您当前位置:首页 > 解决方案 > 等级保护实施FAQ
等级保护实施FAQ

· 国家管理部门对于检查结果的处理方式有哪些?
· 具有哪些不符合情况之一的,运营使用单位须进行整改?
· 怎样理解公安机关监督检查工作内容?
· 如何选择能够承担信息系统安全等级保护测评具有国家有关资质的测评机构?
· 信息系统安全等级保护管理设计主要考虑哪些内容?
· 如何根据差距分析结果设计系统的改建方案?
· 对于已建成并投入运行的系统如何找出现有安全防护与相应等级基本要求的差距?
· 在系统建设阶段如何进行系统保护方案设计?
· 如果系统存在特殊安全需求,有哪些解决方式?
· 系统存在特殊安全需求主要来自哪些方面?
· 什么是基本安全要求的S、A、G?
· 信息系统运营、使用单位根据保护等级的建设和改建状况该如何进行安全需求分析? 
· 从哪里可以下载备案表?
· 如何办理备案手续?
· 等级保护定级报告该如何起草?
· 等级保护用户单位如何对信息系统定级?

国家管理部门对于检查结果的处理方式有哪些?

根据《公安机关信息安全等级保护检查工作规范》的规定,公安机关发现不符合信息安全等级保护有关管理规范和技术标准要求,具有违反《信息安全等级保护管理办法》相关规范情形的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》。逾期不改正的,给予警告,并向其上级主管部门通报。反之,对于符合规范和标准要求的,公安机关对信息系统给予颁证认可,对于信息系统安全建设、改造情况优秀的运营、维护单位进行评级表彰。

具有哪些不符合情况之一的,运营使用单位须进行整改?

具有下列情形之一的,公安机关通知其运营使用单位限期整改:
    (一) 未按照《管理办法》开展信息系统定级工作的;
    (二) 信息系统安全保护等级定级不准确的;
    (三) 未按《管理办法》规定备案的;
    (四) 备案材料与备案单位、备案系统不符合的;
    (五) 未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的;
    (六) 系统发生变化,安全保护等级未及时进行调整并重新备案的;
    (七) 未按《管理办法》规定落实安全管理制度、技术措施的;
    (八) 未按《管理办法》规定开展安全建设整改和安全技术测评的;
    (九) 未按《管理办法》规定选择使用信息安全产品和测评机构的;
    (十) 未定期开展自查的;
    (十一) 违反《管理办法》其他规定的。 

怎样理解公安机关监督检查工作内容?

  根据《信息安全等级保护管理办法》第十八条的规定,受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。检查内容主要包括信息系统安全等级保护定级备案情况,信息安全设施建设、整改情况,信息安全管理制度建立和落实情况,以及检查系统安全测评是否符合要求等事项。 

回顶部>>

如何选择能够承担信息系统安全等级保护测评具有国家有关资质的测评机构?  

  根据《信息安全等级保护管理办法》第十四条规定,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。目前上海市公安局等保办公室指定上海市信息安全测评认证中心为本市信息系统安全等级保护测评工作的主要测评实施单位。《信息安全等级保护管理办法》在第二十二条明确了对于等级保护测评机构的要求条件。 

信息系统安全等级保护管理设计主要考虑哪些内容?

  结合系统实际安全管理需要和技术建设内容,确定安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。 

如何根据差距分析结果设计系统的改建方案?

系统改建方案设计的主要依据是安全需求分析的结果,和对信息系统目前保护措施与《基本要求》的差距的分析和评估。因而改建实施方案设计包括以下四个方面的内容:
    一、确定系统改建的安全需求
    二、差距原因分析
    三、分类处理的改建措施。
    四、改建措施详细设计。

回顶部>>

对于已建成并投入运行的系统如何找出现有安全防护与相应等级基本要求的差距? 

对于信息系统目前保护措施与《基本要求》之间的差距,主要根据以下三个方面的分析评估:
    1、根据确定的安全保护等级,参照前述的安全需求分析方法,确定本系统的总体安全需求,其中包括经过调整的等级保护基本要求和本单位的特殊安全需求。
    2、由信息系统的运营使用单位自己组织人员或由第三方评估机构采用等级测评方法对信息系统安全保护现状与等级保护基本要求进行符合性评估,得到与相应等级要求的差距项。
    3、针对满足特殊安全需求(包括采用高等级的控制措施和采用其它标准的要求的)的安全措施进行符合性评估,得到与满足特殊安全需求的差距项。 

在系统建设阶段如何进行系统保护方案设计?

根据等级保护要求进行信息系统安全的设计是系统建设前必须完成的工作。设计分为总体安全设计和详细安全设计。总体设计指导全局,一般针对整个单位,详细设计指导具体项目的建设实施。具体系统保护方案设计的方法和实施步骤请参考《信息系统安全等级保护实施指南》内“总体安全设计”章节。

如果系统存在特殊安全需求,有哪些解决方式? 

针对系统特殊安全需求,有两种解决方式:
第一种 选择《基本要求》中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力。
第二种 参照《管理办法》第十二条和第十三条列出的等级保护的其它标准进行保护。
等级保护基本安全要求和特殊安全需求共同构成系统的总的安全需求。

回顶部>>

系统存在特殊安全需求主要来自哪些方面? 

明确系统特殊安全需求,特殊需求来自两个方面:
第一,等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求,需要更强的保护。
第二,由于信息系统的业务需求、应用模式具有特殊性,系统面临的威胁具有特殊性,基本要求没有提供所需要的保护措施,例如有关无线网络的接入和防护《基本要求》中没有提出专门的要求,需要作为特殊需求。

什么是基本安全要求的S、A、G? 

基本安全要求,其中包括三类基本要求
S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
A类—系统服务安全保护类—关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
G类—通用安全保护类—既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。
例如,以S2表示2级的业务信息安全保护类要求,A3表示3级的系统服务安全保护类要求。 

信息系统运营、使用单位根据保护等级的建设和改建状况该如何进行安全需求分析?  

具体需求分析步骤:
第一步 根据其等级从《基本要求》中选择相应等级的基本安全要求。
第二步 根据定级过程中确定业务信息安全保护等级和系统服务安全保护等级,确定该信息系统的安全需求类。
第三步 根据系统所面临的威胁特点调整安全要求。

回顶部>>

从哪里可以下载备案表? 

可从上海信息安全等级保护网(www.djbh.sh.cn)专栏下载,或直接在本网站“等保资料下载”栏目内下载《信息系统安全等级保护备案表》。

如何办理备案手续? 

根据《信息安全等级保护管理办法》(公通字[2007]43号)第十五条规定运营、使用单位到所在地设区的市级以上公安机关办理备案手续。并且按照第十六条的规定,填写《信息系统安全等级保护备案表》,提供相关备案材料。

等级保护定级报告该如何起草? 

《信息系统安全等级保护实施指南》章节5.3.2“形成定级报告”中标定了“信息系统定级结果报告”需包括的主要内容。上海信息安全等级保护网(www.djbh.sh.cn)同时提供《信息系统安全等级保护定级报告》简易模版供参考用途。

等级保护用户单位如何对信息系统定级? 

通过《信息系统安全等级保护实施指南》第五章“信息系统定级”了解定级工作框架及主要内容。依据GB/T22240-2008《信息系统安全等级保护定级指南》,信息系统运营维护单位从中了解等级保护定级原理、定级方法和等级变更等规范细节。

回顶部>>