您好,歡迎訪問中保天和!

今天:2019年08月16日

咨詢熱線:010 - 84264757

首頁
專項服務
解決方案
新聞中心
政策規范
技術前沿
專家視角

我司通過各種資源,力邀行業內的權威專家對時代熱點和相關政策法規進行解讀,站在信息行業的制高點,描繪行業的宏偉藍圖,促進行業的健康發展。 以專家的視角,用事實說話,力求前瞻性和權威性,為企業和個人的發展提供參考依據

關于我們

咨詢熱線:

010-84264757

中保天和1
中保天和2

關注中保天和官方微信

2019全年排列五走势图 www.fcvfpc.com.cn 首頁 >專項服務 >信息等級測評

0

為什么要開展等級?;げ餛??你必須知道!

等級?;な槍倚畔踩幕局貧?/strong>

  隨著我國信息技術的快速發展,為維護國家安全和社會穩定,維護信息網絡安全,國務院于1994年頒布了《中華人民共和國計算機信息系統安全?;ぬ趵罰ü裨?47號令)。條例中規定:我國的“計算機信息系統實行安全等級?;?。

        2003年**辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出“實行信息安全等級?;ぁ?。

        2007年公安部會同國家保密局、國家密碼管理局和國務院信息化工作辦公室下發《信息安全等級?;す芾戇旆ā罰üㄗ諿2007]43號)明確規定“定期對信息系統安全等級狀況開展等級測評”?!暗諶緞畔⑾低秤Φ泵磕曛遼俳幸淮蔚燃恫餛?,第四級信息系統應當每半年至少進行一次等級測評……”。并制定了包括《計算機信息系統安全?;さ燃痘腫莢頡罰℅B17859-1999)、《信息系統安全等級?;ざ噸改稀?、《信息系統安全等級?;せ疽蟆返?0多個國家標準和行業標準,形成了信息安全等級?;け曜繼逑?。具體如下圖所示:

  2012年,CSDN網站因未落實國家信息安全等級?;ぶ貧?,造成了大量用戶信息泄露的嚴重后果。依據《中華人民共和國計算機信息系統安全?;ぬ趵?,北京市公安局對CSDN網站運營公司做出行政警告處罰??杉?,開展等級?;すぷ魘瞧笠狄宀蝗荽塹男畔踩邐?。

各行業或監管部門落實信息安全等級?;すぷ韉木嚀騫ぷ?/strong>

  隨著國家相關機關不斷出臺等級?;す娣侗曜?,各行業或監管部門迅速發文響應并落實行業內信息系統安全等級?;すぷ?。例如,衛生部2011年印發(衛辦發[2011]85號)《衛生行業信息安全等級?;すぷ韉鬧傅家餳返耐ㄖ?,明確衛生行業信息系統實行“定級備案、建設與整改、等級測評”工作。中國人民銀行2012年制定了《金融行業信息安全等級?;げ餛婪癜踩敢?、《金融行業信息信息系統信息安全等級?;げ餛樂改稀泛汀督鶉諦幸敵畔⑾低承畔踩燃侗;な凳┲敢?,2013年制定了《征信機構管理辦法》(中國人民銀行令[2013]第1號),明確和規范金融機構開展的信息系統安全等級?;げ餛攔ぷ?。教育部2014年發布《教育部關于加強教育行業網絡與信息安全工作的指導意見》(教技[2014]4號)明確規定“各單位信息系統要按照教育行業有關規范準確定級和備案”,“按照國際和教育行業有關標準規范要求進行等級測評”?;褂脅普?、人力資源社會保障、交通運輸行業、電力行業等監管部門或行業都發布相應文件明確落實信息系統安全等級?;すぷ?,建立、健全信息安全管理制度,落實安全?;ぜ際醮朧?,全面貫徹落實信息安全等級?;ぶ貧?。

等級?;げ餛賴墓ぷ髂諶?/strong>

  為了達到各級的安全?;つ芰σ?,國家等級?;せ景踩筇岢雋思際躋蠛凸芾硪罅醬罄?,涵蓋了物理(機房)、網絡、主機、應用、數據安全、安全管理制度、安全管理機構、人員、系統建設、系統運維十個方面的內容。如下圖所示。

