第一篇:信息安全专业规范
征信机构信息安全规范
一、总则
1.1标准适用范围
标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义
(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求
本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理
2.1安全管理制度
征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。 2.1.1内部管理制度 基本要求:
(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;
(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。 增强要求:
(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。 2.1.2安全审计制度 基本要求:
(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。 增强要求:
(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
2.2安全管理机构
征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。 2.2.1岗位设置 基本要求:
(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:
(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。 2.2.2人员配备 基本要求:
(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。 增强要求:
关键事务岗位。如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。 2.2.3授权和审批 基本要求:
(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。 增强要求:
应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。 2.2.4沟通与合作 基本要求:
(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。 增强要求:
(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。 2.3人员管理
征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。 2.3.1安全主管 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:
1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
4、对征信机构内部其他信息安全相关管理事项进行审批。
(三)安全主管调岗位时。应办理交接手续,并履行其调离后的保密义务。 增强要求:
安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。 2.3.2信息安全管理员 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。
(三)信息安全管理员应履行以下职责:
1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,
(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。 增强要求:
信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。 2.3.3部门计算机安全员 基本要求:
(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:
1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,
3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。 增强要求:
部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。 2.2.4技术支持人员 基本要求:
(一)内部技术人员(本机构正式员工,负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员,若系统管理员、数据库管理员等)在落实征信系统建设和日产维护工作过程中,履行以下职责:
1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。
2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。
3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。
(二)外部技术人员(非本机构人员)应履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,严格遵守征信机构相关安全规定与操作规程。 增强要求:
外部技术支持人员未经业务部门书面授权和所在部门领导批准,不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等,确需接触、查看或修改时,须取得业务部门书面授权和所在部门领导批准,并在内部技术人员在场陪同下,方可进行。 2.2.5业务操作人员 基本要求:
(一)业务操作人员(指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员,包括业务管理员、一般业务操作员)应履行以下职责:
1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。
2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。
3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。
4、发现征信系统出现异常及时向部门计算机安全员报告。
5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。
(二)业务操作按照“权限分设、互相制约”原则,严格进行操作角色划分和授权管理,技术支持人员不得兼任业务操作人员。 增加要求:
业务操作人员应实现A、B角管理。 2.2.6一般计算机用户 基本要求:
(一)一般计算机用户(指征信机构内部使用接入征信系统网络的计算机及外设的所有人员)应履行以下职责:
1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。
2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。
(二)未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。 增强要求:
1、一般计算机用户不得私自改变计算机用途。
2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。
2.4系统建设管理
2.4.1系统顶级 基本要求:
(一)应明确信息系统的边界和安全保护等级。
(二)应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。 增强要求:
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。 2.4.2安全方案设计 基本要求:
(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。
(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。
(四)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。 增强要求:
(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。
(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。
(四)应定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 2.4.3安全产品采购
第二篇:信息系统安全等级保护备案操作规范
一、项目名称、性质
(一)名称:信息系统安全等级保护备案
(二) 性质:非行政许可
二、设定依据
二OO七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
三、实施权限和实施主体
根据《信息安全等级保护管理办法》第十五条规定,实施主体和权限为: 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续;
跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统,应当向自治区公安厅网络警察总队备案。
跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统,应当向市级公安机关网络警察支队备案。
四、行政审批条件
无。
五、实施对象和范围
根据《信息安全等级保护管理办法》第十五条的规定,实施对象和范围是:不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。
六、申请材料
(一)、《信息系统安全等级保护备案表》;
(二)、《信息系统安全等级保护定级报告》;
(三)根据《信息安全等级保护管理办法》第十六条的规定,第三级以上信息系统应当同时提供以下材料: (1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度; (3)系统安全保护设施设计实施方案或者改建实施方案; (4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告; (6)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。 (提交复印件的应交验原件,复印件规格统一采用A4纸,以上提交材料均为一份)。
七、办结时限
(一)法定办结时限:10个工作日。
(二)承诺办结时限:10个工作日。
八、行政审批数量 无数量限制。
