【法规名称】
【颁布部门】 公安部
【发文字号】 公信安[2009]1429号
【颁布时间】 2009-10-27
【实施时间】 2009-10-27
【效力属性】 有效
【法规编号】 469889 什么是编号?
【正 文】
第7页 公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函
|
[接上页] 3.2.2.5 应用系统安全设计 对信息系统涉及到的应用系统软件(含应用/中间件平台)进行安全设计,设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据《基本要求》中的“应用安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。 3.2.2.6 备份和恢复安全设计 针对信息系统的业务数据安全和系统服务连续性进行安全设计,设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求;针对信息系统服务连续性的安全设计可考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节,包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据《基本要求》中的“数据安全和备份恢复”内容,同时可以参照《信息系统灾难恢复规范》等。 3.2.3 建设经费预算和工程实施计划 3.2.3.1 建设经费预算 根据信息系统的安全建设整改内容提出详细的经费预算,包括产品名称、型号、配置、数量、单价、总价和合计等,同时应包括集成费用、等级测评费用、服务费用和管理费用等。对于跨年度的安全建设整改或安全改建,提供分年度的经费预算。 3.2.3.2 工程实施计划 根据信息系统的安全建设整改内容提出详细的工程实施计划,包括建设内容、工程组织、阶段划分、项目分解、时间计划和进度安排等。对于跨年度的安全建设整改或安全改建,要对安全建设整改方案明确的主要安全建设整改内容进行适当的项目分解,比如分解成机房安全改造项目、网络安全建设整改项目、系统平台和应用平台安全建设整改项目等,分别制定中期和短期的实施计划,短期内主要解决目前急迫和关键的问题。 3.2.4 方案论证和备案 将信息系统安全建设整改技术方案与安全管理体系规划共同形成安全建设整改方案。组织专家对安全建设整改方案进行评审论证,形成评审意见。第三级(含)以上信息系统安全建设整改方案应报公安机关备案,并组织实施安全建设整改工程。 3.3安全建设整改工程实施和管理 3.3.1 工程实施和管理 安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员,保证建设资金足额到位,选择符合要求的安全建设整改服务商,采购符合要求的信息安全产品,管理和控制安全功能开发、集成过程的质量等方面。 按照《信息系统安全工程管理要求》中有关资格保障和组织保障等要求组织管理等级保护安全建设整改工程。实施流程管理、进度规划控制和工程质量控制可参照《信息系统安全工程管理要求》中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要求,实现相应等级的工程目标和要求。 3.3.2 工程监理和验收 为保证建设工程的安全和质量,第二级(含)以上信息系统安全建设整改工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全性等方面的核查。 工程验收的内容包括全面检验工程项目所实现的安全功能、设备部署、安全配置等是否满足设计要求,工程施工质量是否达到预期指标,工程档案资料是否齐全等方面。在通过安全测评或测试的基础上,组织相应信息安全专家进行工程验收。具体参照《信息系统安全工程管理要求》。 3.3.3 安全等级测评 信息系统安全建设整改完成后要进行等级测评,在工程预算中应当包括等级测评费用。对第三级(含)以上信息系统每年要进行等级测评,并对测评费用做出预算。 在公安部备案的信息系统,备案单位应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评;在省(区、市)、地市级公安机关备案的信息系统,备案单位应选择本省(区、市)信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。 附录: 信息安全等级保护主要标准简要说明 为推动我国信息安全等级保护工作的开展,十多年来,在公安部的领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作奠定了基础。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!