1、信息平安等级测评实施细那么(稿) 信息平安等级合规测评 合规,简而言之就是要符合法律、法规、政策及相关规那么、标准的约定。在信息平安领域内,等级保护、分级保护、塞班斯法案、计算机平安产品销售许可、密码管理等,是典型的合规性要求。 信息平安合规测评是国家强制要求的,信息系统运营、使用单位或者其主管部门,必须在系统建设、改造完成后,选择具备资质测评机构,依据信息平安合规性要求,对信息系统是否合规进行检测和评估的活动。信息平安合规测评具有强制性和周期性(定期检测),是国家信息平安部门催促合规性要求落地实施,保障信息平安的重要手段。 一、信息平安合规性要求 1、等级保护 等级保护将信息系统按照价值系统
2、根底资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分级、分区域、分类和分阶段是做好国家信息平安保护的前提。等级保护依据公安部、国家保密局、国家密码管理局和国信办先后联合下发关于信息平安等级保护工作的实施意见、信息平安等级保护信息平安等级保护管理方法开展。 2、分级保护 分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须到达的平安保护水平划分为秘密级、机密级和绝密级三个等级。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理方法和技术标准,目前,正在执
3、行的两个分级保护的国家保密标准是bmb17涉及国家秘密的信息系统分级保护技术要求和bmb20涉及国家秘密的信息系统分级保护管理标准。 国家保密科技测评中心是我国唯一的涉密信息系统平安保密测评机构,XX省软件评测中心是国家保密科技测评中心在XX省设立的分中心。 3、塞班斯法案针对安然、世通等财务欺诈事件,美国国会出台了2022年公众公司会计改革和投资者保护法案。该法案由美国众议院金融效劳委员会主席奥克斯利和参议院银行委员会主席塞班斯联合提出,又被称作2022年塞班斯-奥克斯利法案(简称塞班斯法案),法案对美国1933年证券法、1934年证券交易法做了不少修订,在会计职业监管、公司治理、证券市场监
4、管等方面做出了许多新规定。 塞班斯法案成为在美上市企业躲不过去的坎。它规定,上市公司的财务报告必须包括一份内控报告,并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任;此外,财务报告中必须附有其内控体系和相应流程有效性的年度评估。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过相关审计。 4、计算机信息系统平安专用产品销售许可 计算机信息系统平安专用产品销售许可证是为了加强计算机信息系统平安专用产品的管理,保证平安专用产品的平安功能,由公安部公共信息网络平安监察局颁发的许可证书。 办理依据: (1)中华人民共和国计算机信息系统平
5、安保护条例、(1994年2月18日,国务院令147号发布)。 (2)、计算机信息系统平安专用产品检测和销售许可证管理方法(1997年12月1日,公安部令第32号)。 (3)、计算机病毒防治管理方法(2022年4月26日,公安部令第51号)。审批办理流程: (1)、产品检测。申请单位须将样品送指定检测机构进行检测。 (2)、申请办证。检测合格后,申请单位按规定提交证书申请的相关材料。(3)、审批发证。公安部公共信息网络平安监察局。 5、信息系统密码平安管理 为推动商用密码开展,确保国家重要信息系统密码平安,具备检测资质的机构依据信息平安等级保护商用密码管理方法、信息平安等级保护商用密码技术实施要
6、求信息系统平安等级保护根本要求,对信息平安等级为三级以上(含三级)信息系统中的商用密码系统进行测评。的商用密码系统平安等级保护测评工作拟分以下三个阶段:测评申请阶段、现场检测阶段、报告与结论阶段。 在信息平安合规性要求中,等级保护和分级保护以其涉及范围广,实施具有高度专业化和复杂性的特点,成为信息平安合规测评工作的重点和难点,后面的文章将会对这两个概念进行重点解读。 二、区分信息平安等级保护与分级保护 通过上文我们知道,信息平安等级保护与分级保护是在信息平安合规测评中两个非常重要的概念,二者密切相关又有区别。XX省软件评测中心结合在等级保护测评和分级保护测评中的具体实践,对等级保护和分级保护进
7、行详细介绍,理清两者间的关联。 1、信息系统等级保护 由于信息系统结构是应社会开展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统根底资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观表达。信息平安保护必须符合客观存在和开展规律,其分级、分区域、分类和分阶段是做好国家信息平安保护的前提。 信息系统平安等级保护将平安保护的监管级别划分为五个级别: 第一级。用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式
8、进行保护。 第二级:系统审计保护级本级的平安保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。第三级:平安标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。 第四级。结构化保护级将前三级的平安保护能力扩展到所有访问者和访问对象,支持形式化的平安保护策略。 第五级。访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。 在等级保护的实际操