  信息系統安全等級?;げ餛?簡稱“等級?;げ餛饋?包括系統定級、系統備案、安全建設整改、等級?;げ餛?、定期安全檢查五個階段。等級?;すぷ韉氖凳┕倘縵巒妓荊?/span>


  等級?;げ餛朗侵感畔⑾低吃擻?、使用單位委托具有等級?;げ餛雷手實牟餛闌茍云浣ㄉ璧囊訊兜男畔⑾低辰械燃侗;げ餛攔?,測評機構在測評過程中采用訪談、檢查和測試三大類的測評方法,具體細分為人員訪談、文檔審查、配置核查、現場觀測和工具測試等五個小類,對信息系統進行安全測評和風險評估,驗證信息系統是否滿足相應安全?;さ燃兌?,并形成信息安全等級?;げ餛辣ǜ?。其所包含的測評工作流程可參考下圖:


  公安機關等安全監管部門進行信息安全等級?;ぜ嘍郊觳槭?,系統運營、使用單位必須提交由具有等級測評資質的機構出具的等級測評報告。

哪些行業需要進行等級?;げ餛?/strong>

  • 政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等;

  • 金融行業:金融監管機構、各大銀行、證券、保險公司等;

  • 電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等;

  •  能源行業:電力公司、石油公司、煙草公司;

  • 企業單位:大中型企業、央企、上市公司等;

  • 其它有信息系統定級需求的行業與單位。

  一些基于上級監管單位要求和政策的強制要求開展等級?;げ餛賴鈉笠?。例如,中國人民銀行要求征信機構必須進行等級?;げ餛?,所以多數相關機構會委托經人民銀行和國家信息安全管理機構批準成立的認證機構CFCA(中國金融認證中心)進行測評。CFCA是國家級權威安全認證機構,是國家重要的金融信息安全基礎設施之一,匯集高、精、尖人才,擁有優秀的管理團隊和工作扎實、飽含**與活力的員工隊伍。CFCA在2013年已獲得公安部頒發的《等級?;げ餛闌鼓芰ζ攔籃細裰な欏?、《等級?;げ餛闌雇萍鮒な欏?,CFCA成立的信息安全實驗室擁有40多名具備信息安全等級測評師資質的工程師,大部分工程師在等級?;げ餛懶煊蠐形迥暌隕系墓ぷ骶?,是國內最權威的測評機構之一。

組織中哪些信息系統需要實施等級?;?/strong>

  • 電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。

  • 鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統

  • 市(地)級以上黨政機關的重要網站和辦公信息系統。

  • 涉及國家秘密的信息系統。

開展等級?;げ餛賴囊媧?/strong>

  對于企業來說,實施信息安全等級?;げ餛濫芄揮行У靨岣叩ノ恍畔⒑托畔⑾低嘲踩ㄉ璧惱逅?,有效控制企業信息安全建設成本;有利于明確國家、法人和其他組織、公民的信息安全責任,加強企業信息安全管理。

  對于信息系統來說,通過等級?;げ餛攬杉笆狽⑾中畔⑾低嘲踩純霾⒅貧ǚ槳附姓?,當信息系統完全達到安全?;つ芰σ笫?,信息系統就基本可做到“進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。

具體包括:

  • 保障基礎設施安全,保障網絡周邊環境和物理特性引起的網絡設備和線路的持續使用。

  • 保障網絡連接安全,保障網絡傳輸中的安全,尤其保障網絡邊界和外部接入中的安全。

  • 保障計算環境的安全,保障操作系統、數據庫、服務器、用戶終端及相關商用產品的安全。

  • 保障應用系統安全,保障應用程序層對網絡信息的保密性、完整性和信源的真實的?;ず圖?,防止和抵御各種安全威脅和攻擊手段,在一定程度上彌補和完善現有操作系統和網絡信息系統的安全風險。

  • 保障數據安全及備份恢復,保障數據完整性、數據保密性、備份和恢復等。

  • 安全管理體系保障。根據國家有關信息安全等級?;し矯嫻謀曜己凸娣兌?,建立一套切實可行的安全管理體系,加強安全管理機制。



來源:CFCA