(一)信息安全等级保护安全管理制度建设 1、开展安全管理制度建设的依据
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度。
2、开展安全管理制度建设的内容
一是落实信息安全责任制。成立信息安全工作领导机构,明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门,确定安全岗位,落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。
二是落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度,落实管理的具体措施。对安全岗位人员要进行安全审查,定期进行培训、考核和安全保密教育,提高安全岗位人员的专业水平,逐步实现安全岗位人员持证上岗。
三是落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度,明确工作内容、工作方法、工作流程和工作要求。
四是落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度,制定应急预案并定期开展演练,采取相应的管理技术措施和手段,确保
系统运维管理制度的有效落实。
3、开展安全管理制度建设的要求
(1)在具体实施过程中,可逐项建立管理制度,也可以进行整合,形成完善的安全管理体系。要根据具体情况,结合系统管理实际,不断健全完善管理制度。同时,将管理制度与管理技术措施有机结合,确保安全管理制度得到有效落实。
(2)建立并落实监督检查机制。备案单位定期对各项制度的落实情况进行自查,行业主管部门组织开展督导检查,公安机关会同主管部门开展监督检查。
(二)开展信息安全等级保护安全技术措施建设 1、开展安全技术措施建设的依据
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,建设信息系统安全保护技术措施。
2、开展安全技术措施建设的内容
结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。在信息系统安全技术建设整改中,可以采取“一个中心、三维防护”(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)的防护策略,实现
相应级别信息系统的安全保护技术要求,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
3、开展安全技术措施建设的要求
备案单位要开展信息系统安全保护现状分析,确定信息系统安全技术建设整改需求,制定信息系统安全技术建设整改方案,组织实施信息系统安全建设整改工程,开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。
四、安全建设整改工作的方法和主要思路
安全建设整改工作与各单位、各部门在信息系统建设中开展的安全建设工作有联系又有区别,但信息安全等级保护工作中的安全建设整改工作具有鲜明的特点,主要体现在以下四个方面:
(1)安全建设整改工作是在各单位、各部门信息系统安全保护工作基础上开展的,是对原有工作的继承和发展。
(2)各单位、各部门是按照国家有关标准规范开展安全建设整改工作,强调将技术措施和管理措施有机结合,着重建立信息系统综合防护体系,提高信息系统整体安全保护能力。
(3)传统的信息系统安全保护工作大多是自主、自愿行为,而信息安全等级保护安全建设整改工作是有政府职能部门监督的行为。全国公安机关对各单位、各部门等级保护工作的开展进行监督、检查。
(4)公安机关会同国家保密部门、密码工作部门和信息化部门出台了一系列政策文件和工作指南,为各单位、各部门开展
等级保护工作提供了一定的保障机制。
各单位、各部门在开展安全建设整改工作中,应坚持管理和技术并重的原则,依据《基本要求》,落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
(一)工作目标
利用三年时间,开展三项重点工作,实现五方面目标。 1、三年时间。由于一些重要行业信息系统较多,受资金、人员等条件限制,考虑实际情况,全国已定级信息系统安全建设整改工作总体上用三年时间完成。各行业主管(监管)部门应按照时间要求,根据本行业信息系统数量和实际情况,合理部署总体工作进度。
2、三项重点工作。通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。
3、五方面目标。通过开展安全建设整改工作,达到以下五方面目标:一是信息系统安全管理水平明显提高,二是信息系统安全防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护国家安全、社会秩序和公共利益。
(二)工作范围
目前,少数单位和部门尚未开展信息系统定级备案工作,存
在漏定级、漏备案和定级不准等情况,所以,各行业主管(监管)部门应在公安部指导下出台行业信息系统定级指导意见和要求,先解决信息系统定级备案工作存在的突出问题,在此基础上开展安全建设整改工作。开展安全建设整改工作的信息系统范围如下:1、各单位、各部门要将已备案的第二级(含)以上信息系统纳入安全建设整改的范围。2、尚未开展定级备案的信息系统,要先定级备案,再开展安全建设整改。3、新建系统要同步开展安全建设工作。
(三)工作方法
1、安全建设整改工作应以《基本要求》为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体安全建设整改设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实《基本要求》,最大程度发挥安全措施的保护能力。
2、突出重点。建设过程中要突出重点,可以先对第三、四级信息系统开展安全建设整改,再对第二级系统开展整改;也可以对各等级系统同步规划实施,确保按期完成任务。
3、试点示范。重点行业、部门可以根据需要和实际情况,选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范,在总结经验的基础上全面推开。
4、安全建设整改工作具体实施可以根据实际情况,将安全管理制度建设和安全技术措施建设内容一并实施,或分步实施。
5、将安全建设整改工作与业务工作、信息化建设工作有机
相关推荐:
loading