63建设整改
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》精神,有效解决信息系统安全保护中存在的管理制度不健全、技术措施不符合标准要求、安全责任不落实等突出问题,提高我国重要信息系统的安全保护能力,在全国信息系统安全等级保护定级工作基础上,公安部印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》,部署开展信息系统等级保护安全建设整改工作。
631基本工作概述
1工作目标
信息安全等级保护安全建设整改的工作目标在《关于开展信息安全等级保护安全建设整改工作的指导意见》已经明确。可概括为:利用三年时间,开展三项重点工作,实现五方面目标。
1三年时间。由于一些重要行业信息系统较多,受资金、人员等条件限制,考虑实际情况,全国已定级信息系统安全建设整改工作总体上用三年时间完成(2012年底)。各行业主管(监管)部门应按照时间要求,根据本行业信息系统数量和实际情况,合理部署总体工作进度。
2三项重点工作。通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。
3五方面目标。通过开展安全建设整改工作,达到五方面的目标:一是信息系统安全管理水平明显提高,二是信息系统安全防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护国家安全、社会秩序和公共利益。
2工作内容
各单位、各部门在主旨开展信息系统定级时,是按照有关标准要求,对每个业务系统进行定级,但在开展信息系统安全建设整改时,可以采取“分区、分域”的方法,按照“整改保护”的原则进行整改方案设计,对信息系统进行加固改造,缺什么补什么。对于新建系统,在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施。
(1)信息安全等级保护安全管理制度建设
1开展安全管理制度建设的依据
按照《管理办法》、《信息系统安全保护等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度。
2开展安全管理制度建设的内容
一是落实信息安全责任制。成立信息安全工作领导机构,明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门,确定安全岗位,落实专职人员兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。
二是落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度,落实管理的具体措施。对安全岗位人员要进行安全审查,定期进行培训、考核和安全保密教育,提高安全岗位人员的专业水平,逐步实现安全岗位人员持证上岗。
三是落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度,明确工作内容、工作方法、工作流程和工作要求。
四是落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度,制定应急预案并定期开展演练,采取相应的管理技术措施和手段,确保系统运维管理制度的有效落实。
3开展安全管理制度建设的要求
在具体实施过程中,可逐项建立管理制度,也可以进行整合,形成完善的安全管理体系。要根据具体情况,结合系统管理实际,不断健全完善管理制度。同时,将管理制度与管理技术措施有机结合,确保安全管理制度得到有效落实。
建立并落实监督检查机制。备案单位定期对各项制度的落实情况进行自查,行业主管部门组织开展督导检查,公安机关会同主管部门开展肩部检查。
(2)开展信息安全等级保护安全技术措施建设
1开展安全技术措施建设的依据
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,建设信息系统安全保护技术措施。
2开展安全技术措施建设的内容
结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。在信息系统安全技术建设整改中,可以采取“一个中心、三维防护”(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)的防护策略,实现相应级别信息系统的安全保护技术要求,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
3开展安全技术措施建设的要求
备案单位要开展信息系统安全保护现状分析,确定信息系统安全技术建设整改需求,制定信息系统安全技术建设整改方案,组织实施信息系统安全建设整改工程,开展安全自查和等级测评,及时发现信息系统中存在的安全隐患和威胁,进一步开展安全建设整改工作。
3工作流程
安全建设整改工作可以分为五步进行。
第一步:落实负责安全建设整改工作的责任部门,由责任部门牵头制定本单位和行业信息系统安全建设整改工作规划,对安全建设整改工作进行总体部署。
第二步:开展信息系统安全保护现状分析,从管理和技术两方面确定信息系统安全建设整改需求。可以依据《基本要求》等标准,采取对照检查、风险评估、等你测评等方法,分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全保护方面存在的问题,形成安全建设整改的需求并论证。
第三步:确定安全保护策略,制定信息系统安全建设整改方案。在安全需求分析的基础上,进行信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据。安全建设整改方案须经专家评审论证,第三级(含)以上信息系统安全建设整改方案应报公安机关备案,公安机关监督检查备案单位安全建设整改方案的实施。
第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;在实施安全建设整改过程中,需要加强投资风险控制、实施流程管理、进度规划控制、工程质量控制和信息保密管理。
第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁。制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改工作。该流程如图6-2所示。
4工作要求
目前,存在一些单位和部门尚未开展信息系统定级备案工作,存在漏定级、漏备案和定级不准等情况,所以,各行业主管(监管)部门应在公安部指导下出台行业信息系统定级制度意见和要求。先解决备案工作中存在的突出问题,在此基础上开展安全整改工作。整改范围如下:一是各单位、各部门要将已备案的第二级(含)以上信息系统纳入安全建设整改的范围。二是尚未开展定级备案的信息系统,要先定级备案,再开展安全建设整改。三是新建系统要同步开展安全建设工作。在建设整改中,要落实如下工作要求。
(1)统一组织,加强领导
要按照“谁主管、谁负责”的原则,切实加强对信息安全等级保护安全建设整改工作的组织领导,完善工作机制。要结合各自实际,统一规划和部署安全建设整改工作,制定安全建设整改工作实施方案。要落实责任部门、责任人员和安全建设整改经费。要利用多种形式,组织开展宣传、培训工作。
图6-2信息系统整改工作流程
(2)循序渐进,分步实施
信息系统主管部门可以结合本行业、本部门信息系统数量、等级、规模等实际情况,按照自上而下或先重点后一般的顺序开展。重点行业、部门可以根据需要和实际情况,选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范,在总结经验的基础上全面推开。