第一篇：《等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)三者的內(nèi)在聯(lián)系及實(shí)施建議》

等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)三者的內(nèi)在聯(lián)系及實(shí)施建議

趙瑞穎

前言

自《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》出臺(tái)后，等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)安全測(cè)評(píng)（或稱系統(tǒng)安全評(píng)估，簡稱安全測(cè)評(píng)）都是當(dāng)前國家信息安全保障體系建設(shè)中的熱點(diǎn)話題。本文從這三者的基本概念和工作背景出發(fā)，分析了三者相互之間的內(nèi)在聯(lián)系和區(qū)別并作了基本判斷。本文還結(jié)合信息系統(tǒng)的開發(fā)生命周期模型（簡稱SDLC），本著“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的原則，從發(fā)起實(shí)施主體的角度給出了三者在SDLC過程中的實(shí)施建議。

一、三者的基本概念和工作背景

A、等級(jí)保護(hù)

基本概念：信息安全等級(jí)保護(hù)是指對(duì)國家秘密信息、法人和其他組織和公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件等等級(jí)響應(yīng)、處置。這里所指的信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。

工作背景：1994年國務(wù)院頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定：計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。1999年公安部組織起草了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999），規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即：第一級(jí)：用戶自主保護(hù)級(jí)；第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)：安全標(biāo)記保護(hù)級(jí)；第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。GB17859中的分級(jí)是一種技術(shù)的分級(jí)，即對(duì)系統(tǒng)客觀上具備的安全保護(hù)技術(shù)能力等級(jí)的劃分。2002年7月18日，公安部在GB17859的基礎(chǔ)上，又發(fā)布實(shí)施五個(gè)GA新標(biāo)準(zhǔn)，分別是：GA/T 387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》、GA 388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》、GA/T 389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》、GA/T 390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》、GA 391-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》。這些標(biāo)準(zhǔn)是我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)系列標(biāo)準(zhǔn)的一部分。《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知》（簡稱66號(hào)文）將信息和信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí)，即：第一級(jí)：自主保護(hù)級(jí)；第二級(jí)：指導(dǎo)保護(hù)級(jí)；第三級(jí)：監(jiān)督保護(hù)級(jí)；第四級(jí)：強(qiáng)制保護(hù)級(jí)；第五級(jí)：?？乇Ｗo(hù)級(jí)。特別強(qiáng)調(diào)的是：66號(hào)文中的分級(jí)主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級(jí)，而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級(jí)。

B、風(fēng)險(xiǎn)評(píng)估

基本概念：信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過程。

工作背景：風(fēng)險(xiǎn)評(píng)估不是一個(gè)新概念，金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)，就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。國內(nèi)這幾年對(duì)信 1 321

息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快，具體的評(píng)估方法也在不斷改進(jìn)。風(fēng)險(xiǎn)評(píng)估也從早期簡單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、NIST SP800-

26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。國務(wù)院信息化工作辦公室2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定，并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則，對(duì)規(guī)范我國信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。目前，國信辦正組織在全國北京、上海、黑龍江、云南等省市及稅務(wù)、銀行、電力等行業(yè)領(lǐng)域作風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，探討對(duì)上述兩個(gè)風(fēng)險(xiǎn)評(píng)估/風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)草案的理解修訂及相關(guān)管理問題的研究，預(yù)計(jì)2005年9月份前完成試點(diǎn)工作，并在試點(diǎn)工作的基礎(chǔ)上形成有關(guān)開展信息安全風(fēng)險(xiǎn)評(píng)估工作的指導(dǎo)意見。

C、系統(tǒng)安全測(cè)評(píng)

基本概念：由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu)，依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范，按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng)，以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問題，并提供安全改進(jìn)建議，從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。

工作背景：在我國，中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（簡稱CNITSEC）是較早并較有影響的開展有關(guān)系統(tǒng)安全測(cè)評(píng)認(rèn)證的機(jī)構(gòu)。這里強(qiáng)調(diào)一下測(cè)評(píng)和認(rèn)證的區(qū)別：測(cè)評(píng)如前述定義，認(rèn)證則是對(duì)測(cè)評(píng)活動(dòng)是否符合標(biāo)準(zhǔn)化要求和質(zhì)量管理要求所作的確認(rèn)，認(rèn)證以標(biāo)準(zhǔn)和測(cè)評(píng)的結(jié)果作為依據(jù)。在美國，系統(tǒng)認(rèn)證的結(jié)果通常作為主管部門對(duì)新建系統(tǒng)投入運(yùn)行前的安全審批或已建系統(tǒng)安全動(dòng)態(tài)監(jiān)管（即系統(tǒng)認(rèn)可）的依據(jù)。根據(jù)美國FISMA及NIST SP800-37的規(guī)定，系統(tǒng)認(rèn)證是“對(duì)信息系統(tǒng)的技術(shù)類、管理類和運(yùn)行類安全控制所進(jìn)行的綜合評(píng)估”，認(rèn)可則是“由管理層作出的決策，用來授權(quán)一個(gè)信息系統(tǒng)投入運(yùn)行”。我國的系統(tǒng)認(rèn)證雖然起步較早，但由于認(rèn)證周期、建設(shè)差異等多方面的原因，目前的系統(tǒng)認(rèn)證數(shù)量還非常少。特別是國家認(rèn)監(jiān)委成立后，強(qiáng)調(diào)了信息安全要“一個(gè)統(tǒng)一認(rèn)證出口”的要求。國家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》（簡稱57號(hào)文）中已明確規(guī)定了對(duì)信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn)、技術(shù)規(guī)范與合格評(píng)定程序；統(tǒng)一認(rèn)證目錄；統(tǒng)一認(rèn)證標(biāo)志；統(tǒng)一收費(fèi)標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求。在國家認(rèn)監(jiān)委對(duì)信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見尚未出臺(tái)前，多數(shù)情況下，系統(tǒng)安全測(cè)評(píng)的結(jié)果可直接作為主管部門對(duì)系統(tǒng)安全認(rèn)可的依據(jù)。典型例子如上海市信息安全測(cè)評(píng)認(rèn)證中心，在相關(guān)職能部門授權(quán)下，已完成了對(duì)上海市100余家重要信息系統(tǒng)、涉密信息系統(tǒng)、區(qū)縣以上綜合醫(yī)院的信息系統(tǒng)的安全測(cè)評(píng)工作，并為市信息委、市國家保密局、市衛(wèi)生局等信息化主管部門或行業(yè)主管部門提供了重要的技術(shù)決策依據(jù)。

二、三者的相互內(nèi)在聯(lián)系和區(qū)別

A、三者關(guān)系的基本判斷

基本判斷：等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)管理制度，風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都是在等級(jí)保護(hù)制度下，對(duì)信息及信息系統(tǒng)安全性評(píng)價(jià)方面兩種特定的、有所區(qū)分但又有所聯(lián)系的的不同研究、分析方法。

