牡丹江等保對象定級與備案
涉及到運營��、使用單位�、主管部門����、公安機關(guān)���。
主管部門從行業(yè)特征���、業(yè)務(wù)覆蓋范圍、主要承擔(dān)的社會功能/職能和生產(chǎn)產(chǎn)值等方面梳理所有業(yè)務(wù)情況���。
運營、使用單位針對每個業(yè)務(wù)�����,依據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》標(biāo)準(zhǔn)�����,根據(jù)業(yè)務(wù)信息重要性和系統(tǒng)服務(wù)重要性分析其安全保護要求�����,形成針對主要業(yè)務(wù)的行業(yè)/領(lǐng)域定級指導(dǎo)意見。
運營����、使用單位到主管部門審核���、批準(zhǔn),報公安機關(guān)備案審查����。
牡丹江等保總體安全規(guī)劃
涉及到的角色主要是運營�、使用單位和網(wǎng)絡(luò)安全服務(wù)機構(gòu)�����。該項工作可以由運營�、使用單位獨立完成。也可以由網(wǎng)絡(luò)安全服務(wù)機構(gòu)協(xié)助運營��、使用單位完成����。
1.定需求�����。由于等級已確定�����,因此應(yīng)對照相應(yīng)等級選擇相應(yīng)的要求項作為安全保護需求。
還要注意系統(tǒng)的特殊安全需求��。就是針對等保對象中的重要部件�����,分析其面臨的威脅�,確定需要優(yōu)先實現(xiàn)的除基本安全保護需求之外的特殊安全保護要求��。
2.定安全保障戰(zhàn)略及方針
3.定安全目標(biāo),制定安全策略
4.規(guī)劃技術(shù)體系架構(gòu)和安全管理體系架構(gòu)����,技術(shù)體系架構(gòu)設(shè)計時應(yīng)重點關(guān)注不同等級定級對象之間互聯(lián)時的安全防護策略
牡丹江等保安全設(shè)計與實施
根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將等級保護對象安全總體方案中要求實現(xiàn)的安全策略����、安全技術(shù)體系結(jié)構(gòu)�����、安全措施和要求落實到產(chǎn)品功能或物理形態(tài)上�����,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范���,并將產(chǎn)品功能特征整理成文檔,使得在網(wǎng)絡(luò)安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)�����。
牡丹江等保安全技術(shù)體系設(shè)計與實施:
1.依據(jù)安全需求進(jìn)行總體網(wǎng)絡(luò)結(jié)構(gòu)框架的設(shè)計
2.進(jìn)行安全功能要求和性能要求的設(shè)計
3.結(jié)合當(dāng)前等級保護對象網(wǎng)絡(luò)拓?fù)錁?gòu)、設(shè)計最新的部署方案
4.選購設(shè)備組件�,并對相關(guān)組件實施安全配置
注意:沒有產(chǎn)品能夠?qū)崿F(xiàn)安全措施或需求的時候���,需要專門設(shè)計、開發(fā)�����。
5.將不同的軟硬件產(chǎn)品進(jìn)行集成,綜合����、整合成為一個系統(tǒng)����。
安全管理體系設(shè)計與實施:從組織機構(gòu)、人員����、文檔及建設(shè)過程管理等方面來考慮�。
1.組織機構(gòu)與人員方面:網(wǎng)絡(luò)安全管理機構(gòu)和人員��、網(wǎng)絡(luò)安全維護隊伍�、網(wǎng)絡(luò)安全專家隊伍����、網(wǎng)絡(luò)安全檢查評估審計隊伍
2.文檔方面:高層策略文件、各類管理制度���、具體操作規(guī)程和各類操作記錄稱為四層塔式管理文件體系。
3.安全建設(shè)過程管理:項目實施過程中的一些管理控制要求的實施�����。
牡丹江等保安全運行與維護
包括安全運行與維護機構(gòu)和安全運行與維護機制的建立,環(huán)境、資產(chǎn)��、設(shè)備����、介質(zhì)的管理�,網(wǎng)絡(luò)�����、系統(tǒng)的管理��,密碼�、密鑰的管理��,運行����、變更的管理,安全狀態(tài)監(jiān)控和安全事件處置�����,安全審計和安全檢查等內(nèi)容����。
