【法规名称】
【颁布部门】 公安部
【发文字号】 公信安[2009]1429号
【颁布时间】 2009-10-27
【实施时间】 2009-10-27
【效力属性】 有效
【法规编号】 469889 什么是编号?
【正 文】
第5页 公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函
|
[接上页] 2.4.2.2 设备和介质安全管理 明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。 2.4.2.3 日常运行维护 明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理,制订相应的管理制度和操作规程并落实执行。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统安全管理要求》等。 2.4.2.4 集中安全管理 第三级(含)以上信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。 2.4.2.5 事件处置与应急响应 按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度,第三级(含)以上信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。具体依据《基本要求》中的“系统运维管理”内容,同时可以参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。 2.4.2.6 灾难备份 要对第三级(含)以上信息系统采取灾难备份措施,防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。具体依据《基本要求》中的“系统运维管理”内容和《信息系统灾难恢复规范》。 2.4.2.7 安全监测 开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。具体依据《基本要求》中的“系统运维管理”。 2.4.2.8 其他安全管理 对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。 2.5系统建设管理 制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。具体依据《基本要求》中的“系统建设管理”内容。 2.6安全自查与调整 制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。具体依据《基本要求》中的“安全管理机构”内容,同时可以参照《信息系统安全管理要求》等。信息系统安全管理建设整改工作完成后,安全管理方面的等级测评与安全技术方面的测评工作一并进行。 3安全技术措施建设 按照国家有关规定,依据《基本要求》,参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,开展信息系统安全技术建设整改工作。工作流程见图5。 图5:信息系统安全技术建设整改工作流程(略) 3.1信息系统安全保护技术现状分析 了解掌握信息系统现状,分析信息系统的安全保护状况,明确信息系统安全技术建设整改需求,为安全建设整改技术方案设计提供依据。 3.1.1 信息系统现状分析 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!