信息安全離我們遠(yuǎn)嗎?

前言

我做為一個(gè)IT技術(shù)人員已經(jīng)很多年了,剛開(kāi)始時(shí)對(duì)什么信息安全和數(shù)據(jù)安全沒(méi)啥概念,只知道數(shù)據(jù)丟失就去找唄,找不回來(lái)就算了。系統(tǒng)中毒了,那就殺唄,殺不掉就算了。沒(méi)有從源頭上去杜絕出現(xiàn)這些情況的發(fā)生,后來(lái)有了一些安全設(shè)備,于是我們就是簡(jiǎn)單加上防火墻、IDS、IPS、WAF等,以期待能杜絕此類事情的發(fā)生??墒掠谠高`,還是會(huì)頻繁的發(fā)生此類情況的發(fā)生,為什么呢?關(guān)鍵就是沒(méi)有一套信息安全防范體系和制度。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、微信小程序定制開(kāi)發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了福綿免費(fèi)建站歡迎大家使用!

國(guó)家還專門為信息安全成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組由習(xí)大大領(lǐng)導(dǎo),可見(jiàn)因?yàn)楝F(xiàn)在大數(shù)據(jù)時(shí)代對(duì)網(wǎng)絡(luò)信息安全上重視程度,后來(lái)此小組改為中國(guó)中央網(wǎng)絡(luò)安全和信息化委員會(huì)。

那么我們?cè)撛鯓咏⒆约旱男畔踩w系呢?這里我從一家信息系統(tǒng)集成公司的角度來(lái)講解,首先我們了解國(guó)家信息安全體系認(rèn)證機(jī)構(gòu)是什么,這樣企業(yè)才能得到正規(guī)的安全認(rèn)證。

中國(guó)信息安全認(rèn)證中心是經(jīng)中央編制委員會(huì)批準(zhǔn)成立,由信息化工作辦公室、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等八部委授權(quán),依據(jù)國(guó)家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證、信息安全管理的法律法規(guī),負(fù)責(zé)實(shí)施信息安全認(rèn)證的專門機(jī)構(gòu)。中國(guó)信息安全認(rèn)證中心為國(guó)家質(zhì)檢總局直屬事業(yè)單位。中心簡(jiǎn)稱為信息認(rèn)證中心;英文全稱:China Information Security Certification Center;英文縮寫:ISCCC

在中心它可以對(duì)產(chǎn)品、體系、服務(wù)、人員進(jìn)行不同的認(rèn)證,以得到我們各自所需的認(rèn)證結(jié)果。這里我只介紹信息安全管理、信息技術(shù)-服務(wù)管理體系,信息安全服務(wù)資質(zhì)認(rèn)證(信息系統(tǒng)安全集成服務(wù)、安全運(yùn)維服務(wù)資質(zhì)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全應(yīng)急處理服務(wù)),信息安全人員認(rèn)證。

我們做為一個(gè)信息系統(tǒng)集成企業(yè)要做哪些認(rèn)證好呢?我覺(jué)得應(yīng)該做好下面的認(rèn)證(標(biāo)黑部分),信息安全認(rèn)證架構(gòu)圖:

信息安全離我們遠(yuǎn)嗎?

一、信息安全管理體系

(InformationSecurityManagementSystems,ISMS)是組織整體管理體系的一個(gè)部分,是基于風(fēng)險(xiǎn)評(píng)估建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和持續(xù)改進(jìn)信息安全等一系列的管理活動(dòng),是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法的體系。

GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn),它要求組織通過(guò)一系列的過(guò)程,如確定信息安全管理體系范圍,制定信息安全方針和策略,明確管理職責(zé),以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和控制措施等,是組織達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的,以預(yù)防為主的信息安全管理方式。

信息安全離我們遠(yuǎn)嗎?