等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度，其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)則只是針對(duì)信息安全評(píng)價(jià)方面兩種有所區(qū)分但又有所聯(lián)系的的不46

同研究、分析方法。從這個(gè)意義上講，等級(jí)保護(hù)要高于風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)。當(dāng)系統(tǒng)定級(jí)原則確定并根據(jù)該原則將系統(tǒng)分類分級(jí)后，那風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)都可以理解為在等級(jí)保護(hù)制度下的風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度下的系統(tǒng)測(cè)評(píng)，操作時(shí)只需在原有風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)方法、操作程序的基礎(chǔ)上，加入特定等級(jí)的特殊要求就是了。打個(gè)比方：如果說等級(jí)保護(hù)是指導(dǎo)信息安全建設(shè)的憲法，則風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)則是針對(duì)系統(tǒng)安全性評(píng)估或合格判定方面的專項(xiàng)法律。至于66號(hào)文中提及的等級(jí)保護(hù)制度中的其他建設(shè)內(nèi)容，如等級(jí)化安全保障體系設(shè)計(jì)、等級(jí)化安全產(chǎn)品選用、等級(jí)化安全事件處理響應(yīng)，由于和安全評(píng)估沒有特別直接的關(guān)系，本文不再展開討論。

B、等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估的關(guān)系

基本判斷：風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)（不同等級(jí)不同安全需求）的出發(fā)點(diǎn)。風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)和等級(jí)保護(hù)中的系統(tǒng)定級(jí)均充分考慮到信息資產(chǎn)CIA特性的高低，但風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)加入了對(duì)現(xiàn)有安全控制措施的確認(rèn)因素，也就是說，等級(jí)保護(hù)中高級(jí)別的信息系統(tǒng)不一定就有高級(jí)別的安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn)，它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定，以成本－效益平衡的原則，通過對(duì)用戶關(guān)心的重要資產(chǎn)（如信息、硬件、軟件、文檔、代碼、服務(wù)、設(shè)備、企業(yè)形象等）的分級(jí)、安全威脅（如人為威脅、自然威脅等）發(fā)生的可能性及嚴(yán)重性分析、對(duì)系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)系統(tǒng)平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等方面的安全脆弱性（或稱薄弱環(huán)節(jié)）分析，并通過對(duì)已有安全控制措施的確認(rèn)，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級(jí)別制定風(fēng)險(xiǎn)處理計(jì)劃，確定下一步的安全需求方向。

等級(jí)保護(hù)的前提是對(duì)系統(tǒng)定級(jí)，根據(jù)FIPS199，系統(tǒng)定級(jí)根據(jù)系統(tǒng)信息的機(jī)密性、完整性、可用性（簡稱CIA特性）等三性損失的最大值來確定，即“明確各種信息類型――確定每種信息類型的安全類別――確定系統(tǒng)的安全類別”三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。將信息系統(tǒng)安全類別（簡稱SC）表示為一個(gè)與CIA特性的潛在影響相關(guān)的三重函數(shù)，一般模式是：SC= ｛（保密性，影響），（完整性，影響），（可用性，影響）｝。

等級(jí)保護(hù)中的系統(tǒng)分類分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)基本一致，不同的是：等級(jí)保護(hù)的級(jí)別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā)，定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí)，而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果，也就是說，在風(fēng)險(xiǎn)評(píng)估中，CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高。在確定系統(tǒng)安全等級(jí)級(jí)別后，風(fēng)險(xiǎn)評(píng)估的結(jié)果可作為實(shí)施等級(jí)保護(hù)、等級(jí)安全建設(shè)的出發(fā)點(diǎn)和參考。

C、等級(jí)保護(hù)與系統(tǒng)測(cè)評(píng)的關(guān)系

基本判斷：系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是安全等級(jí)保護(hù)的落腳點(diǎn)。

根據(jù)NIST SP800-37，認(rèn)證過程偏重于對(duì)系統(tǒng)安全性的評(píng)估，認(rèn)可過程則屬于管理機(jī)關(guān)的行為，是指根據(jù)評(píng)估的結(jié)果來判斷信息系統(tǒng)的安全控制措施是否有效、殘余風(fēng)險(xiǎn)是否可接受。根據(jù)前述，在我國，目前主管部門安全認(rèn)可的依據(jù)多數(shù)是系統(tǒng)安全測(cè)評(píng)的結(jié)果。主管部門根據(jù)系統(tǒng)測(cè)評(píng)結(jié)果判斷，如果殘余風(fēng)險(xiǎn)可以接受，則允許系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行，否則信息系統(tǒng)便沒有達(dá)到特定安全等級(jí)的安全要求。沒有最終的主管認(rèn)可過程，等級(jí)保護(hù)無法落到實(shí)處。從這個(gè)意義上講，進(jìn)行等級(jí)保護(hù)建設(shè)、實(shí)施風(fēng)險(xiǎn)管理過程后的系統(tǒng)安全測(cè)評(píng)及行政認(rèn)可是等級(jí)保護(hù)的落腳點(diǎn)。

D、風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)的關(guān)系

基本判斷：風(fēng)險(xiǎn)評(píng)估與系統(tǒng)測(cè)評(píng)分別是針對(duì)系統(tǒng)生命周期建設(shè)不同階段存在的安全風(fēng)險(xiǎn)的相近判斷方法。對(duì)同一個(gè)生命周期的系統(tǒng)，風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的起點(diǎn)，系統(tǒng)測(cè)評(píng)是安全建設(shè)的終點(diǎn)?；蛘呖梢岳斫鉃椋到y(tǒng)安全測(cè)評(píng)是實(shí)施風(fēng)險(xiǎn)管理措施后的風(fēng)險(xiǎn)再評(píng)估。

二者均是對(duì)信息及信息系統(tǒng)系統(tǒng)安全性的一種評(píng)價(jià)判斷方法，因此，二者并沒有本質(zhì)的區(qū)別，或者說，二者的安全工作目標(biāo)基本一致，二者的工作核心都是對(duì)信息及系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)價(jià)，因此，二者在實(shí)施內(nèi)容上有許多共同之處。具體講二者在操作方面的差異性，則風(fēng)險(xiǎn)評(píng)估是系統(tǒng)明確安全需求，確定成本－效益適合的安全控制措施的出發(fā)點(diǎn)，風(fēng)險(xiǎn)評(píng)估通過對(duì)被評(píng)估用戶廣泛的、戰(zhàn)略性的分析來判斷機(jī)構(gòu)內(nèi)各類重要資產(chǎn)的風(fēng)險(xiǎn)級(jí)別；系統(tǒng)安全測(cè)評(píng)則是對(duì)已采取的安全控制措施（如管理措施、運(yùn)行措施、技術(shù)措施等）有效性的驗(yàn)證，安全測(cè)評(píng)更關(guān)注于對(duì)系統(tǒng)現(xiàn)有安全控制措施的技術(shù)驗(yàn)證，從而給出系統(tǒng)現(xiàn)存安全脆弱性的準(zhǔn)確判斷。行業(yè)主管部門或信息化主管部門在系統(tǒng)測(cè)評(píng)結(jié)果的基礎(chǔ)上，判斷系統(tǒng)安全風(fēng)險(xiǎn)是否可接受或已得到了有效的管理，從而給出是否批準(zhǔn)系統(tǒng)投入運(yùn)行或繼續(xù)運(yùn)行的最終結(jié)論。

