2.2.2 主要内容
2.2.2.1 总体框架
《基本要求》分为基本技术要求和基本管理要求两大类,其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面,管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。
技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。
管理要求主要包括确定安全策略,落实信息安全责任制,建立安全组织机构,加强人员管理、系统建设和运行维护的安全管理。提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求,提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等要求。
2.2.2.2 保护要求的分级方法
由于信息系统分为五个安全保护等级,其安全保护能力逐级增高,相应的安全保护要求和措施逐级增强,体现在两个方面:一是随着信息系统安全级别提高,安全要求的项数增加;二是随着信息系统安全级别的提高,同一项安全要求的强度有所增加。例如,三级信息系统基本要求是在二级基本要求的基础上,在技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时,对身份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增加;在管理方面增加了监控管理和安全管理中心等两项要求,同时对安全管理制度评审、人员安全和系统建设过程管理提出了进一步要求。安全要求的项数和强度的不同,综合体现出不同等级信息系统安全要求的级差。
2.2.2.3 保护措施分类
技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求进一步细分为信息安全类要求(简记为S)、服务保证类要求(简记为A)和通用安全保护类要求(简记为G)。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;服务保证类要求是指保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用。管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
2.2.3 使用说明
《基本要求》对第一级信息系统的基本要求仅供用户参考,按照自主保护的原则采取必要的安全技术和管理措施。
用户在进行信息系统安全建设整改时,可以在《基本要求》基础上,根据行业和系统实际,提出特殊安全要求,开展安全建设整改。
《基本要求》给出了各级信息系统每一保护方面需达到的要求,不是具体的安全建设整改方案或作业指导书,所以,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力。
《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。《基本要求》是信息系统安全建设整改的目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。
《基本要求》综合了《信息系统物理安全技术要求》、《信息系统通用安全技术要求》和《信息系统安全管理要求》的有关内容,在进行系统安全建设整改方案设计时可进一步参考后三个标准。
由于系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行系统安全建设时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求,而通用安全保护要求要与系统等级对应。
信息系统运营使用单位在根据《基本要求》进行安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障体系,提高系统的整体安全防护能力。
对于《基本要求》中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
2.3 《信息系统安全等级保护实施指南》(信安字[2007]10号)
2.3.1 主要用途
《
信息安全等级保护管理办法》(公通字[2007]43号)第
九条规定,信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。信息系统从规划设计到终止运行要经历几个阶段,《信息系统安全等级保护实施指南》(以下简称《实施指南》)用于指导信息系统运营使用单位,在信息系统从规划设计到终止运行的过程中如何按照信息安全等级保护政策、标准要求实施等级保护工作。
2.3.2 主要内容
2.3.2.1 总体框架
《实施指南》正文由9个章节构成:第一、二和三章定义了标准范围、规范性引用文件和术语定义。第四章介绍了等级保护实施的基本原则、参与角色和几个主要工作阶段。第五章至第九章对于信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统终止五个工作阶段进行了详细描述和说明。本标准以信息系统安全等级保护建设为主要线索,定义信息系统等级保护实施的主要阶段和过程,包括信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等五个阶段,对于每一个阶段,介绍了主要的工作过程和相关活动的目标、参与角色、输入条件、活动内容、输出结果等。
2.3.2.2 实施等级保护基本流程
对信息系统实施等级保护的基本流程见图2。
图2 信息系统安全等级保护实施的基本流程(略)
信息系统定级阶段内容。用于指导信息系统运营使用单位按照国家有关管理规范和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。
总体安全规划阶段内容。用于指导信息系统运营使用单位根据信息系统定级情况,在分析信息系统安全需求基础上,设计出科学、合理的信息系统总体安全方案,并确定安全建设项目规划,以指导后续的信息系统安全建设工程实施。
安全设计与实施阶段内容。用于指导信息系统运营使用单位按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,进行安全方案详细设计,实施安全建设工程,落实安全保护技术措施和安全管理措施。
安全运行与维护阶段内容。用于指导信息系统运营使用单位通过实施操作管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进、等级测评以及监督检查等活动,进行系统运行的动态管理。
信息系统终止阶段内容。用于指导信息系统运营使用单位在信息系统被转移、终止或废弃时,正确处理系统内的重要信息,确保信息资产的安全。
另外,在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全保护措施,确保满足等级保护的要求;当信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,开始新一轮信息安全等级保护的实施过程。
2.3.3 使用说明
本标准属于指南性标准,读者可通过该标准了解信息系统实施等级保护的过程、主要内容和脉络,不同角色在不同阶段的作用,不同活动的参与角色、活动内容等。
在实施等级保护的过程中除了参考本标准外,在不同阶段和环节中还需要参考和依据其他相关标准。例如在定级环节可参考《信息系统安全等级保护定级指南》。在系统建设环节可参考《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等。在等级测评环节可参照《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等。
2.4 《信息系统安全等级保护定级指南》(GB/T22240-2008)