                                                        (證書(shū)模板)

二、信息技術(shù)—服務(wù)管理體系

(InformationTechnologyServiceManagementSystems,ITSMS)的目標(biāo)是以合適的成本提供滿足客戶質(zhì)量要求的IT服務(wù),從流程、人員和技術(shù)三方面提升IT的效率和效用,強(qiáng)調(diào)將企業(yè)的運(yùn)營(yíng)目標(biāo)、業(yè)務(wù)需求與IT服務(wù)提供相協(xié)調(diào)一致。

 GB/T24405.1/ISO/IEC20000-1是建立和維護(hù)信息技術(shù)服務(wù)管理體系的標(biāo)準(zhǔn),規(guī)定了IT組織在向其內(nèi)外部客戶提供IT服務(wù)和支持過(guò)程中所需完成的工作。通過(guò)這些規(guī)定,信息技術(shù)服務(wù)管理體系展示了一套完整的IT服務(wù)管理流程,旨在幫助IT組織識(shí)別并管理IT服務(wù)的關(guān)鍵流程,保證向業(yè)務(wù)和客戶有效地提供高質(zhì)量的IT服務(wù)。

信息安全離我們遠(yuǎn)嗎?

                                                    (證書(shū)模板)

信息技術(shù)運(yùn)維服務(wù)管理制度:

第一節(jié) 總則

1、為加強(qiáng)公司信息技術(shù)運(yùn)維服務(wù)的安全管理,保證公司信息系統(tǒng)運(yùn)行環(huán)境的穩(wěn)定,特制定本制度。

2、本制度所稱信息技術(shù)運(yùn)維服務(wù),是指公司以簽訂合同的方式,到委托客戶單位承擔(dān)信息技術(shù)服務(wù),主要包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)及其它相關(guān)信息化建設(shè)服務(wù)等。

3、安全管理是以安全為目的,進(jìn)行有關(guān)安全工作的方針,決策、計(jì)劃、組織、指揮、協(xié)調(diào)、控制等職能,合理有效地使用人力、財(cái)力、物力、時(shí)間和信息,為達(dá)到預(yù)定的安全防范而進(jìn)行的各種活動(dòng)的總和,稱為安全管理。

4、運(yùn)維服務(wù)安全管理遵循關(guān)于安全的所有商業(yè)準(zhǔn)則及適當(dāng)?shù)耐獠糠?、法?guī)。

第二節(jié) 運(yùn)維服務(wù)范圍

5、運(yùn)維服務(wù)包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)等。

6、咨詢服務(wù):

6.1根據(jù)客戶的信息化建設(shè)總體部署,協(xié)助客戶制定切實(shí)可行的技術(shù)實(shí)施方案。

6.2對(duì)客戶現(xiàn)有的信息技術(shù)基礎(chǔ)架構(gòu)、設(shè)備運(yùn)行狀態(tài)和應(yīng)用情況進(jìn)行診斷和評(píng)估,提出合理化的解決方案。

6.3根據(jù)客戶的實(shí)際情況提出備份方案和應(yīng)急方案。

6.4其他信息技術(shù)咨詢服務(wù)。

7、運(yùn)行維護(hù)服務(wù):

7.1軟硬件設(shè)備安裝、升級(jí)服務(wù)。

7.2硬件的設(shè)備維修和保養(yǎng)。

7.3根據(jù)客戶業(yè)務(wù)變化,提供應(yīng)用系統(tǒng)功能性的需求解決方案及執(zhí)行服務(wù)。

7.4系統(tǒng)定期巡檢和整體性能評(píng)估。

7.5日常業(yè)務(wù)數(shù)據(jù)問(wèn)題的處理服務(wù)。

7.6其他運(yùn)行維護(hù)服務(wù)。

8、技術(shù)培訓(xùn):根據(jù)客戶的實(shí)際情況,提供相關(guān)的技術(shù)培訓(xùn)。

第三節(jié) 運(yùn)維服務(wù)安全管理

9、運(yùn)維服務(wù)安全管理應(yīng)按照“安全第一、預(yù)防為主”的原則,采取科學(xué)有效的安全管理措施,應(yīng)用確保信息安全的技術(shù)手段,建立權(quán)責(zé)明確、覆蓋信息化全過(guò)程的崗位責(zé)任制,對(duì)信息化全過(guò)程實(shí)行嚴(yán)格監(jiān)督和管理,確保信息安全。

