久久精品人妻中文av| 韩国午夜福利视频网站| 国产精品一品二区三区在线观看| 91久久精品国产一区| 四虎海外免费永久地址| 色噜噜噜欧美人妻色综合| 国产欧美一区二区三区高清| 91久久亚洲综合精品成人| 九七青青草视频在线观看|