收藏
下载资源

我国石化集团信息系统安全等级保护评估和检查细则

上传人:汽*** 文档编号:564618279 上传时间:2022-08-05 格式:DOCX 页数:51 大小:118.16KB
返回 下载 相关 举报
我国石化集团信息系统安全等级保护评估和检查细则_第1页
第1页 / 共51页
我国石化集团信息系统安全等级保护评估和检查细则_第2页
第2页 / 共51页
我国石化集团信息系统安全等级保护评估和检查细则_第3页
第3页 / 共51页
我国石化集团信息系统安全等级保护评估和检查细则_第4页
第4页 / 共51页
我国石化集团信息系统安全等级保护评估和检查细则_第5页
第5页 / 共51页
点击查看更多>>
资源描述

《我国石化集团信息系统安全等级保护评估和检查细则》由会员分享,可在线阅读,更多相关《我国石化集团信息系统安全等级保护评估和检查细则(51页珍藏版)》请在金锄头文库上搜索。

1、中国石化集团信息系统安全等级保护评估和检查细则信息系统管理部编制目次 11. 范围 42. 规范性引用文件 43. 术语和定义 43.1. 工作单元 43.2. 评估和检查强度 44. 总则 44.1. 评估和检查原则 44.2. 评估和检查内容 55. I级安全评估和检查 75.1. 信息安全管理评估和检查 75.1.1. 安全管理机构 75.1.2. 安全管理制度 85.1.3. 人员安全管理 85.1.4. 系统建设管理 95.1.5. 系统运行维护管理 125.2. 信息安全技术评估和检查 155.2.1. 物理安全 155.2.2. 网络安全 165.2.3. 主机安全 175.2.

2、4. 应用安全 195.2.5. 数据安全及备份恢复 216. HA级安全评估和检查 236.1. 信息安全管理评估和检查 236.1.1. 安全管理机构 236.1.2. 安全管理制度 266.1.3. 人员安全管理 276.1.4. 系统建设管理 296.1.5. 系统运行维护管理 326.2. 信息安全技术评估和检查 376.2.1. 物理安全 376.2.2. 网络安全 426.2.3. 主机安全 456.2.4. 应用安全 496.2.5. 数据安全及备份恢复 537. n B级安全评估和检查 557.1. 信息安全管理评估和检查 557.1.1. 安全管理机构 557.1.2. 安

3、全管理制度 587.1.3. 人员安全管理 587.1.4. 系统建设管理 617.1.5. 系统运行维护管理 647.2. 信息安全技术评估和检查 697.2.1. 物理安全 697.2.2. 网络安全 737.2.3. 主机安全 777.2.4. 应用安全 807.2.5. 数据安全及备份恢复 838. mA级安全评估和检查 868.1. 信息安全管理评估和检查 868.1.1. 安全管理机构 868.1.2. 安全管理制度 898.1.3. 人员安全管理 908.1.4. 系统建设管理 938.1.5. 系统运行维护管理 978.2. 信息安全技术评估和检查 1048.2.1. 物理安全

4、 1048.2.2. 网络安全 1098.2.3. 主机安全 1138.2.4. 应用安全 1188.2.5. 数据安全及备份恢复 1239. IDB级安全评估和检查 1259.1. 信息安全管理评估和检查 1259.1.1. 安全管理机构 1259.1.2. 安全管理制度 1299.1.3. 人员安全管理 1309.1.4. 系统建设管理 1339.1.5. 系统运行维护管理 1389.2. 信息安全技术评估和检查 1469.2.1. 物理安全 1469.2.2. 网络安全 1529.2.3. 主机安全 1589.2.4. 应用安全 1659.2.5. 数据安全及备份恢复 17210. IV