10、成立由分管領(lǐng)導(dǎo)同志信息化外包管理組織,明確信息化管理的部門、人員及職責(zé)。

11、建立信息建設(shè)安全保密制度,與客戶方簽訂安全保密協(xié)議或合同,明確符合安全管理及其它相關(guān)制度的要求。并對(duì)服務(wù)人員進(jìn)行安全保密教育。

12、制定信息化加工過(guò)程管理、信息化成果驗(yàn)收與交接、存儲(chǔ)介質(zhì)管理等操作規(guī)程或規(guī)章制度。

13、運(yùn)維服務(wù)方的人員素質(zhì)、技術(shù)與管理水平能夠滿足擬承擔(dān)項(xiàng)目的要求,進(jìn)行相應(yīng)的安全資質(zhì)管理。

14、運(yùn)維服務(wù)方配備專人負(fù)責(zé)安全保密工作,負(fù)責(zé)日常信息安全監(jiān)督、檢查、指導(dǎo)工作。對(duì)服務(wù)方提供的服務(wù)進(jìn)行安全性監(jiān)督與評(píng)估,采取安全措施對(duì)訪問(wèn)實(shí)施控制,出現(xiàn)問(wèn)題應(yīng)遵照合同規(guī)定及時(shí)處理和報(bào)告,確保其提供的服務(wù)符合客戶內(nèi)部控制要求。

15、對(duì)運(yùn)維服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的安全狀況應(yīng)定期進(jìn)行評(píng)估,當(dāng)出現(xiàn)重大安全問(wèn)題或隱患時(shí)應(yīng)進(jìn)行重新評(píng)估,提出改進(jìn)意見(jiàn),直至停止運(yùn)維服務(wù)。

16、使用運(yùn)維服務(wù)方設(shè)備的,對(duì)其進(jìn)行必要的安全檢查。

17、在重要安全區(qū)域,對(duì)外部人員的每次訪問(wèn)進(jìn)行風(fēng)險(xiǎn)控制;必要時(shí)應(yīng)外部人員的訪問(wèn)進(jìn)行限制。

第四節(jié) 附則

18、本制度由我公司負(fù)責(zé)解釋

19、本制度自發(fā)布之日起生效執(zhí)行。

三、信息安全服務(wù)資質(zhì)認(rèn)證簡(jiǎn)介

隨著我國(guó)信息化和信息安全保障工作的不斷深入推進(jìn),以應(yīng)急處理、風(fēng)險(xiǎn)評(píng)估、災(zāi)難恢復(fù)、系統(tǒng)測(cè)評(píng)、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強(qiáng)和規(guī)范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎(chǔ)性工作。

 我中心是經(jīng)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn),可以從事信息安全服務(wù)資質(zhì)認(rèn)證的機(jī)構(gòu)(《認(rèn)證機(jī)構(gòu)批準(zhǔn)書(shū)》CNCA-R-2007-138),并獲得了中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)的認(rèn)可(證書(shū)編號(hào):No. CNAS CO66-V)。服務(wù)資質(zhì)認(rèn)證工作是我中心的核心業(yè)務(wù)之一。

 按照分類分級(jí)的工作思路,目前我中心已經(jīng)開(kāi)展了信息安全應(yīng)急處理和風(fēng)險(xiǎn)評(píng)估兩類服務(wù)資質(zhì)工作。

對(duì)服務(wù)資質(zhì)認(rèn)證工作具體介紹如下:

 一、基本概念

 信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國(guó)家法律法規(guī)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對(duì)提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評(píng)價(jià)。

