某央企信息系统某央企信息系统安全等级保护测评服务安全等级保护测评服务
汇报沟通材料
王振宇
[1**********]
2013年8月.北京
目录
***信息安全建设项目范围
***信息安全建设项目实施建议
目录
为什么启动信息安全建设项目?
☐信息安全形势严峻
●敌对势力的入侵、攻击、破坏。
●针对基础信息网络和重要信息系统的违法犯罪持续上升。
●基础信息网络和重要信息系统安全隐患严重。
☐企业自身信息安全的需要
●安全无小事,央企更要重视信息安全等级保护;
●信息技术已经成为企业竞争力的关键因素之一,信息安全在企业信息化中有着重要的地位;
●保障业务信息系统安全正常运行,进而保障各部门和单位的职能安全、高速、高效地运转,有利于提升企业在市场上的
竞争力。
☐等级保护是国际上通行的做法
☐ISO27001是国际公认的信息安全标准和最佳实践
为什么启动信息安全建设项目?
法律和政策强制要求
☐《中华人民共和国计算机信息系统安全保护条例》第二章安全保
护制度部分规定:
●“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”
☐《计算机信息系统安全保护等级划分准则》GB17859-1999(技术
法规)规定:
●国家对信息系统实行五级保护。
☐《国家信息化领导小组关于加强信息安全保障工作的意见》重点
强调:
●实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统。
解释--信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公
开信息分类等级进行管理和保护;
等级保护工作的地位和作用
☐维护国家安全的需要
●基础信息网络与重要信息系统已成为国家关键基础设施。
●信息安全是国家安全的重要组成部分。
●信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。☐等级保护制度是国家信息安全保障工作的基本制度、基本国策。是促进信息化、维护国家信息安全的根本保障。————《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
☐等级保护工作是增强企业自身竞争力的需要、是企业开展信息安全工作的基本方法。
☐开展等级保护工作是企业信息化管理部门尽职免责的有效手段。
***信息信息安全建设项目范围安全建设项目范围安全管理体系
等级保护要求
开展等级保护工作的步骤开展等级保护工作的步骤 等级保护的6个规定动作的顺序和相关的角色:
●运营单位自主
●测评机构协助
●其他的单位实施(根据
整改的要求来定)
●运营单位自主备案
●测评机构协助●运营单位自查●行业主管单位定期检查●公安机关定期检查
整改
定级
●测评机构实施
●运营使用单位配合
●运营单位自主定级
●测评机构协助验收测评检查差距测评●测评机构实施●运营使用单位配合
等级保护与ISO27001标准差异比较项目
目标不同
出发点不同
安全分析流程不同
控制方式不同
工作手段不同
视角不同
破坏影响不同等级保护ISO27001
ISO27001和等保融合实施方案
业务系统等级保护目标
解决方案
资产调研
风险评估
脆弱性分析
应用安全分析
信息安全现状
技术
数据流分析
差距测评(含风险评估)
安全技术整改解决方案
实施路
管理
管理体系
资料收集差距分析制度建设
安全管理整改解决方案安全管理制度建设方案
线
参考
等级保护、商业秘密保护技术规范、27001、监管要求
预期项目工作成果
●●●●●●●
系统定级报告
系统安全等级保护备案证明系统安全等级差距测评报告信息系统安全整改方案系统安全等级验收测评报告等级保护培训材料
培训记录(培训计划、培训签到表、对应考核记录)
●一套信息安全管理制度
●项目实施报告(主要包括工作进度表和工作日志)
我们建议的结论
❑❑❑❑❑
进行***所拟定信息系统的等保工作。
协助***建立和发布一二级信息安全管理制度,包括发布配套的信息系统等级保护相关制度。集团信息安全管理体系落地试点。
集团组织下属单位进行信息安全体系推广与等保检查。等保和ISO27001融合实施是很多央企通用做法,是央企最佳实践。
目录
等保和信息安全体系建设项目实施路线图
一阶段
二阶段
等级保护建设咨询
信息安全制度体系建设
集团信息安全管集团下属单位安全体系推广
与检查
☐体系推广
☐信息安全管理
☐安全制度体系架构设计
信息安全体系日常管理(系统定级和测评)
知识转移:现场与课堂培训
运行管理、监控、评估
***开展开展等级等级保护工作的主要内容保护工作的主要内容
客户在每个阶段需要完成的主要工作:
–定级:找出需要定级的系统,根据等保流程进行定级;
–备案:填写备案表,根据流程进行备案;–差距测评:选择测评机构或者自查;–整改:实施整改;
