【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
网络安全等级保护建设
安全整改
安全整改 您的位置:首页>安全整改 >
安全等保强制建设要求 安全建设整改工作依据标准
时间:2021-03-18阅读量:1319来源:转载关键词:等保安全建设 返回列表

为推动我国信息安全等级保护工作的开展,十多年来,在公安部领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。信息安全等级保护相关标准具体见《信息安全等级保护主要标准简要说明》。

各单位、各部门安全建设整改工作应依据《基本要求》或行业标准规范,并在不同阶段、针对不同技术活动参照相应的标准规范进行

 三、信息安全等级保护安全建设整改工作依据的标准为了方便使用,我们已将主要标准汇编成《信息安全等级保护标准汇编》发给有关单位、部门。标准体系的构成与作用如下:

(一)基础类标准

《计算机信息系统安全保护等级划分准则》是强制性国家标准,是等级保护重要的基础性标准。依据在此标准制定出的《信息系统通用安全技术要求》等技术类标准和《信息系统安全管理要求》、《信息系统安全工程管理要求》等管理类标准、《操作系统安全技术要求》等产品类标准,共同构成了等级保护基础性标准,为相关标准的制定起到了基础性作用。

(二)安全要求类标准

 《基本要求》以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。

1.《信息系统安全等级保护基本要求》(以下简称《基本要求》)。该标准是在《计算机信息系统安全保护等级划分准则》、技术类标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施。

2.信息系统安全等级保护基本要求的行业细则。重点行业可以按照《基本要求》等国家标准,结合行业特点,在公安部等有关部门指导下,确定《基本要求》的具体指标,在不低于《基本要求》的情况下,结合系统安全保护的特殊需求,制定信息系统安全建设整改的行业标准规范或细则,并据此开展安全建设整改工作。

(三)定级类标准

《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。

1.《信息系统安全等级保护定级指南》(GB/T22240-2008)。该标准规定了定级的依据、对象、流程和方法以及等级变更等内容,用于指导开展信息系统定级工作。

2.信息系统安全等级保护行业定级细则。重点行业可以根据《信息系统安全等级保护定级指南》,结合行业特点,在公安部指导下,制定出台行业信息系统定级标准规范或细则,并据此开展信息系统定级工作。

(四)方法指导类标准

《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准。

1.《信息系统安全等级保护实施指南》(信安字[2007]10号)。该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。

2.《信息系统等级保护安全设计技术要求》(信安秘字[2009]059号)。该标准提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制,用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。

(五)现状分析类标准

《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。

1.《信息系统安全等级保护测评要求》。该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容,用于规范和指导测评人员如何开展等级测评工作。

2.《信息系统安全等级保护测评过程指南》。该标准阐述了信息系统等级测评的测评过程,明确了等级测评的工作任务、分析方法以及工作结果等,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,用于规范测评机构的等级测评过程。

上述标准在应用中需注意以下问题:

一是《基本要求》是信息系统安全建设整改的基本目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。

二是由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行信息系统安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。各单位、各部门在进行信息系统安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立系统综合防护体系,提高系统的整体保护能力。

三是《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”(一个中心三维防护)四方面给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统等级保护安全技术设计。该标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求,所以应与《基本要求》等标准配合使用。

Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。