 應(yīng)急處理服務(wù)是對(duì)影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為(事件)進(jìn)行標(biāo)識(shí)、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過(guò)程。(用1799概述里面一段一句的內(nèi)容)

 風(fēng)險(xiǎn)評(píng)估服務(wù)是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施,以求防范和化解信息安全風(fēng)險(xiǎn),或?qū)L(fēng)險(xiǎn)控制在可接受的水平。

 通過(guò)對(duì)信息安全服務(wù)分類分級(jí)的資質(zhì)認(rèn)證,可以對(duì)信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過(guò)程能力等方面進(jìn)行權(quán)威、客觀、公正的評(píng)價(jià),證明其服務(wù)能力,滿足社會(huì)對(duì)服務(wù)的選擇需求。同時(shí),認(rèn)證過(guò)程也將有效促進(jìn)服務(wù)提供方完善自身管理體系,提高服務(wù)質(zhì)量和水平,引導(dǎo)行業(yè)健康規(guī)范發(fā)展。

 二、關(guān)于認(rèn)證申請(qǐng):

 認(rèn)證的基本環(huán)節(jié):

 認(rèn)證申請(qǐng)與受理;

 文檔審核;

 現(xiàn)場(chǎng)審核;

 認(rèn)證決定;

 年度監(jiān)督審核。

 初次申請(qǐng)服務(wù)資質(zhì)認(rèn)證時(shí),申請(qǐng)單位應(yīng)填寫認(rèn)證申請(qǐng)書(shū),并提交資格、能力方面的證明材料。申請(qǐng)材料通常包括:

 服務(wù)資質(zhì)認(rèn)證申請(qǐng)書(shū);

 獨(dú)立法人資格證明材料;

 從事信息安全服務(wù)的相關(guān)資質(zhì)證明;

 工作保密制度及相應(yīng)組織監(jiān)管體系的證明材料;

 與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)人員簽訂的保密協(xié)議復(fù)印件;

 人員構(gòu)成與素質(zhì)證明材料;

 公司組織結(jié)構(gòu)證明材料;

 具備固定辦公場(chǎng)所的證明材料;

 項(xiàng)目管理制度文檔;

 信息安全服務(wù)質(zhì)量管理文件;

 項(xiàng)目案例及業(yè)績(jī)證明材料;

 信息安全服務(wù)能力證明材料等。

 三、關(guān)于認(rèn)證依據(jù):

 對(duì)特定類別的信息安全服務(wù),有具體的評(píng)價(jià)標(biāo)準(zhǔn)。例如,信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證的依據(jù)是《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法》(YD/T 1799-2008),信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證的依據(jù)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)與《信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-002)。

 四、關(guān)于認(rèn)證流程:

 參見(jiàn)我中心網(wǎng)站上的《信息安全服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-001)及認(rèn)證流程圖。認(rèn)證周期一般是10周,包括自申請(qǐng)被正式受理之日起至頒發(fā)認(rèn)證證書(shū)時(shí)止所實(shí)際發(fā)生的時(shí)間,不包括由于申請(qǐng)單位準(zhǔn)備或補(bǔ)充材料的時(shí)間。

3.1信息系統(tǒng)安全集成服務(wù)

是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素,從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開(kāi)展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等,通常被稱為安全優(yōu)化或安全加固。
  信息系統(tǒng)安全集成服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別,其中一級(jí)最高,三級(jí)最低。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn):基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力;服務(wù)人員的能力主要從掌握的知識(shí)、安全集成服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定。

3.2 安全運(yùn)維服務(wù)資質(zhì)認(rèn)證

通過(guò)技術(shù)設(shè)施安全評(píng)估,技術(shù)設(shè)施安全加固,安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢,協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作,以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時(shí)加以響應(yīng)。

 安全運(yùn)維資質(zhì)認(rèn)證是對(duì)安全運(yùn)維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運(yùn)維過(guò)程能力等方面進(jìn)行評(píng)價(jià)。安全運(yùn)維服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的安全運(yùn)維服務(wù)資格和能力的尺度。

