国家信息安全等级保护制度的贯彻与实施由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“国家信息安全等级制度”。
国家信息安全等级保护实施计划
定级工作的主要步骤:
第一步:开展摸底调查。按照《定级工作通知》确定的定级范围,对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。
第二步:确定定级对象。应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认单位对所定级系统具有安全管理责任。三是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
第三步:初步确定信息系统等级。信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。
第四步:信息系统等级评审。在信息系统安全保护等级确定过程中,聘请专家进行咨询评审,并出具定级评审意见。
第五步:信息系统等级的最终确定与审批。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。
第六步:备案。第二级以上信息系统,在安全保护等级确定后30日内,到深圳网监办理备案手续。
定级工作完成后需要开展的工作:
一是开展安全建设和整改。信息系统定级、备案工作完成后,按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,制定并落实符合本系统安全保护等级要求的安全管理制度。
二是开展等级测评。信息系统建设、整改完成后,选择符合规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。
三是开展自查。定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,应当制定方案进行整改。
开展安全等级保护工作依据的主要标准: 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》
《信息安全技术 系统安全等级保护通用安全技术要求》 《信息安全技术 操作系统安全技术要求》 《信息安全技术 操作系统安全评估准则》 《信息安全技术
数据库管理系统安全技术要求》 《信息安全技术 数据库管理系统安全评估准则》 《信息安全技术 网络基础安全技术要求》
《信息安全技术 服务器安全技术要求》 《信息安全技术 终端计算机系统技术要求》
《信息安全技术
系统安全等级防护工程管理要求》 《信息安全技术
系统安全等级保护管理要求》