9、作中,强调从五个局部进行保护,即: 物理局部:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等; 支撑系统:包括计算机系统、操作系统、数据库系统和通信系统;网络局部:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理; 应用系统:包括系统、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理; 管理制度。包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和
10、程序,规章制度的建立、更改和废止的控制程序。 由这五局部的平安控制机制构成系统整体平安控制机制。 2、涉密信息系统分级保护 涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须到达的平安保护水平来确定信息平安的保护等级;涉密信息系统分级保护的核心是对信息系统平安进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理方法和技术标准,目前,正在执行的两个分级保护的国家保密标准是bmb17涉及国家秘密的信息系统分级保护技术要求和bmb20涉及国家秘密的信息系统分级保护管理标
11、准。从物理平安、信息平安、运行平安和平安保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。 涉密信息系统平安分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级: 秘密级。信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息平安等级保护三级的要求,并且还必须符合分级保护的保密技术要求。 机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息平安等级保护四级的要求,还必须符合分级保护的保密技术要求。属于以下情况之一的机密级信息系统应选择机密级(增
12、强)的要求: (1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家平安、军工等要害部门; (2)信息系统中的机密级信息含量较高或数量较多;(3)信息系统使用单位对信息系统的依赖程度较高。 绝密级。信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息平安等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的平安可控的独立建筑内,不能与城域网或广域网相联。 涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。涉密信息系统定级遵循“谁建设、谁定级的原那么,可以根据信息密级、系统重要性和平安策略划分为不同的平安域,针
13、对不同的平安域确定不同的等级,并进行相应的保护。建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评(XX省软件评测中心是XX省内唯一的涉密信息系统检测机构),确定在技术层面是否到达了涉密信息系统分级保护的要求。 3、等级保护和分级保护之间的关系 国家平安信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信根底信息系统,而不管它是否涉密。如:国家事务处理信息系统(党政机关办公系统);金融、税务、工商、海关、能源、交通运输、社会保障、教育等根底设施的信息系统;国防工业企业、科研等单位的信息系统等。 涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,
14、重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息平安,确保国家秘密不被泄漏。 国家信息平安等级保护是国家从整体上、根本上解决国家信息平安问题的方法,进一步确定了信息平安开展的主线和中心任务,提出了总体要求。对信息系统实行等级保护是国家法定制度和根本国策,是开展信息平安保护工作的有效方法,是信息平安保护工作的开展方向。而涉密信息系统分级保护那么是是国家信息平安等级保护的重要组成局部,是等级保护在涉密领域的具体表达。 三、等级合规测评的主要内容 1、单元测评。单元测评从信息平安管理制度、信息平安管理机构、人员平安管理、信息系统建设管理、信息系
15、统运维管理、物理平安、网络平安、主机平安、应用平安、数据平安等层面,测评信息系统平安等级保护根本要求(gb/t22239-202223)所要求的根本平安控制在信息系统中的实施配置情况。 2、整体测评。整体测评主要测评分析信息系统的整体平安性。在内容上主要包括平安控制间、层面间和区域间相互作用的平安测评以及系统结构的平安测评等,是在单元测评根底上进行的进一步测评分析。 四、等级合规测评的重要作用 1、等级合规测评是落实信息平安等级保护制度的重要环节 在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的平安保护现状和存在的平安问题,并在此根底上确定系统的整改平安需求。信息系统定级是整个等级保护工作的开始,等级保护根本要求是对不同等级信息系统实行等级保护的根底。客户可以基于定级指南对信息系统定级,基于等级保护根本要求实施保护措施,从而将有效落实国家有关等级保护的制度要求和文件精神。 2、等级测评报告是信息系统开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料