資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別,其中一級(jí)最高,三級(jí)最低。

3.3 信息安全風(fēng)險(xiǎn)評(píng)估

是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。服務(wù)提供者通過(guò)對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù),系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施,防范和消除信息安全風(fēng)險(xiǎn),或?qū)L(fēng)險(xiǎn)控制在可接受的水平,為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。

 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn):基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力;服務(wù)人員的能力主要從掌握的知識(shí)、風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定。對(duì)服務(wù)提供方的背景審查主要指客戶投訴、違法違紀(jì)行為等;服務(wù)人員的背景審查主要指行業(yè)主管部門或使用單位對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的人員進(jìn)行必要的審查。

 資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別,其中一級(jí)最高,三級(jí)最低。

3.4 信息安全應(yīng)急處理服務(wù)

是通過(guò)制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時(shí)響應(yīng),并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識(shí)、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過(guò)程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一,它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。

信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證是對(duì)應(yīng)急處理服務(wù)提供方的基本資格、管理能力、技術(shù)能力和應(yīng)急處理服務(wù)過(guò)程能力等方面進(jìn)行評(píng)價(jià)。信息安全應(yīng)急處理服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方應(yīng)急處理服務(wù)資格和能力的尺度,應(yīng)急處理服務(wù)資質(zhì)分為三級(jí),其中一級(jí)最高,三級(jí)最低。

四、信息安全人員認(rèn)證與培訓(xùn)簡(jiǎn)介

中國(guó)信息安全認(rèn)證中心(ISCCC)是國(guó)家批準(zhǔn)的信息安全專業(yè)認(rèn)證與培訓(xùn)機(jī)構(gòu)。ISCCC的服務(wù)宗旨是保障國(guó)家信息安全,促進(jìn)各類組織信息安全技術(shù)水平和管理水平的提高,提升信息安全的社會(huì)認(rèn)知度及從業(yè)人員的專業(yè)水平。目前開(kāi)展的人員認(rèn)證與培訓(xùn)業(yè)務(wù)包括:信息安全從業(yè)人員資格認(rèn)證、信息安全認(rèn)證從業(yè)人員培訓(xùn)和信息安全技術(shù)與意識(shí)培訓(xùn)。
  ISCCC推出了“信息安全保障從業(yè)人員認(rèn)證(CISAW)”和 “信息安全保障預(yù)備從業(yè)人員認(rèn)證(CISAC)”,以期推動(dòng)我國(guó)信息安全保障的人才隊(duì)伍建設(shè),提高從業(yè)人員的職業(yè)素養(yǎng),加強(qiáng)后備人才培養(yǎng)。
  ISCCC開(kāi)展了面向信息安全產(chǎn)品認(rèn)證工廠檢查員、信息安全服務(wù)資質(zhì)認(rèn)證評(píng)審員、信息安全管理體系(ISO/IEC27001)認(rèn)證審核員、IT 服務(wù)管理體系(ISO/IEC20000-1)認(rèn)證審核員、信息安全管理體系和IT服務(wù)管理咨詢師等信息安全認(rèn)證從業(yè)人員的培訓(xùn)工作,期望能夠進(jìn)一步提高信息安全認(rèn)證相關(guān)人員的執(zhí)業(yè)水平,從而保障信息安全認(rèn)證質(zhì)量。
  ISCCC專門開(kāi)發(fā)了信息安全技術(shù)培訓(xùn)和信息安全意識(shí)教育的系列基礎(chǔ)課程,并以此為基礎(chǔ),依據(jù)不同組織的實(shí)際需求,開(kāi)展量身定制的個(gè)性化培訓(xùn)服務(wù),旨在提高各類組織的信息安全保障能力和全民信息安全意識(shí)。

人員的認(rèn)證分為9大類三級(jí)認(rèn)證,預(yù)備認(rèn)證、資格認(rèn)證、專業(yè)認(rèn)證。其中專業(yè)認(rèn)證又分為專業(yè)級(jí)和專業(yè)高級(jí)。如下圖:

信息安全離我們遠(yuǎn)嗎?

