《广州市电子政务信息安全测评指南》由会员分享,可在线阅读,更多相关《广州市电子政务信息安全测评指南(76页珍藏版)》请在金锄头文库上搜索。
1、 广州市电子政务广州市电子政务 信息安全信息安全测评指南测评指南 (版本:V1.0) 广州市科技和信息化局 二一二年六月 目目 录录 一、适用范围一、适用范围 . 1 二、测评类型和要求二、测评类型和要求 . 1 (一)电子政务外网网络接入测评 . 2 (二)电子政务应用系统上线测评 . 2 (三)财政投资信息化项目安全测评 . 3 (四)涉密信息系统分级保护测评 . 3 (五)非涉密信息系统等级保护测评 . 4 (六)安全事件整改测评 . 4 三、非涉密测评项目测评流程三、非涉密测评项目测评流程. 5 (一)测评申请 . 6 (二)测评计划 . 6 (三)现场检测评估 . 6 (四)报告分析
2、反馈 . 7 (五)安全整改和复查测评 . 10 四、涉密信息系统分级保护测评流程四、涉密信息系统分级保护测评流程 . 11 五、测评经费五、测评经费 . 11 六、测评标准六、测评标准 . 12 (一)测评项和测评基本项 . 12 (二)电子政务外网互联网接入网测评标准 . 13 (三)电子政务外网业务专网测评标准 . 33 (四)涉密信息系统分级保护测评标准 . 62 (五)非涉密信息系统等级保护测评标准 . 62 附表附表 . 63 第 1 页 为贯彻国家、省、市关于电子政务信息安全管理政策,进一步细化落实广州市电子政务外网管理办法 (以下简称外网管理办法 )及广州市财政投资信息化项目管
3、理办法管理要求,指导广州市各级政府机构及公共事业单位对其建设使用的信息系统申请和开展信息安全测评,制定本指南。 一、一、适用范围适用范围 本指南适用于广州市各级单位建设、使用的电子政务信息系统,以及财政投资信息化项目。 二、测评类型和要求二、测评类型和要求 广州市电子政务信息安全测评类型根据测评对象、时机和目标不同,可分为电子政务外网网络接入测评、电子政务应用系统上线测评、财政投资信息化项目安全测评、涉密信息系统分级保护测评、非涉密信息系统等级保护测评和安全事件整改测评。各单位因业务或管理需要,可对同一测评对象申请多项测评合并实施。 广州市电子政务信息安全测评电子政务外网 网络接入测评电子政务
4、应用 系统上线测评财政投资信息化 项目安全测评涉密信息系统分 级保护测评非涉密信息系统 等级保护测评安全事件整改测评第 2 页 (一)电子政务外网(一)电子政务外网网络网络接入测评接入测评 根据外网管理办法要求,各单位局域网络接入广州市电子政务外网前,必须通过广州市信息安全测评中心(以下简称“市测评中心” )组织的信息安全测评。 电子政务外网网络接入测评的主要目的是确保被测网络具备足够的安全防护能力,并实行了有效的安全管控,在确保所属单位网络安全的同时,不会对政务外网骨干网的安全稳定运行造成影响。 电子政务外网分为互联网接入网和业务专网两个独立网络,网间部署了专用的安全岛实现强逻辑隔离和数据交
5、换。根据被测单位接入需求,参照对应网络测评标准(详见本指南“六、测评标准”章节)实施测评。重点检测单位内部网络安全管理、安全运维、安全防护和边界安全。 (二)(二)电子电子政务政务应用系统应用系统上线上线测评测评 根据外网管理办法要求,各单位新建电子政务应用系统上线前,必须通过市测评中心组织的信息安全测评。 电子政务应用系统上线测评的主要目的是确保各类电子政务及公共服务信息系统具备足够的信息安全防护能力,满足行业及信息化主管部门的安全管控要求,能够持续提供安全、稳定、高效的业务支撑,保障敏感信息及公众隐私安全。 根据被测应用系统所在网络,参照对应网络测评标准(详见本指南“六、测评标准”章节)实
6、施测评。重点检测被测应用系统相关的安全管理、安全保障体系建设、业务安第 3 页 全和数据安全等。 (三)(三)财政投资信息化项目安全测评财政投资信息化项目安全测评 根据财政投资信息化项目相关管理要求,财政投资信息化项目安全测评为竣工验收的必要前置环节,竣工验收前必须通过安全测评。我市财政投资信息化项目安全测评由市信息安全测评中心组织实施。 财政投资信息化项目安全测评的主要目的是确保项目实现了规划的安全功能,达到了规划的安全防护及管控能力,并且满足网络接入或系统上线要求。 财政投资信息化项目安全测评根据各信息化项目建设的信息系统其处理、传输和存储信息机密性、完整性和可用性要求及建设方案中安全防护
7、规划的信息安全建设目标和考核指标实施测评。信息化项目所建网络和系统需接入电子政务外网的,应满足对应网络测评标准(详见本指南“六、测评标准”章节) 。 财政投资信息化项目安全测评结论可同时作为项目验收、网络接入、系统上线、等保备案依据使用。 (四)(四)涉密涉密信息系统信息系统分分级保护测评级保护测评 中华人民共和国保守国家秘密法 、 涉及国家秘密的信息系统分级保护管理办法等法规规定,存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。涉密信息系统通过分级保护测评后,方可投入使用。 国家保密局涉密信息系统安全保密测评系统测评(广州第 4 页 市)分中心(市信息安全
8、测评中心)为广州市涉密信息系统分级保护测评唯一指定机构。 涉密信息系统分级保护测评依据涉及国家秘密的信息系统分级保护测评指南 ,从风险管理角度,运用科学的分析方法和手段,分析涉密信息系统所面临的威胁及其存在的脆弱性,提出有针对性的防护对策和整改措施,为防范和化解涉密信息系统安全保密风险,保障涉密信息系统安全保密提供科学依据。 (五五)非涉密非涉密信息系统等级保护测评信息系统等级保护测评 根据信息安全等级保护管理办法 、 外网管理办法等相关要求,各单位应严格遵循国家信息安全等级保护及相关安全法规的有关要求,对各自负责的网络和信息系统自主定级,并做好相应级别的安全保护工作;各单位应依据本单位信息系统的重要程度和等级保护的要求自主定级,并向公安部门报备。等保三级以上系统需每年进行一次等级保护测评,四级以上系统需每半年进行一次等级保护测评,由具备等级保护测评资质的测评机构承担。 新建系统的等级保护测评可与财政投资信息化项目安全测评合并实施。 (六)(六)安全事件整改测评安全事件整改测评 根据外网管理办法要求,已接入政务外网的局域网或应用系统因发生重大安全事件