5、级安全评估和检查 17610.1. 信息安全管理评估和检查 17610.1.1. 安全管理机构 17610.1.2. 安全管理制度 18210.1.3. 人员安全管理 18410.1.4. 系统建设管理 18810.1.5. 系统运行维护管理 19510.2. 信息安全技术评估和检查 20510.2.1. 物理安全 20510.2.2. 网络安全 21410.2.3. 主机安全 22110.2.4. 应用安全 23310.2.5. 数据安全及备份恢复 243引言根据中国石化集团信息系统安全等级保护基本要求,为推动中国石化信息系统安全等级保护工作的开展,结合国家信息系统安全等级保护检查细则的相关

6、要求,修订本细则。1. 范围本细则规定了对中国石化信息系统安全等级保护状况进行安全评估和检查的要求, 包括第一级、 第二级、 第三级和第四级信息系统安全评估和检查要求。 本细则没有规定第五级信息系统安全评估和检查要求的具体内容要求。本细则适用于评估和检查机构、 信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。2. 规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。 凡是不注日期的引用文件, 其最新版本 (包括所有的修改单) 适用于本文件。GB17859-1999 计算机信息系统安全保护等级划分准则GB/T

7、5271.8 信息技术 词汇 第 8 部分:安全GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求3. 术语和定义GB/T 5271.8 和 GB/T 22239-2008 所确立的以及下列术语和定义适用于本细则。3.1. 工作单元工作单元是安全评估和检查的最小工作单位, 由评估和检查项目、 评估和检查内容、 评估和检查标准、 评估和检查方法以及备注等组成, 分别描述评估和检查项目和内容、 评估和检查过程中涉及的评估和检查标准。3.2. 评估和检查强度评估和检查是一个自评估的工作,通过评估和检查工作对比等级保护的工作。评估和检查的广度和深度,体现评估和检查工作的实际投入程

8、度。4. 总则4.1. 评估和检查原则评估和检查原则包括:a) 客观性和公正性原则虽然评估和检查工作不能完全摆脱个人主张或判断,但评估和检查人员应当没有偏见,在最小主观判断情形下, 按照评估和检查双方相互认可的评估和检查方案, 基于明确定义的评估和检查方式和解释,实施评估和检查活动。基于评估和检查成本和工作复杂性考虑, 鼓励评估和检查工作重用以前的评估和检查结果, 包括商业安全产品评估和检查结果和信息系统先前的安全评估和检查结果。 所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。b) 可重复性和可再现性原则无论谁执行评估和检查, 依照同样的要求, 使用同

9、样的评估和检查方式, 对每个评估和检查过程的重复执行都应该得到同样的结果。 可再现性体现在不同评估和检查者执行评估和检查的结果的一致性, 可重复性体现在同一评估和检查者重复执行相同评估和检查的结果的一致性。c) 结果完善性原则评估和检查所产生的结果应当证明是良好的判断和对评估和检查项的正确理解。 评估和检查过程和结果应当服从正确的评估和检查方法以确保其满足了评估和检查项的要求。4.2. 评估和检查内容对信息系统安全等级保护状况进行评估和检查, 应包括两个方面的内容: 一是安全控制进行评估和检查, 主要评估和检查信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体进行评估和

10、检查,主要评估和检查分析信息系统的整体安全性。其中,安全控制评估和检查是信息系统整体安全评估和检查的基础。对安全控制评估和检查的描述, 使用工作单元方式组织。 工作单元分为安全技术评估和检查和安全管理评估和检查两大类。安全技术评估和检查包括:物理安全、网络安全、主机安全、 应用安全和数据安全等五个层面上的安全控制评估和检查; 安全管理评估和检查包括:安全管理机构、 安全管理制度、 人员安全管理、 系统建设管理和系统运维管理等五个方面的安全控制评估和检查。系统整体评估和检查涉及到信息系统的整体拓扑、 局部结构, 也关系到信息系统的具体安全功能实现和安全控制配置, 与特定信息系统的实际情况紧密相关