其它就是關(guān)于國(guó)家對(duì)信息安全保護(hù)等級(jí)劃分和涉密分級(jí)保護(hù)的概念要做個(gè)初步的認(rèn)識(shí)。

五、信息系統(tǒng)的安全保護(hù)等級(jí)分

總共分為以下五級(jí):

第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。

第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。

第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

5.1 等級(jí)保護(hù)的實(shí)施與管理

我這里只摘錄其中主要條款:

第九條

信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。

第十條

信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門的,應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。

跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級(jí)。

對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的,運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。

第十一條

信息系統(tǒng)的安全保護(hù)等級(jí)確定后,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國(guó)家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品,開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作。

第十二條

在信息系統(tǒng)建設(shè)過(guò)程中,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。

第十六條

辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí),應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》,第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料:

(一)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明;

(二)系統(tǒng)安全組織機(jī)構(gòu)和管理制度;

(三)系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案;

(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明;

(五)測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告;

(六)信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn);

(七)主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。

5.2 涉密信息系統(tǒng)的分級(jí)保護(hù)管理

我這里只摘錄其中主要條款:

第二十四條

涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密工作部門有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。

非涉密信息系統(tǒng)不得處理國(guó)家秘密信息等。

第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級(jí),由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng),各安全域可以分別確定保護(hù)等級(jí)。

保密工作部門和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí),應(yīng)當(dāng)提交以下材料:

(一)系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見(jiàn);

(二)系統(tǒng)承建單位資質(zhì)證明材料;

(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告;

(四)系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告;

(五)系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況;

(六)其他有關(guān)材料。

5.3 等級(jí)保護(hù)所對(duì)應(yīng)的輸出

整個(gè)等保跟市場(chǎng)需求之間的關(guān)系可以總結(jié)為:新要求——新產(chǎn)品——滿足等級(jí)保護(hù)測(cè)評(píng)分?jǐn)?shù)——備案成功。從下表中可以看到新增要求項(xiàng)集中在***防范、惡意代碼防范、集中管控、安全審計(jì)等方面。

信息安全離我們遠(yuǎn)嗎?

安全威脅識(shí)別所采用的方法主要有:文檔查閱、問(wèn)卷調(diào)查、人工核查、工具檢測(cè)、***性測(cè)試等。

(1)安全技術(shù)威脅性核查

物理環(huán)境安全

(1)安全措施:機(jī)房選址、建筑物的物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等。  

(2)核查方法:現(xiàn)場(chǎng)查看、詢問(wèn)物理環(huán)境現(xiàn)狀,驗(yàn)證安全措施的有效性。  

網(wǎng)絡(luò)安全

(1)安全措施:網(wǎng)絡(luò)拓?fù)鋱D,vlan劃分,網(wǎng)絡(luò)訪問(wèn)控制,網(wǎng)絡(luò)設(shè)備防護(hù),安全審計(jì),邊界完整性檢查,***防范,惡意代碼防范等。
  (2)核查方法:查看網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)安全設(shè)備的安全策略、配置等相關(guān)文檔,詢問(wèn)相關(guān)人員,查看網(wǎng)絡(luò)設(shè)備的硬件配置情況,手工或自動(dòng)查看或檢測(cè)網(wǎng)絡(luò)設(shè)備的軟件安裝和配置情況,查看和驗(yàn)證身份鑒別、訪問(wèn)控制、安全審計(jì)等安全功能,檢查分析網(wǎng)絡(luò)和安全設(shè)備日志記錄,利用工具探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),掃描網(wǎng)絡(luò)安全設(shè)備存在的漏洞,探測(cè)網(wǎng)絡(luò)非法接入或外聯(lián)情況,測(cè)試網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備負(fù)荷承載能力以及網(wǎng)絡(luò)帶寬,手工或自動(dòng)查看和檢測(cè)安全措施的使用情況并驗(yàn)證其有效性等。    