三、對(duì)三者在SDLC過程中的實(shí)施建議

通常情況下，我們將信息系統(tǒng)建設(shè)生命周期（SDLC）劃分為五個(gè)階段：規(guī)劃需求階段、設(shè)計(jì)開發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段、廢棄階段。也就是說，系統(tǒng)是不斷變化的，安全建設(shè)也應(yīng)隨之發(fā)生變化。因此，從理論上分析，無論是等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估或是系統(tǒng)測(cè)評(píng)，均適用于SDLC的各個(gè)階段。為避免三者之間相近的工作內(nèi)容在SDLC的同一個(gè)階段重復(fù)進(jìn)行，按照“誰主管，誰負(fù)責(zé)；誰運(yùn)行，誰負(fù)責(zé)”的原則，從系統(tǒng)建設(shè)單位（多數(shù)情況下建設(shè)單位即運(yùn)行單位）、行業(yè)主管部門或信息化主管部門（簡稱主管部門）等兩類不同發(fā)起主體或組織主體的角度考慮，建議按下述內(nèi)容實(shí)施：

1、規(guī)劃需求階段

建設(shè)單位自覺按照國家有關(guān)安全等級(jí)劃分及系統(tǒng)定級(jí)的原則進(jìn)行定級(jí)，并報(bào)主管部門備案。

建設(shè)單位按照既定等級(jí)的風(fēng)險(xiǎn)評(píng)估管理要求和國家有關(guān)風(fēng)險(xiǎn)評(píng)估的技術(shù)標(biāo)準(zhǔn)自覺進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確系統(tǒng)在機(jī)密性、完整性、可用性等方面的安全需求目標(biāo)。

2、設(shè)計(jì)開發(fā)階段及實(shí)施階段

建設(shè)單位（或委托承建單位）根據(jù)既定的安全需求目標(biāo)，按照國家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，進(jìn)行系統(tǒng)安全體系結(jié)構(gòu)及詳細(xì)實(shí)施方案的設(shè)計(jì)，采購和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施。

主管部門委托或指定第三方機(jī)構(gòu)對(duì)建設(shè)單位的系統(tǒng)安全設(shè)計(jì)方案進(jìn)行評(píng)審，并將第三方機(jī)構(gòu)出具的安全方案評(píng)審報(bào)告作為是否允許安全實(shí)施的依據(jù)。

注：建設(shè)單位在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)根據(jù)自身的客觀條件選擇自評(píng)估方式或委托第三方機(jī)構(gòu)評(píng)估的方式進(jìn)行；主管部門發(fā)起的安全測(cè)評(píng)一般應(yīng)委托具有授權(quán)資質(zhì)和技術(shù)能力的第三方機(jī)構(gòu)進(jìn)行?？陀^上講，任何一個(gè)第三方機(jī)構(gòu)的評(píng)估接入都有可能對(duì)系統(tǒng)本身帶來新的安全威脅和風(fēng)險(xiǎn)，為此，加強(qiáng)對(duì)第三方評(píng)估機(jī)構(gòu)的管理至關(guān)重要，特別是對(duì)參與基礎(chǔ)信息網(wǎng)絡(luò)或三級(jí)以上重要信息系統(tǒng)安全評(píng)估的機(jī)構(gòu)可實(shí)行強(qiáng)制許可制度，具體的許可制度和許可要求可以由相關(guān)信息安全主管部門或信息系統(tǒng)行業(yè)主管部門制定。此外，還應(yīng)加強(qiáng)對(duì)第三方評(píng)估機(jī)構(gòu)的安全保密教育，要求所有第三方評(píng)估機(jī)構(gòu)應(yīng)自覺遵守國家有關(guān)保密法規(guī)和其他相關(guān)規(guī)定，對(duì)評(píng)估工作中涉及的保密事項(xiàng)，應(yīng)簽定保密協(xié)議，承擔(dān)保密責(zé)任并采取相應(yīng)保密措施。

3、運(yùn)行維護(hù)階段

主管部門在系統(tǒng)安全建設(shè)基本完成后，委托或指定第三方機(jī)構(gòu)對(duì)基本建成的系統(tǒng)進(jìn)行安全測(cè)評(píng)，以評(píng)價(jià)系統(tǒng)當(dāng)前運(yùn)行環(huán)境下的安全控制措施是否和既定等級(jí)的安全需求一致、關(guān)鍵

資產(chǎn)的安全風(fēng)險(xiǎn)是否控制在可接受范圍之內(nèi)，并將第三方機(jī)構(gòu)的安全測(cè)評(píng)報(bào)告作為是否批準(zhǔn)系統(tǒng)投入運(yùn)行（即系統(tǒng)認(rèn)可）的依據(jù)。此外，考慮到信息技術(shù)、安全技術(shù)、安全攻防技術(shù)及相關(guān)標(biāo)準(zhǔn)、理論、方法的不斷發(fā)展，即使系統(tǒng)在認(rèn)可有效期內(nèi)沒有任何關(guān)于技術(shù)、業(yè)務(wù)及管理內(nèi)容的變更，主管部門也應(yīng)該發(fā)起周期性的安全測(cè)評(píng)和安全認(rèn)可，以保持系統(tǒng)的安全狀態(tài)維持在標(biāo)準(zhǔn)許可及公眾接受的范圍之內(nèi)。

在《關(guān)于進(jìn)一步加強(qiáng)上海市信息安全保障工作的實(shí)施意見》中，對(duì)上海行政區(qū)域內(nèi)公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，銀行/稅務(wù)/證券/海關(guān)/鐵道/電力/民航/水務(wù)/燃?xì)?軌道交通/醫(yī)療衛(wèi)生和大型國有企業(yè)等涉及國計(jì)民生的信息系統(tǒng)，以及使用財(cái)政性資金建設(shè)的信息系統(tǒng)（統(tǒng)稱“重要信息系統(tǒng)”，）作出了強(qiáng)制實(shí)行等級(jí)保護(hù)和安全測(cè)評(píng)的要求。對(duì)新建、改建、擴(kuò)建的重要信息系統(tǒng)，在立項(xiàng)后由安全測(cè)評(píng)機(jī)構(gòu)評(píng)審其安全設(shè)計(jì)方案，評(píng)審報(bào)告報(bào)有關(guān)主管部門確認(rèn)，未通過評(píng)審的不得實(shí)施；正式投入運(yùn)行前，應(yīng)進(jìn)行系統(tǒng)安全測(cè)評(píng)，測(cè)評(píng)結(jié)果報(bào)有關(guān)主管部門確認(rèn)，未達(dá)到要求的不得投入運(yùn)行、不予驗(yàn)收；對(duì)已通過安全測(cè)評(píng)的重要信息系統(tǒng)，投入運(yùn)行后要繼續(xù)加強(qiáng)安全保護(hù)，由安全測(cè)評(píng)機(jī)構(gòu)定期進(jìn)行安全測(cè)評(píng)。

