现在时间: 设为首页| 加入收藏|
长垣市公共资源交易中心

长垣县公共资源交易平台信息系统安全建设、整改、等级测评管理制度

发布时间: 2019-10-14 10:28:26 发布人:长垣市公共资源交易中心 浏览量: 【我要打印】 【关闭】

各科室:

为了加强信息系统安全性、保障通信连续性、需及时对系统进行安全建设、后期整改和等级测评,以确保系统的安全性和通信连续性。根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室印发的《信息安全等级保护管理办法》制定本制度,内容如下:

一、适用范围

适用于对系统安全建设、系统后期整改和有关等级测评的相关人员和机构。

二、职责

主管领导负责安全建设、系统后期整改和等级测评相关项目的决策和审批;

信息技术科负责安全建设、系统后期整改和等级测评项目方案的制定,上报及组织;

信息技术科及其他业务系统负责人负责项目的实施、意见及反馈。

三、系统安全建设

系统安全建设所要解决的主要问题是如何在现有法规政策的允许下,综合考虑当前系统的安全要求,长远规划,以及单位的物力,财力等因素,设计和实施网络信息安全工程。以及在系统工程过程中设计和实施网络信息系统安全模块。

结合行业信息化规划文件,按照同步建设、同步实施的原则,做好系统安全建设工作,制定信息安全建设整体规划及设计,并按照整体规划进行有效的实施。

四、信息系统安全整改

通过开展安全建设整改工作,使各级信息系统应通过安全建设整改分别达到相应等级的安全保护能力。各级信息系统应通过安全建设整改分别达到以下安全保护能力目标:

第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。

第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。

第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。

第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。

通过整合系统现有安全资源、添加系统安全功能模块、技术加固、安全管理体系建设,使系统迅速修补系统安全风险,提升系统整体信息安全防护能力。

信息安全整改活动,一般是针对在等级测评、风险评估、信息安全测试、信息安全检查或信息安全事件中发现的问题而进行的,具有较强的针对性,是对信息系统进行局部安全加固的有效手段。

五、等级测评

信息安全等级测评是落实信息安全等级保护制度的重要环节,通过测评,一是可以掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。从而使信息系统的运营、使用单位对信息系统进行科学的安全规划和整改建设,有针对性的调整信息系统安全策略及防护重点,使系统在技术和管理方面得以加强和完善,确保信息系统的安全平稳运行。

另外,等级测评结果也是公安机关等安全监管部门进行监督、检查、指导的参照。也可以为公安机关进行应急处置及追查取证提供必要的数据基础。

等级测评的工作目标:

1、在消耗较少资源的前提下,检测出系统与标准要求的全部差距;

2、规避测评风险,做到不因等级测评影响系统运行和引入安全风险;

3、测评内容全面、测评过程严谨、测评记录详尽、测评分析清晰、整改建议准确、测评结果客观公正。

本制度从下发之日起执行。

 

 

长垣县公共资源交易管理中心

                                   2019年8月2日


版权所有:河南省长垣市公共资源交易中心 豫ICP备12017875号
中心办公电话:0373-8889330