運營�、使用單位還應(yīng)該做好在異常狀態(tài)下的應(yīng)急和保障工作。
應(yīng)針對不同等級不同類別的安全事件制定相應(yīng)的應(yīng)急預(yù)案����,應(yīng)急預(yù)案應(yīng)盡量覆蓋不同的安全事件���,流程詳細(xì)可操作。
牡丹江等保等級保護對象
等級保護對象定義為:“網(wǎng)絡(luò)安全等級保護工作直接作用的對象�����,包括信息系統(tǒng)����、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源”�。
通信網(wǎng)絡(luò)設(shè)施是指為信息流通、網(wǎng)絡(luò)運行等起基礎(chǔ)支撐作用的網(wǎng)絡(luò)設(shè)備設(shè)施��,典型對象包括電信網(wǎng)�、廣播電視傳輸網(wǎng)�����,以及行業(yè)或單位的跨省專用網(wǎng)(骨干部分)等���;
信息系統(tǒng)是指由計算機或其他信息終端及相關(guān)設(shè)備組成的�����,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集����、加工�����、存儲��、傳輸�����、檢索等處理的系統(tǒng),典型對象即包括辦公自動化系統(tǒng)��、郵件系統(tǒng)等傳統(tǒng)計算機信息系統(tǒng)�����,也包括工業(yè)控制系統(tǒng)����、云計算平臺�����、物聯(lián)網(wǎng)以及使用移動互聯(lián)技術(shù)的信息系統(tǒng)等融合了新技術(shù)新應(yīng)用的新型等級保護對象�;
而數(shù)據(jù)資源的典型例子是大數(shù)據(jù)�。
牡丹江等保安全保護等級
五級����,根據(jù)等保對象(就是3.2.1中的三個東西)在國家安全����、經(jīng)濟建設(shè)、社會生活中的重要程度��,以及一旦遭到破壞���、喪失功能或者數(shù)據(jù)被篡改、泄露�、丟失�����、損毀后����,對國家安全����、社會秩序、公共利益以及公民�����、法人和其他組織的合法權(quán)益的侵害程度等因素來確定等級�����。
牡丹江等保定級要素
定級要素有兩個:“受侵害的客體”和“對客體的侵害程度”。
其中��,受侵害的客體可能是以下三者之一或者組合:
a)公民、法人和其他組織的合法權(quán)益�;
b)社會秩序�����、公共利益����;
c)國家安全�。
對客體的侵害程度歸結(jié)為以下三種:
a)造成一般損害;
b)造成嚴(yán)重?fù)p害��;
c)造成特別嚴(yán)重?fù)p害�。
牡丹江等保受侵害的客體
根據(jù)《中華人和國國家安全法》侵害國家安全的事項主要包括以下方面:
——影響國家政權(quán)穩(wěn)固同和領(lǐng)土主權(quán)����,海洋權(quán)益完整
——影響國家統(tǒng)統(tǒng)一�、民族團結(jié)和社會穩(wěn)定���;
——影響國家社會主義市場經(jīng)濟秩序和文化實力����;
——其他影響國家安全的事項���。
根據(jù)《中華人民共和國治安管理處罰法》,侵害社會秩序的事項主要包括以下方面:
——影響國家機關(guān)�、企事業(yè)單位����、社會團體的生產(chǎn)秩序��、經(jīng)營秩序�、教學(xué)科研秩序��、醫(yī)療衛(wèi)生秩序���;
——影響公共場所的活動秩序���、公共交通秩序;
——影響人民群眾的生活秩序�;
——其他影響社會秩序的事項�����。
公共利益通常是指不特定的社會成員所享有的�����,受法律法規(guī)保護的長遠(yuǎn)利益��,侵害公共利益的事項主要包括以下方面:
——影響社會成員使用公共設(shè)施��;
——影響社會成員獲取公開信息資源���;
——影響社會成員接受公共服務(wù)等方面��;
——其他影響公共利益的事項�����。
公民�����、法人和其他組織的合法權(quán)益是指受法律保護的公民、法人和其他組織所享有的社會權(quán)利和利益等�,如財產(chǎn)、企業(yè)信譽和個人名譽等����。
黑龍江等保測評
等保咨詢熱線:15084670000,15846603791