4、廢棄階段

建設(shè)單位重點(diǎn)對(duì)廢棄處理不當(dāng)對(duì)資產(chǎn)（如硬件、軟件、設(shè)備、文檔等）的影響、對(duì)信息/硬件/軟件的廢棄處置方面威脅、對(duì)訪問控制方面的弱點(diǎn)進(jìn)行綜合風(fēng)險(xiǎn)評(píng)估，以確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)膹U棄處置，并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。

需要說明的是：上述實(shí)施建議主要針對(duì)同一個(gè)完整的SDLC，但事實(shí)上，在SDLC的某一個(gè)具體階段，也有可能由于業(yè)務(wù)類型變化（并可能導(dǎo)致安全等級(jí)變化）、新的安全威脅的出現(xiàn)或安全形勢(shì)的突變，要立即進(jìn)行安全需求及安全設(shè)計(jì)、安全實(shí)施方案的調(diào)整。這時(shí)，應(yīng)參照上述SDLC過程中的“安全定級(jí)－風(fēng)險(xiǎn)評(píng)估－確定安全需求－安全體系設(shè)計(jì)及方案－方案評(píng)審－等級(jí)保護(hù)實(shí)施－安全測(cè)評(píng)－主管認(rèn)可”的步驟進(jìn)行。當(dāng)然，這個(gè)過程中涉及的風(fēng)險(xiǎn)評(píng)估、方案評(píng)審、安全測(cè)評(píng)等活動(dòng)要充分考慮利用已有的評(píng)估/測(cè)評(píng)成果，減少再評(píng)估/再測(cè)評(píng)造成的重復(fù)投入。

四、結(jié)束語

目前國家關(guān)于等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)等方面的具體工作要求、技術(shù)標(biāo)準(zhǔn)、管理辦法等尚未最終完全形成。本文基于作者對(duì)國家有關(guān)等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)安全測(cè)評(píng)等要求及內(nèi)容的粗淺理解，結(jié)合作者的一些工作實(shí)踐，形成了對(duì)三者相互之間關(guān)系的一些基本判斷，并從實(shí)施行為發(fā)起者的角度，提出了三者在系統(tǒng)建設(shè)生命周期SDLC中的操作建議。其實(shí)，不管何種安全保護(hù)方法或安全評(píng)估方法，只要實(shí)施有序、監(jiān)管有力，都能大大改善、促進(jìn)信息系統(tǒng)的安全建設(shè)、安全運(yùn)行和安全管理，從而推動(dòng)整個(gè)國家信息安全保障體系的發(fā)展，并為全面推進(jìn)我國的國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程提供重要保障。

參考文件：

1、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)【2003】27號(hào)）

2、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（中華人民共和國國務(wù)院令147號(hào)）

3、關(guān)于印發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知》（公通字【2004】66號(hào)）

4、《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》（國認(rèn)證聯(lián)【2004】57號(hào)）

5、《關(guān)于進(jìn)一步加強(qiáng)上海市信息安全保障工作的實(shí)施意見》（滬委辦【2004】24號(hào)）

6、Federal Information Security Management Act of 2002（Public Law 107-347），December 2002 5

第二篇：信息安全等級(jí)保護(hù)測(cè)評(píng)

TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案

Hacker.cn 更新時(shí)間:08-03-27 09:37 來源:硅谷動(dòng)力 作者:中安網(wǎng)

1.等級(jí)保護(hù)概述

1.1為什么要實(shí)行等級(jí)保護(hù)？

信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國家信息安全的必要條件。

1.2等級(jí)保護(hù)的政策文件

信息安全等級(jí)保護(hù)工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)），這是我國第一個(gè)信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標(biāo)為經(jīng)過五年努力，基本形成國家信息安全保障體系，實(shí)行等級(jí)保護(hù)制度。

2004年11月，四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）：等級(jí)保護(hù)是今后國家信息安全的基本制度也是根本方法、等級(jí)保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月，國信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》（國信辦[2004]25號(hào)）：基本原理、定級(jí)方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營、大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)過程。

2005年，公安部標(biāo)準(zhǔn)：《等級(jí)保護(hù)安全要求》、《等級(jí)保護(hù)定級(jí)指南》、《等級(jí)保護(hù)實(shí)施指南》、《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》。

2006年1月，四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》（公通字[2006]7號(hào)）。

1.3 等級(jí)保護(hù)的管理結(jié)構(gòu)－北京為例

等級(jí)保護(hù)的實(shí)施和落實(shí)離不開各級(jí)管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督，這在等級(jí)保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定，下面以北京市為例來說明管理機(jī)構(gòu)的組成和職責(zé)，具體如下圖所示：

1.4等級(jí)保護(hù)理論的技術(shù)演進(jìn)

在等級(jí)保護(hù)理論被提出以后，經(jīng)過相關(guān)部門的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實(shí)施等級(jí)保護(hù)工作的基礎(chǔ)條件了，其具體演進(jìn)過程如下圖所示：

1.5等級(jí)保護(hù)的基本需求

一個(gè)機(jī)構(gòu)要實(shí)施等級(jí)保護(hù)，需要基本需求。由于等級(jí)保護(hù)是國家推動(dòng)的旨在規(guī)范安全工作的基本工作制度，因此各級(jí)組織在這方面就存在如下需求：

（1）政策要求－符合等級(jí)保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級(jí)別的指標(biāo)，符合《測(cè)評(píng)準(zhǔn)則》中的要求。

（2）實(shí)際需求－適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實(shí)施。

1.6基本安全要求的結(jié)構(gòu)

對(duì)系統(tǒng)進(jìn)行定級(jí)后，需要通過努力達(dá)到相應(yīng)等級(jí)的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)，具體如下圖所示：

2.等級(jí)保護(hù)實(shí)施中的困難與出路

由于等級(jí)保護(hù)制度還處于探討階段，目前來看，尚存在如下困難：

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵要求指標(biāo)超出《基本要求》規(guī)定

針對(duì)上述問題，在下面幾小節(jié)分別給出了堅(jiān)決辦法。

2.1安全體系設(shè)計(jì)方法

需求分析－1

問題1：標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)

方法：引入體系設(shè)計(jì)方法

2.2保護(hù)對(duì)象框架設(shè)計(jì)方法

需求分析－2

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求

方法：引入保護(hù)對(duì)象框架設(shè)計(jì)方法

保護(hù)對(duì)象框架－政府行業(yè)