主機(jī)系統(tǒng)安全

(1)安全措施:身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、***防范、惡意代碼防范、資源控制等。    
 (2)核查方法:手工或自動(dòng)查看或檢測(cè)主機(jī)硬件設(shè)備的配置情況以及軟件系統(tǒng)的安裝配置情況,查看軟件系統(tǒng)的自啟動(dòng)和運(yùn)行情況,查看和驗(yàn)證身份鑒別、訪問(wèn)控制、安全審計(jì)等安全功能,查看并分析主機(jī)系統(tǒng)運(yùn)行產(chǎn)生的歷史數(shù)據(jù)(如鑒別信息、上網(wǎng)痕跡),檢查并分析軟件系統(tǒng)日志記錄,利用工具掃描主機(jī)系統(tǒng)存在的漏洞,測(cè)試主機(jī)系統(tǒng)的性能,手工或自動(dòng)查看或檢測(cè)安全措施的使用情況并驗(yàn)證其有效性等。    

應(yīng)用系統(tǒng)安全

(1)安全措施:身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等。    
 (2)核查方法:查閱應(yīng)用系統(tǒng)的需求、設(shè)計(jì)、測(cè)試、運(yùn)行報(bào)告等相關(guān)文檔,檢查應(yīng)用系統(tǒng)在架構(gòu)設(shè)計(jì)方面的安全性(包括應(yīng)用系統(tǒng)各功能模塊的容錯(cuò)保障、各功能模塊在交互過(guò)程中的安全機(jī)制、以及多個(gè)應(yīng)用系統(tǒng)之間數(shù)據(jù)交互接口的安全機(jī)制等),審查應(yīng)用系統(tǒng)源代碼,手工或自動(dòng)查看或檢測(cè)應(yīng)用系統(tǒng)的安裝配置情況,查看和驗(yàn)證身份鑒別、訪問(wèn)控制、安全審計(jì)等安全功能,查看并分析主機(jī)系統(tǒng)運(yùn)行產(chǎn)生的歷史數(shù)據(jù)(如用戶登錄、操作記錄),檢查并分析應(yīng)該系統(tǒng)日志記錄,利用掃描工具檢測(cè)應(yīng)用系統(tǒng)存在的漏洞,測(cè)試應(yīng)用系統(tǒng)的性能,手工或自動(dòng)查看或檢測(cè)安全措施的使用情況并驗(yàn)證其有效性等。    

數(shù)據(jù)安全

(1)安全措施:數(shù)據(jù)完整性保護(hù)措施、數(shù)據(jù)保密性保護(hù)措施、備份和恢復(fù)等。  
  (2)核查方法:通信協(xié)議分析、數(shù)據(jù)破解、數(shù)據(jù)完整性校驗(yàn)等。  

(2)安全管理威脅性核查

安全管理核查主要通過(guò)查閱文檔、抽樣調(diào)查和詢問(wèn)等方法,并核查信息安全規(guī)章制度的合理性、完整性、適用性等。

安全管理組織

核查方法:查看安全管理機(jī)構(gòu)設(shè)置、職能部門設(shè)置、崗位設(shè)置、人員配置等相關(guān)文件,以及安全管理組織相關(guān)活動(dòng)記錄等文件。  

安全管理策略

核查方法:查看是否存在明確的安全管理策略文件,并就安全策略有關(guān)內(nèi)容詢問(wèn)相關(guān)人員,分析策略的有效性,識(shí)別安全管理策略存在的脆弱性。    

安全管理制度

核查方法:審查相關(guān)制度文件完備情況,查看制度落實(shí)的記錄,就制度有關(guān)內(nèi)容詢問(wèn)相關(guān)人員,了解制度的執(zhí)行情況,綜合識(shí)別安全管理制度存在的脆弱性。    

