【法规名称】
【颁布部门】 公安部
【发文字号】 公信安[2009]1429号
【颁布时间】 2009-10-27
【实施时间】 2009-10-27
【效力属性】 有效
【法规编号】 469889 什么是编号?
【正 文】
第10页 公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函
|
[接上页] 2.2.3 使用说明 《基本要求》对第一级信息系统的基本要求仅供用户参考,按照自主保护的原则采取必要的安全技术和管理措施。 用户在进行信息系统安全建设整改时,可以在《基本要求》基础上,根据行业和系统实际,提出特殊安全要求,开展安全建设整改。 《基本要求》给出了各级信息系统每一保护方面需达到的要求,不是具体的安全建设整改方案或作业指导书,所以,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力。 《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。《基本要求》是信息系统安全建设整改的目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。 《基本要求》综合了《信息系统物理安全技术要求》、《信息系统通用安全技术要求》和《信息系统安全管理要求》的有关内容,在进行系统安全建设整改方案设计时可进一步参考后三个标准。 由于系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行系统安全建设时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求,而通用安全保护要求要与系统等级对应。 信息系统运营使用单位在根据《基本要求》进行安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立并完善系统安全保障体系,提高系统的整体安全防护能力。 对于《基本要求》中提出的基本安全要求无法实现或有更加有效的安全措施可以替代的,可以对基本安全要求进行调整,调整的原则是保证不降低整体安全保护能力。 2.3《信息系统安全等级保护实施指南》(信安字[2007]10号) 2.3.1 主要用途 《信息安全等级保护管理办法》(公通字[2007]43号)第九条规定,信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。信息系统从规划设计到终止运行要经历几个阶段,《信息系统安全等级保护实施指南》(以下简称《实施指南》)用于指导信息系统运营使用单位,在信息系统从规划设计到终止运行的过程中如何按照信息安全等级保护政策、标准要求实施等级保护工作。 2.3.2 主要内容 2.3.2.1 总体框架 《实施指南》正文由9个章节构成:第一、二和三章定义了标准范围、规范性引用文件和术语定义。第四章介绍了等级保护实施的基本原则、参与角色和几个主要工作阶段。第五章至第九章对于信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统终止五个工作阶段进行了详细描述和说明。本标准以信息系统安全等级保护建设为主要线索,定义信息系统等级保护实施的主要阶段和过程,包括信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等五个阶段,对于每一个阶段,介绍了主要的工作过程和相关活动的目标、参与角色、输入条件、活动内容、输出结果等。 2.3.2.2 实施等级保护基本流程 对信息系统实施等级保护的基本流程见图2。 图2信息系统安全等级保护实施的基本流程(略) 信息系统定级阶段内容。用于指导信息系统运营使用单位按照国家有关管理规范和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。 总体安全规划阶段内容。用于指导信息系统运营使用单位根据信息系统定级情况,在分析信息系统安全需求基础上,设计出科学、合理的信息系统总体安全方案,并确定安全建设项目规划,以指导后续的信息系统安全建设工程实施。 安全设计与实施阶段内容。用于指导信息系统运营使用单位按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,进行安全方案详细设计,实施安全建设工程,落实安全保护技术措施和安全管理措施。 安全运行与维护阶段内容。用于指导信息系统运营使用单位通过实施操作管理和控制、变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进、等级测评以及监督检查等活动,进行系统运行的动态管理。 信息系统终止阶段内容。用于指导信息系统运营使用单位在信息系统被转移、终止或废弃时,正确处理系统内的重要信息,确保信息资产的安全。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!