保護(hù)對(duì)象框架－電信行業(yè)

保護(hù)對(duì)象框架－銀行業(yè)

2.3安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

需求分析－3

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平

方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

平臺(tái)定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境

2.4建立安全運(yùn)行體系

需求分析－4

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

需求：建立長效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系

方法：建立安全運(yùn)行體系

2.5安全運(yùn)維工作過程

需求分析－5

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動(dòng)化的安全管理工具

方法：TSM安全管理平臺(tái)

2.6 TNA可信網(wǎng)絡(luò)架構(gòu)模型

需求分析－6

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵指標(biāo)超出《基本要求》規(guī)定

需求：在《基本要求》基礎(chǔ)上提出更強(qiáng)的措施，滿足客戶最關(guān)注的指標(biāo)

方法：引入可信計(jì)算的理念，提供可信網(wǎng)絡(luò)架構(gòu)

3.總體解決方案－TopSec可信等級(jí)體系

按照上面解決等級(jí)保護(hù)目前困難的方法，總體解決方案就是建立TopSec可信等級(jí)體系：

遵照國家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求，采用等級(jí)化、體系化和可信保障相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。

實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)

特質(zhì)：

等級(jí)化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求

整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行

針對(duì)性：針對(duì)實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略

3.1可信等級(jí)體系設(shè)計(jì)方法

3.2信息安全保障體系總體框架

3.3體系設(shè)計(jì)的成果

安全組織體系

安全策略體系

安全技術(shù)體系

安全運(yùn)行體系

3.4安全體系的實(shí)現(xiàn)

4.成功案例

某國有大型企業(yè)已經(jīng)采用了我們的可信等級(jí)體系，取得了良好的效果。

第三篇：信息安全等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估

信息安全等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估

一、什么是信息安全?

目前常說的所謂信息主要是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。信息安全通常是指保證信息數(shù)據(jù)不受偶然的或者惡意的原因遭到破壞、更改、泄露，保證信息系統(tǒng)能夠連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保證信息不泄漏給未經(jīng)授權(quán)的人;完整性是防止信息被未經(jīng)授權(quán)的篡改;可用性是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用;可控性就是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。

信息安全面臨的主要威脅來源有環(huán)境因素和人為因素，而威脅最大的并不是惡意的外部人員，恰恰是缺乏責(zé)任心或?qū)I(yè)技能不足的內(nèi)部人員，由于沒有遵循規(guī)章制度和操作流程或不具備崗位技能而導(dǎo)致信息系統(tǒng)故障或被攻擊。

信息安全涉及到物理環(huán)境、網(wǎng)絡(luò)、主機(jī)、應(yīng)用等不同的信息領(lǐng)域，每個(gè)領(lǐng)域都有其相關(guān)的風(fēng)險(xiǎn)、威脅及解決方法。信息安全是一個(gè)動(dòng)態(tài)發(fā)展的過程，僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對(duì)迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。

二、什么是等級(jí)保護(hù)?

信息安全等級(jí)保護(hù)是指對(duì)存儲(chǔ)、傳輸、處理信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)、處置。

等級(jí)保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則，是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性管理制度，其核心內(nèi)容是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。

按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》規(guī)定的規(guī)定，我國實(shí)行五級(jí)信息安全等級(jí)保護(hù)。第一級(jí)：用戶自主保護(hù)級(jí);第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí)：安全標(biāo)記保護(hù)級(jí);第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí);第五級(jí)：訪問驗(yàn)證保護(hù)級(jí);

由公安部、國家保密局、國家密碼管理委員會(huì)辦公室、國務(wù)院信息化工作辦公室聯(lián)合發(fā)出的66號(hào)文《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知》將信息和信息系統(tǒng)的安全保護(hù)等級(jí)劃分為五級(jí)，即：第一級(jí)：自主保護(hù)級(jí);第二級(jí)：指導(dǎo)保護(hù)級(jí);第三級(jí)：監(jiān)督保護(hù)級(jí);第四級(jí)：強(qiáng)制保護(hù)級(jí);第五級(jí)：?？乇Ｗo(hù)級(jí)。

66號(hào)文中的分級(jí)主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的，是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級(jí)，而不是GB17859中定義的安全技術(shù)等級(jí)。

三、什么是風(fēng)險(xiǎn)評(píng)估?

風(fēng)險(xiǎn)評(píng)估就是量化評(píng)判安全事件帶來的影響或損失的可能程度。

從信息安全的角度來講，風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。

風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括：1)識(shí)別組織面臨的各種風(fēng)險(xiǎn);2)評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響;3)確定組織承受風(fēng)險(xiǎn)的能力;4)確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí);5)推薦風(fēng)險(xiǎn)消減對(duì)策。

在風(fēng)險(xiǎn)評(píng)估過程中需要考慮幾個(gè)關(guān)鍵問題：

第一，要確定保護(hù)的對(duì)象(資產(chǎn))是什么?它的直接和間接價(jià)值如何?

第二，資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問題所在?威脅發(fā)生的可能性有多大?

第三，資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用?利用的容易程度又如何?

第四，一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?

第五，組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程度?

解決以上這些問題的過程，就是風(fēng)險(xiǎn)評(píng)估的過程。

四、中科網(wǎng)威的風(fēng)險(xiǎn)評(píng)估案例

2010年，某市稅務(wù)局通過招標(biāo)，對(duì)市屬稅務(wù)單位進(jìn)行了一次風(fēng)險(xiǎn)評(píng)估。

在招標(biāo)中，要求風(fēng)險(xiǎn)評(píng)估單位具有安全服務(wù)資質(zhì)、風(fēng)險(xiǎn)評(píng)估資質(zhì)、參與過國家信息安全評(píng)估產(chǎn)品標(biāo)準(zhǔn)的制訂，有具有自主知識(shí)產(chǎn)權(quán)的風(fēng)險(xiǎn)評(píng)估產(chǎn)品、有6名以上CISP等。北京中科網(wǎng)威信息技術(shù)有限公司因技術(shù)實(shí)力突出而一舉中標(biāo)。

根據(jù)先期確定的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，風(fēng)險(xiǎn)評(píng)估工作的對(duì)象為市局及其五個(gè)下屬的區(qū)縣級(jí)稅務(wù)分局的信息系統(tǒng)。評(píng)估范圍是市局的數(shù)據(jù)管理中心及五個(gè)下屬區(qū)縣局，涵蓋物理環(huán)境、網(wǎng)絡(luò)、應(yīng)用、管理和終端等方面的評(píng)估;從20個(gè)分局中抽取了三個(gè)征管局和兩個(gè)縣區(qū)局，針對(duì)征管系統(tǒng)、OA系統(tǒng)、國地稅數(shù)據(jù)交換系統(tǒng)進(jìn)行檢查評(píng)估。