11、, 内容复杂且充满系统具体实施方法和明确的结果个性。 因此, 全面地给出系统整体评估和检查要求的完整内容、判定方法是很困难的。评估和检查人员应根据特定信息系统的具体情况,结合本细则要求,确定系统整体评估和检查的具体内容, 在安全控制评估和检查的基础上, 重点考虑安全控制 间、层面间以及区域间的相互关联关系, 评估和检查安全控制间、层面间和区域间是否存在 安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、 不同信息系统之间整体安全性等。5. I级安全评估和检查5.1. 信息安全管理评估和检查5.1.1. 安全管理机构检查项 目检查内 容评估和检查标准评估和检查方法安全管理机构岗位设置应

12、设立系统管理人员、网 络管理人员、安全管理人员岗 位,定义各个工作岗位的职责;a) 应访谈安全主管,询问信息系统设置了哪 些工作岗位(如机房管理员、系统管理员、网 络管理员、安全员等重要岗位),是否明确各 个岗位的职责分工;b) 应检查岗位职责分工文档,查看定义的各 个岗位职责是否包括机房管理员、系统管理 员、网络管理员、安全员等重要岗位,各个岗 位的职责范围是否清晰、明确。人员配 备应配备一定数量的系统管 理人员、网络管理人员、安全 管理人员,各个岗位的人员可 以兼任;a) 应访谈安全主管,询问各个安全管理岗位 人员配备情况(按照岗位职责文件询问,包括 机房管理员、系统管理员、网络管理员和安

13、全 员等重要岗位人员),包括数量、专职还是兼 职等;b) 应检查安全管理人员名单,查看其是否明 确机房管理员、系统管理员、网络管理员和安 全员等重要岗位人员的信息。授权审 批应授权审批部门及批准 人,对网络、应用、系统等重 要资源的访问等关键活动进行 审批;a) 应访谈安全主管,询问其是否需要对信息 系统中的关键活动进行审批,审批部门是何部 门,批准人是何人,他们的审批活动是否得到 授权;b) 应访谈关键活动的批准人,询问其对关键 活动的审批范围包括哪些(如网络系统、应用 系统、数据库管理系统、重要服务器和设备等 重要资源的访问),审批程序如何;c) 应检查经审批的文档,查看是否具有批准 人的

14、签字或审批部门的盖章。沟通和 合作应加强各类管理人员和组 织内、外部机构之间的合作与 沟通,定期或不定期召开协调 会议,共同协助处理信息安全 问题;a) 应访谈安全主管,询问与组织机构内其他 部门之间有哪些合作内容,沟通、合作方式有 哪些,是否召开过部门间协调会议,组织其它 部门人员共同协助处理信息系统安全有关问 题,会议结果如何;b) 应访谈安全管理人员(从系统管理员和安 全员等人员中抽查),询问其与组织机构内其 他部门人员,与内部其他管理人员之间的沟通 方式和主要沟通内容有哪些;c) 应检查部门间协调会议文件或会议记录, 查看是否有会议内容、会议时间、参加人员、检查项 目检查内 容评估和检

15、查标准评估和检查方法会议结果等的描述。5.1.2.安全管理制度检查 项目检查内 容评估和检查标准评估和检查方法安全 管理管理制 度应建立日常管理活 动中常用的安全管理制 度,以规范安全管理活 动,约束人员的行为。a)应访谈安全主管,询问是否制定信息安全 工作的总体方针、政策庄文件和安全策略,是 否制定安全管理制度规范日常管理活动;b)应检查总体方针、政策庄文件和安全策略 文件,查看文件是否明确机构安全工作的总体 目标、范围、方针、原则、责任等;c)应检查安全管理制度清单,查看是否覆盖 物理、网络、主机系统、数据、应用和管理等 层面。制度制定和应授权或指定专门 的人员负责制定安全管 理制度;a)应访谈安全主管,询问是否有专人负责制 订安全管理制度,负责人是何人;

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号