九、收费项目、标准及其依据
不收费。
十、办理时间
夏令时:早上8:30-12:00,下午15:00-18:00
冬令时:早上8:30-12:00,下午14:30-17:30
信息系统安全等级保护备案流程图.doc 附件1.行政审批流程图
2.申请书示范文本
申请书示范文本.doc
第三篇:安机关信息安全等级保护检查工作规范
(一)开展信息系统安全等级测评,为信息系统安全提供保障。选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
(四)通过组织开展信息安全教育培训。一是解决安全问题,抵御攻击破坏,减少安全事故,提高安全防范水平,推动网安基础工作,提高我局信息安全保障水平。二是加强学习,加大宣传力度,不断创新工作思路和方法,充分调动多方面工作的积极性,共同做好等级保护工作。
第四篇:公安机关信息安全等级保护检查工作规范(试行)
2009-06-29 10:13:18
来源:本站
网友评论 0条
第一条 为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》 (以下简称《管理办法》 ) ,制定本规范。
第二条 公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条 信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条 公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条 信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条 检查的主要内容:
(一) 等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
(二) 按照信息安全法律法规、 标准规范的要求制定具体实施方案和落实情况;
(三) 信息系统定级备案情况, 信息系统变化及定级备案变动情况;
(四) 信息安全设施建设情况和信息安全整改情况;
(五) 信息安全管理制度建设和落实情况;
(六) 信息安全保护技术措施建设和落实情况;
(七) 选择使用信息安全产品情况;
(八) 聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
(九) 自行定期开展自查情况;
(十) 开展信息安全知识和技能培训情况。
第七条 检查项目:
(一)等级保护工作部署和组织实施情况
1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。
(二)信息系统安全等级保护定级备案情况
1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。
2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。
3.补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。
4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。
5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况。
(三)信息安全设施建设情况和信息安全整改情况 1.部署和组织开展信息安全建设整改工作。
2.制定信息安全建设规划、信息系统安全建设整改方案。
3.按照国家标准或行业标准建设安全设施,落实安全措施。
(四)信息安全管理制度建立和落实情况
1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。
2.建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。
3.建立安全审计管理制度、岗位和人员管理制度。
4.建立技术测评管理制度,信息安全产品采购、使用管理制度。
5.建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。
6.建立教育培训制度,定期开展信息安全知识和技能培训。
(五)信息安全产品选择和使用情况
1.按照《管理办法》要求的条件选择使用信息安全产品。
2.要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。
3.采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况
1.按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。
2.按照《管理办法》规定的条件选择技术测评机构。
3.要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。
4.与测评机构签订保密协议。
5.要求测评机构制定技术检测方案。
6.对技术检测过程进行监督,采取了哪些监督措施。
7.出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。
8.根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改。
(七)定期自查情况
1.定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。
2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改。
第八条 各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是:
对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。 对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。
第九条 对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门。因故无法会同的,公安机关可以自行开展检查。
第十条 公安机关开展检查前,应当提前通知被检查单位,并发送《信息安全等级保护监督检查通知书》 。
第十一条 检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件。 第十二条 检查中应当填写《信息系统安全等级保护监督检查记录》 (以下简称 《监督检查记录》 ) 。 检查完毕后, 《监督检查记录》应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。 《监督检查记录》应当存档备查。 [!--empirenews.page--] 第十三条 检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》 (以下简称《整改通知》 ) 。逾期不改正的,给予警告,并向其上级主管部门通报:
(一)
未按照《管理办法》开展信息系统定级工作的;
(二)
信息系统安全保护等级定级不准确的;
(三)
未按《管理办法》规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并重新备案的;
(七)未按《管理办法》规定落实安全管理制度、技术措施的;
(八)未按《管理办法》规定开展安全建设整改和安全技术测评的;
(九)未按《管理办法》规定选择使用信息安全产品和测评机构的;
(十)未定期开展自查的;
(十一)违反《管理办法》其他规定的。
第十四条 检查发现需要限期整改的,应当出具《整改通知》 ,自检查完毕之日起10个工作日内送达被检查单位。
第十五条 信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。
第十六条 公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查。
第十七条 受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导。从事检查工作的民警应当经过省级以上公安机关组织的信息安全等级保护监督检查岗位培训。
第十八条 公安机关对检查工作中涉及的国家秘密、工作秘密、商业秘密和个人隐私等应当予以保密。
第十九条 公安机关进行安全检查时不得收取任何费用。
第二十条 本规范所称“以上”包含本数(级) 。
第二十一条 本规范自发布之日起实施。
第五篇:信息安全专业课程设计存在问题
哈尔滨工程大学计算机科学与技术学院信息安全专业
信息安全专业课程设计存在问题及改革建议
课程设计属于实践环节的组成部分,其本质锻炼和提高学生运用理论知识解决实际问题的能力,提高和专业课程相关的系统设计和开发能力。目前,信息安全专业的课程设计时间为3周,在这么短的时间内,完成一件出色的课程设计作品得需要扎实的基本理论、设计能力和编程能力。
由于总学时的限制,信息安全专业编程语言和系统设计的课程不多:主要必修课程主要有《程序设计基础》(C语言,必修)、《面向对象程序设计》(C++)、《算法设计与分析》;选修课有《Linux程序设计环境》、《Java语言程序设计》;但是对于信息安全专业或者是信息安全课程设计来讲,还需要汇编语言、编译原理的基础知识;另外,《程序设计基础》这门课对于C语言的讲授是面向全校本科生的大类平台基础课,而对于信息安全专业的学生,C语言要求较高;如C的灵魂是指针,而指针往往是造成不安全因素的主凶之一,因此C的安全编程的能力需要加强。
总计存在的问题:
①编程基础需要加强,如汇编语言、C语言安全机制等。
软件安全、信息系统安全、保密技术等课程均需要汇编语言、C语言安全机制的基础;另外,许多病毒、木马都是通过汇编、C来实现,如果不深入了解这些基础编程语言,去做检查病毒、木马的检测方面的课程设计存在很大障碍。
②课程设计内容不系统,不能体现出完整的知识体系。
信息安全及保密的课程设计:从信息的生命周期来看为信息的产生、流通、处理和存储四个环节,这四个环节需要信息论的基础。另外一个方面,密码编译码算法设计、密码系统安全性、密码算法评价、信息安全模型等均需要基本信息论的基础知识;从这个角度讲学生缺少一种能够将所学的和“信息”相关的课程联系起来的工具,因此,围绕信息安全周期系统性的开展课程设计难度很大。 改革建议(目前正在着手实施201006
31、20102111)
通过课程设计,打通专业课环节:
第一类专业课:程序设计基础、计算机网络等,部署四个方向课下自学:安全编程、渗透测试、逆向工程、攻击防护;侧重于学习,寻找感兴趣方向,提高编程能力;
第二类专业课:信息系统安全、保密技术、信息系统安全实验等,对以上四个方向继续加强,侧重于系统初步设计和开发;
第三类实践课:软件课程设计、信息安全课程设计,继续围绕四个方向,完成一个较好的课程设计作品;
第四类毕业设计:建议学生与老师联系,从课程设计的广度和深度上继续立题,完成相关的毕业设计。