經(jīng)過2個(gè)月的評(píng)估，北京中科網(wǎng)威信息技術(shù)有限公司出具了風(fēng)險(xiǎn)評(píng)估報(bào)告，指明該市局稅務(wù)系統(tǒng)的信息安全風(fēng)險(xiǎn)突出表現(xiàn)在以下五個(gè)方面：

1)安全管理體系不夠健全

2)管理執(zhí)行力度較差，缺乏監(jiān)管與獎(jiǎng)懲機(jī)制

3)各類人員不同程度的缺乏安全意識(shí)

4)現(xiàn)有安全措施不足，總體安全策略沒有在技術(shù)上落實(shí)

5)安全風(fēng)險(xiǎn)過于集中，對(duì)于突發(fā)事件缺乏應(yīng)急準(zhǔn)備

針對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)，北京中科網(wǎng)威信息技術(shù)有限公司協(xié)助市稅務(wù)局制訂了完整的整改方案，采取了一系列措施進(jìn)行安全建設(shè)整改。經(jīng)過4個(gè)月的安全建設(shè)和整改，完善了安全體系，有效防范了大部分安全風(fēng)險(xiǎn)，取得了令人滿意的階段性成果，并通過了國稅總局進(jìn)行的信息安全等級(jí)測(cè)評(píng)。

在總結(jié)會(huì)上，市局信息中心孫主任表示，在實(shí)行等級(jí)保護(hù)過程中，風(fēng)險(xiǎn)評(píng)估的作用至關(guān)重要，這次之所以順利通過等級(jí)測(cè)評(píng)，就是前期的風(fēng)險(xiǎn)評(píng)估工作扎實(shí)到位，使得信息安全建設(shè)有的放矢。

原文出自【比特網(wǎng)】，轉(zhuǎn)載請(qǐng)保留原文鏈接：http://sec.chinabyte.com/136/12125636.shtml

第四篇：臨沂中醫(yī)醫(yī)院信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目

臨沂市中醫(yī)醫(yī)院信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目

集中競(jìng)價(jià)采購須知

為了公開、公平、公正地集中競(jìng)價(jià)采購，本著合理、競(jìng)爭(zhēng)、經(jīng)濟(jì)的原則，我院擬對(duì)本次采購活動(dòng)參照招標(biāo)形式進(jìn)行集中競(jìng)價(jià)，相關(guān)事項(xiàng)如下：

第一部分

項(xiàng)目要求

一、項(xiàng)目背景

為了提高信息系統(tǒng)的安全保護(hù)水平，按照國家法律法規(guī)和有關(guān)部門相關(guān)要求，聘請(qǐng)第三方專業(yè)機(jī)構(gòu)，在全面了解臨沂市中醫(yī)院現(xiàn)有信息化現(xiàn)況的基礎(chǔ)上，開展信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作。通過本次工作，發(fā)現(xiàn)信息系統(tǒng)中存在的安全風(fēng)險(xiǎn)，分析信息系統(tǒng)安全現(xiàn)狀與相關(guān)政策文件、技術(shù)標(biāo)準(zhǔn)內(nèi)容要求的符合性情況，完善工作制度，提出安全建設(shè)加固建議。切實(shí)加強(qiáng)信息安全防范水平，提高系統(tǒng)抵御風(fēng)險(xiǎn)的能力。

二、項(xiàng)目目標(biāo)、內(nèi)容

按照國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和要求，對(duì)其HIS、電子病歷系統(tǒng)（三級(jí)）、PACS和網(wǎng)站（二級(jí)）安全等級(jí)保護(hù)測(cè)評(píng)工作，找出系統(tǒng)現(xiàn)狀與相關(guān)標(biāo)準(zhǔn)要求之間的差距，遵循適度原則，提出切實(shí)可行的整改建議，完成等級(jí)保護(hù)測(cè)評(píng)報(bào)告，并提供后續(xù)檢測(cè)服務(wù)。

三、項(xiàng)目實(shí)施參照法律法規(guī)及標(biāo)準(zhǔn) ? 《網(wǎng)絡(luò)安全法》

? 公安部、國家保密局、國際密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）； ? 公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定的《信息安全等級(jí)保護(hù)管理辦法》（公通字 [2007]43號(hào)）。

? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）

? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2008）? 《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 ? 《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 ? 《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》 ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999）? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T 20270-2006）

? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T 20272-2006）? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》（GB/T 21028-2007）

? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T 671-2006）? 《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）? GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則

四、項(xiàng)目內(nèi)容

1.等級(jí)測(cè)評(píng)

通過詳細(xì)的系統(tǒng)調(diào)研，開展對(duì)其HIS、LIS系統(tǒng)（三級(jí)）、PACS和網(wǎng)站（二級(jí)）的等級(jí)保護(hù)測(cè)評(píng)工作，找出安全現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設(shè)方案，指導(dǎo)整改工作。最終完成等級(jí)保護(hù)測(cè)評(píng)報(bào)告。

測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容：

? 安全技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；

? 安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。

（1）、物理安全

根據(jù)臨沂市中醫(yī)院信息系統(tǒng)機(jī)房和現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)機(jī)房和現(xiàn)場(chǎng)在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn)行，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。中標(biāo)人出具加蓋CNAS章的機(jī)房檢測(cè)報(bào)告。（2）、網(wǎng)絡(luò)安全

根據(jù)臨沂市中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)記錄，針對(duì)網(wǎng)絡(luò)方面在“結(jié)構(gòu)安全”、“訪問控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（3）、主機(jī)安全

主機(jī)安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)臨沂市中醫(yī)院信息系統(tǒng)服務(wù)器的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”。（4）、應(yīng)用安全

應(yīng)用安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)臨沂市中醫(yī)院信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒

別”、“訪問控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯(cuò)”、“資源控制”方面。（5）、數(shù)據(jù)安全及備份恢復(fù)

臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場(chǎng)測(cè)評(píng)包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個(gè)方面的測(cè)評(píng)。（6）、安全管理制度

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（7）、安全管理機(jī)構(gòu)

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（8）、人員安全管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識(shí)教育和培訓(xùn)”以及“外部人員訪問管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（9）、系統(tǒng)建設(shè)管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級(jí)測(cè)評(píng)”以及“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（10）、系統(tǒng)運(yùn)維管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

通過現(xiàn)場(chǎng)測(cè)評(píng)，逐項(xiàng)找出系統(tǒng)現(xiàn)狀與國家相關(guān)標(biāo)準(zhǔn)要求之間的差距，進(jìn)行逐項(xiàng)待整改完畢后，進(jìn)行結(jié)果確認(rèn)，完成信息安全等級(jí)保護(hù)測(cè)評(píng)，出具測(cè)評(píng)報(bào)告，2.安全管理體系咨詢