人員安全管理

核查方法:查閱相關(guān)制度文件以及相關(guān)記錄,或要求相關(guān)人員現(xiàn)場(chǎng)執(zhí)行某些任務(wù),或以外來(lái)人員身份訪問(wèn)等方式進(jìn)行人員安全管理脆弱性的識(shí)別。    

系統(tǒng)運(yùn)維管理

核查方法:審閱系統(tǒng)運(yùn)維的相關(guān)制度文件、操作手冊(cè)、運(yùn)維記錄等,現(xiàn)場(chǎng)查看運(yùn)維情況,訪談運(yùn)維人員,讓運(yùn)維人員演示相關(guān)操作等方式進(jìn)行系統(tǒng)運(yùn)維管理脆弱性的識(shí)別。    

等保安全項(xiàng)目結(jié)束時(shí)召開(kāi)評(píng)審會(huì),參與人員一般包括:被評(píng)估組織、評(píng)估機(jī)構(gòu)及專家等。等保安全項(xiàng)目驗(yàn)收文檔如下:

工作階段

輸出文檔

文檔內(nèi)容

準(zhǔn)備階段

《系統(tǒng)調(diào)研報(bào)告》

對(duì)被評(píng)估系統(tǒng)的調(diào)查了解情況,涉及網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)情況、業(yè)務(wù)應(yīng)用等內(nèi)容。

《風(fēng)險(xiǎn)評(píng)估方案》

根據(jù)調(diào)研情況及評(píng)估目的,確定評(píng)估的目標(biāo)、范圍、對(duì)象、工作計(jì)劃、主要技術(shù)路線、應(yīng)急預(yù)案等。

識(shí)別階段

《資產(chǎn)價(jià)值分析報(bào)告》

資產(chǎn)調(diào)查情況,分析資產(chǎn)價(jià)值,以及重要資產(chǎn)說(shuō)明。

《威脅分析報(bào)告》

威脅調(diào)查情況,明確存在的威脅及其發(fā)生的可能性,以及嚴(yán)重威脅說(shuō)明。

《安全技術(shù)脆弱性分析報(bào)告》

物力、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等方面的脆弱性說(shuō)明。

《安全管理脆弱性分析報(bào)告》

安全組織、安全策略、安全制度、人員安全、系統(tǒng)運(yùn)維等方面的脆弱性說(shuō)明。

《已有安全措施分析報(bào)告》

分析組織或信息系統(tǒng)已部署安全措施的有效性,包括技術(shù)和管理兩方面的安全管控說(shuō)明

風(fēng)險(xiǎn)分析

《風(fēng)險(xiǎn)評(píng)估報(bào)告》

對(duì)資產(chǎn)、威脅、脆弱性等評(píng)估數(shù)據(jù)進(jìn)行關(guān)聯(lián)計(jì)算、分析評(píng)價(jià)等,應(yīng)說(shuō)明風(fēng)險(xiǎn)分析模型、分析計(jì)算方法。

風(fēng)險(xiǎn)處置

《安全整改建議》

對(duì)評(píng)估中發(fā)現(xiàn)的安全問(wèn)題給予有針對(duì)性的風(fēng)險(xiǎn)處置建議

    說(shuō)到這里就籠統(tǒng)的說(shuō)完了一個(gè)集成公司對(duì)于信息安全大概要了解的信息安全內(nèi)容和需要做的安全管理和辦法,當(dāng)然還有很多不完善的地方,但能做到或了解上面所說(shuō)的所有內(nèi)容也是很不容易的,萬(wàn)事都是從零開(kāi)始的。好吧,下次我打算有時(shí)間就做了安全***防御的文章,大家耐心等待吧。

 

新聞名稱:信息安全離我們遠(yuǎn)嗎?
本文URL:http://muchs.cn/article22/igedcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、網(wǎng)站策劃標(biāo)簽優(yōu)化、網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護(hù)公司