協(xié)助建立符合等級(jí)保護(hù)要求的信息安全管理體系，包含信息安全方針、信息安全策略、運(yùn)行管理制度和運(yùn)維管理制度。并參照國際標(biāo)準(zhǔn)體系ISO 27001和ISO 分析、整體分析，給出差距分析報(bào)告，并給出整改建議方案。并將測(cè)評(píng)報(bào)告報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。

20000制定相應(yīng)流程，促進(jìn)臨沂市中醫(yī)院信息安全管理工作。

3.安全監(jiān)測(cè)

提供門戶網(wǎng)站7*24小時(shí)網(wǎng)站安全監(jiān)測(cè)，對(duì)網(wǎng)站頁面掛馬、篡改等事件實(shí)時(shí)監(jiān)測(cè)，發(fā)現(xiàn)問題及時(shí)通報(bào)相關(guān)人員，并安排人員及時(shí)處理。

4.應(yīng)急支援

服務(wù)期內(nèi)提供不限次數(shù)的應(yīng)急支援服務(wù)，針對(duì)發(fā)生的事件協(xié)助分析事件原因，查找問題，并提供安全加固建議。

5.安全培訓(xùn)

組織技術(shù)培訓(xùn)，對(duì)臨沂市中醫(yī)院的技術(shù)人員進(jìn)行等級(jí)保護(hù)、安全技術(shù)和項(xiàng)目部署要求等內(nèi)容培訓(xùn)。技術(shù)培訓(xùn)應(yīng)從實(shí)際應(yīng)用出發(fā)，涵蓋網(wǎng)絡(luò)安全的如下方面： 基礎(chǔ)設(shè)施運(yùn)行安全培訓(xùn)、網(wǎng)絡(luò)安全縱深防御體系培訓(xùn)、操作系統(tǒng)安全加固技術(shù)培訓(xùn)、應(yīng)用系統(tǒng)滲透測(cè)試檢測(cè)與加固培訓(xùn)、數(shù)據(jù)庫安全管理培訓(xùn)、27001安全管理體系培訓(xùn)等。

6.信息安全風(fēng)險(xiǎn)評(píng)估

按照GB-T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)和要求，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確信息系統(tǒng)安全風(fēng)險(xiǎn)，提出合理的、滿足等級(jí)保護(hù)要求的總體建設(shè)和管理規(guī)劃，并制定安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。

五、成果交付

該項(xiàng)目提交的文檔至少包括如下文件：

1、《臨沂市中醫(yī)院XX信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案》

2、《臨沂市中醫(yī)院XX系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》

3、《臨沂市中醫(yī)院XX信息安全管理制度匯編》

4、《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》

5、《信息安全整改方案》

第二部分

投標(biāo)方資質(zhì)要求

1、《企業(yè)法人營業(yè)執(zhí)照》副本復(fù)印件（蓋章）。

2、法定代表人身份證明書或法人授權(quán)委托書、身份證復(fù)印件。

3、投標(biāo)公司具有信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的國家相關(guān)資質(zhì)，有專業(yè)技術(shù)檢測(cè)項(xiàng)目組，其中有高級(jí)測(cè)評(píng)師及中級(jí)測(cè)評(píng)師，參與技術(shù)檢測(cè)的人員均為中國公民，無違法犯罪記錄并簽訂安全保密協(xié)議。

4、同類項(xiàng)目近幾年的業(yè)績情況及客戶名單。

第三部分標(biāo)書、報(bào)價(jià)方式

1、標(biāo)書分正本1份，副本2份，并在標(biāo)書標(biāo)書袋上標(biāo)明“正本”、“副本”字樣。均固定裝訂成一冊(cè)，不能活頁裝訂或散裝，蓋單位公章和法定代表人印簽后遞交醫(yī)院招標(biāo)辦。

第四部分報(bào)送時(shí)間、地點(diǎn)

標(biāo)書報(bào)送時(shí)間截止2018年1月30日16時(shí)。（每日8：00～17：00，周六、周日除外）

標(biāo)書報(bào)送地點(diǎn)：臨沂市中醫(yī)醫(yī)院門診七樓招標(biāo)辦。

第五篇：《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》最新

信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法

第一條 為加強(qiáng)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，規(guī)范等級(jí)測(cè)評(píng)行為，提高測(cè)評(píng)技術(shù)能力和服務(wù)水平，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)規(guī)定，制定本辦法。

第二條 等級(jí)測(cè)評(píng)工作，是指等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級(jí)測(cè)評(píng)等信息安全服務(wù)的機(jī)構(gòu)。

第三條 等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰推薦、誰負(fù)責(zé)，誰審核、誰負(fù)責(zé)”的原則有序開展。

第四條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)以提供等級(jí)測(cè)評(píng)服務(wù)為主，可根據(jù)信息系統(tǒng)運(yùn)營使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。

第五條 國家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（以下簡稱“國家等保辦”）負(fù)責(zé)受理隸屬國家信息安全職能部門和重點(diǎn)行業(yè)主管部門申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。

省級(jí)信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡稱“省級(jí)等保辦”）負(fù)責(zé)受理本省（區(qū)、直轄市）申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。

第六條 申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（以下簡稱“申請(qǐng)單位”）應(yīng)具備以下基本條件：

（一）在中華人民共和國境內(nèi)注冊(cè)成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；

（二）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬元以上；

（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無違法記錄；

（四）測(cè)評(píng)人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；

（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員，不少于10人；

（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)滿足測(cè)評(píng)工作需求；

（七）具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等規(guī)章制度；

（八）自覺接受等保辦的監(jiān)督、檢查和指導(dǎo)，對(duì)國家安全、社會(huì)秩序、公共利益不構(gòu)成威脅；

（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù)；

（十）應(yīng)具備的其他條件。

第七條 申請(qǐng)時(shí)，申請(qǐng)單位應(yīng)向等保辦提交以下材料：

（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表》；

（二）從事信息系統(tǒng)安全相關(guān)工作情況；

（三）檢測(cè)評(píng)估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；

（四）有關(guān)管理制度建設(shè)情況；

（五）申請(qǐng)單位及其測(cè)評(píng)人員基本情況；

（六）應(yīng)提交的其他材料。

等保辦收到申請(qǐng)材料后，應(yīng)在10個(gè)工作日內(nèi)組織初審，并出具初審結(jié)果告知書。

第八條 通過初審的申請(qǐng)單位，應(yīng)及時(shí)參加指定評(píng)估機(jī)構(gòu)組織的測(cè)評(píng)人員培訓(xùn)。考試合格的人員，取得等級(jí)測(cè)評(píng)師證書。

等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)。申請(qǐng)單位應(yīng)至少有10人獲得等級(jí)測(cè)評(píng)師證書，其中高級(jí)和中級(jí)測(cè)評(píng)師均不得少于1人。

第九條 指定評(píng)估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對(duì)申請(qǐng)單位開展能力評(píng)估，出具信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力評(píng)估報(bào)告，并及時(shí)將申請(qǐng)單位能力評(píng)估有關(guān)情況報(bào)送等保辦。

第十條 等保辦組織專家對(duì)通過能力評(píng)估的申請(qǐng)單位進(jìn)行審核。審核通過的，頒發(fā)《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》。

省級(jí)等保辦應(yīng)及時(shí)將本地等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦情況報(bào)國家等保辦，國家等保辦定期發(fā)布公告，在《中國信息安全等級(jí)保護(hù)網(wǎng)》發(fā)布《全國信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》。

第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。

（一）等級(jí)測(cè)評(píng)機(jī)構(gòu)名稱、地址、測(cè)評(píng)人員和主要負(fù)責(zé)人發(fā)生變更的；

（二）等級(jí)測(cè)評(píng)機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；

（三）其他重大事項(xiàng)發(fā)生變更的。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)變更情況報(bào)國家等保辦。

第十二條 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書有效期為三年。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請(qǐng)復(fù)審。復(fù)審?fù)ㄟ^的等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過的，等保辦應(yīng)督促其限期整改。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)期滿復(fù)審情況報(bào)國家等保辦。

第十三條 等級(jí)測(cè)評(píng)師上崗前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的，由等級(jí)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證。未取得測(cè)評(píng)師證書和上崗證的，不得參與等級(jí)測(cè)評(píng)項(xiàng)目。

等級(jí)測(cè)評(píng)師離職前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級(jí)測(cè)評(píng)師應(yīng)妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。

第十五條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本機(jī)構(gòu)等級(jí)測(cè)評(píng)師的監(jiān)督管理，定期組織開展安全保密教育和業(yè)務(wù)培訓(xùn)。

第十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開展等級(jí)測(cè)評(píng)工作，依據(jù)模板出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告，確保測(cè)評(píng)質(zhì)量，全面、客觀地反映被測(cè)信息系統(tǒng)的安全保護(hù)狀況。

第十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)開展測(cè)評(píng)項(xiàng)目不受地域、行業(yè)限制。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè)評(píng)項(xiàng)目有關(guān)情況。

第十八條 測(cè)評(píng)項(xiàng)目實(shí)施過程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測(cè)評(píng)項(xiàng)目完成后，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)信息系統(tǒng)運(yùn)營使用單位對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋等保辦。

第十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工作開展情況。根據(jù)測(cè)評(píng)實(shí)踐，每年底編制并報(bào)送信息系統(tǒng)安全狀況分析報(bào)告。第二十條 等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)行等級(jí)化管理。根據(jù)信息系統(tǒng)測(cè)評(píng)數(shù)量、機(jī)構(gòu)規(guī)模、測(cè)評(píng)技術(shù)能力和服務(wù)質(zhì)量等指標(biāo)，對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)劃分為五個(gè)星級(jí)，最低為一星級(jí)，最高為五星級(jí)。等級(jí)測(cè)評(píng)機(jī)構(gòu)星級(jí)評(píng)定標(biāo)準(zhǔn)由國家等保辦另行制定。

第二十一條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)于每年底向等保辦提交星級(jí)評(píng)定所需材料。

等保辦負(fù)責(zé)組織所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的星級(jí)評(píng)定審核工作，并出具星級(jí)評(píng)定意見。省級(jí)等保辦應(yīng)及時(shí)將評(píng)定意見報(bào)國家等保辦審定，國家等保辦定期發(fā)布星級(jí)評(píng)定結(jié)果。

第二十二條 取得信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書未滿一年的，不參加星級(jí)評(píng)定。

第二十三條 等保辦負(fù)責(zé)對(duì)所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的日常監(jiān)督檢查、測(cè)評(píng)項(xiàng)目抽查和年審工作，及時(shí)掌握等級(jí)測(cè)評(píng)機(jī)構(gòu)工作情況。

第二十四條 等保辦應(yīng)于每年底對(duì)所推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行年審。等級(jí)測(cè)評(píng)機(jī)構(gòu)自推薦之日起未滿6個(gè)月的，當(dāng)年可免予年審。年審時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交以下材料：

（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年審表》；

（二）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書副本；

（三）測(cè)評(píng)工作總結(jié)；

（四）其他所需材料。

第二十五條

國家等保辦負(fù)責(zé)組織開展等級(jí)測(cè)評(píng)機(jī)構(gòu)能力驗(yàn)證和抽查工作。

第二十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。

（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測(cè)評(píng)或未按規(guī)定出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；

（二）影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全的；

（三）非授權(quán)占有、使用，未妥善保管等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件的；

（四）分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目，以及擾亂測(cè)評(píng)市場(chǎng)秩序的；

（五）限定被測(cè)評(píng)單位購買、使用指定信息安全產(chǎn)品的；

（六）測(cè)評(píng)人員未取得等級(jí)測(cè)評(píng)師證書和上崗證從事等級(jí)測(cè)評(píng)活動(dòng)的；

（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的；

（八）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。

第二十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書，并向社會(huì)公告。

（一）因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合等級(jí)測(cè)評(píng)機(jī)構(gòu)基本條件的；

（二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；

（三）故意泄露被測(cè)評(píng)單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；

（四）故意隱瞞測(cè)評(píng)過程中發(fā)現(xiàn)的安全問題，或者在測(cè)評(píng)過程中弄虛作假未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告的；

（五）一年內(nèi)未開展信息系統(tǒng)測(cè)評(píng)工作或自愿退出《全國信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》的；

（六）連續(xù)兩年年審不合格或限期整改后仍未通過復(fù)審的；

（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴(yán)重的。第二十八條 等級(jí)測(cè)評(píng)師有下列行為之一的，等保辦應(yīng)責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)督促其限期改正；情節(jié)嚴(yán)重的，責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)暫停其參與測(cè)評(píng)工作；情形特別嚴(yán)重的，應(yīng)注銷其等級(jí)測(cè)評(píng)師證書，并對(duì)其所在等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)。

（一）未經(jīng)允許擅自使用或泄露、出售等級(jí)測(cè)評(píng)工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；

（二）違反本辦法第十四條規(guī)定，未妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；

（三）測(cè)評(píng)行為失誤或不當(dāng)，影響信息系統(tǒng)安全或造成運(yùn)營使用單位利益損失的；

（四）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。第二十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)及其等級(jí)測(cè)評(píng)師違反本辦法的相關(guān)規(guī)定，給被測(cè)評(píng)信息系統(tǒng)運(yùn)營使用單位造成嚴(yán)重危害和損失的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第三十條 任何單位和個(gè)人如發(fā)現(xiàn)等級(jí)測(cè)評(píng)機(jī)構(gòu)、等級(jí)測(cè)評(píng)師有違法、違規(guī)行為的，可向國家等保辦舉報(bào)、投訴。

第三十一條 本辦法由國家等保辦負(fù)責(zé)解釋。第三十二條 本辦法自發(fā)布之日起實(shí)施。