–验收测评:选择测评机构;
–检查:提供给主管机关相关的证明材料和报告。
发布集团等保工作制度
❑
***信息系统建设等级保护标准●本标准规范了在信息系统建设阶段,集团对信息系统服务立项、招投标、
设计、实施和验收各阶段提出的等级保护合规性标准。
●集团和下属公司的信息系统建设服务通过遵守本标准以满足国家和集团对等级保护的强制性要求。
●有助于及时发现信息系统中存在的安全缺陷和安全隐患,以便及时和信息系统承建单位协调,按照系统安全目标提出整改意见,以期系统按照标准达到预期的、满足建设单位需求的和国家有关规范的安全指标。☐***信息系统等级保护管理规范
●本规范用于管理在各类信息系统上线或投入生产运营后,按照本规范全面开展等级保护建设和管理工作。。本管理规范在等保定级、备案、差距测评、建设整改、验收测评、自查完善等方面提出了一般规定和管理要求。☐***信息系统等级保护审核标准及方法
●本审核标准规范了***信息系统等级保护审核方面的一般规定和审核要求。
●用于支持内外审检查工作,指导制定不合规项的整改计划,监督纠正整改的执行情况。
安全落实与监督检查
●从发布的各项策略、制度中提取检查点,制定相关检查标准、考核方式,制订检查计划,落实责任人
●每次检查可以侧重不同,有些是针对员工行为,有些是针对系统操作。记录检查结果,确定不符合●●
整改计划,落实责任人,追踪整改做统计分析,判断改进趋势
安全控制点落地的活动
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 安全岗位职责与安全控制要求映射;职责分离;
全员宣贯和知识转移;纵深防御;安全检查;安全审计;等保测评;安全整改;
信息系统建设等级保护;合规管理。
全方位的宣传推广促进落地全方位的宣传推广促进落地
全方位的宣传推广促进落地全方位的宣传推广促进落地
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第21
页
信息安全建设项目实施效果和收益信息安全建设项目
•***集团建立了制度化的信息安全管理体系,发布一套安全管理制度,进一步明确集团安全工作要求,明确总部和下属单位之间的信息安全工作职责的边界,做到尽职免责;•全面实施集团总部的信息安全等级保护工作,达到主管机构和公安机关的合规要求,做到尽职免责;
•全面提升集团总部员工信息安全意识,开展有针对性的安全整改,切实提升集团总部信息安全防护能力;•为集团未来信息安全建设提供依据。
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第22页
等保案例1
•首先进行ISO27001体系咨
询
•然后进行等保相关工作
•制定集团等保相关管理制
度
•确保等保相关管理制度融
合入ISO27001体系中
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第23页
等保案例2
•同步并行建设等保和ISO27001制度框架集合;
•通过ISO27001咨询建设符合等保标准要求的信息安全制度体系;
•差距分析阶段同步满足ISO27001和等保的要求;
•集团发布的信息安全管理制度, 同时符合ISO27001和等保的要求;
•制定《交建信息系统建设等级保护标准》、《交建信息系统等级保护管理规范》、《交建信息系统等级保护审核标准及方法》等保相关管理制度。
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第24页
等保案例2
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第
25页
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第26页
某央企信息系统某央企信息系统安全等级保护测评服务安全等级保护测评服务
汇报沟通材料
王振宇
[1**********]
2013年8月.北京
目录
***信息安全建设项目范围
***信息安全建设项目实施建议
目录
为什么启动信息安全建设项目?
☐信息安全形势严峻
●敌对势力的入侵、攻击、破坏。
●针对基础信息网络和重要信息系统的违法犯罪持续上升。
●基础信息网络和重要信息系统安全隐患严重。
☐企业自身信息安全的需要
●安全无小事,央企更要重视信息安全等级保护;
●信息技术已经成为企业竞争力的关键因素之一,信息安全在企业信息化中有着重要的地位;
●保障业务信息系统安全正常运行,进而保障各部门和单位的职能安全、高速、高效地运转,有利于提升企业在市场上的
竞争力。
☐等级保护是国际上通行的做法
☐ISO27001是国际公认的信息安全标准和最佳实践
为什么启动信息安全建设项目?
法律和政策强制要求
☐《中华人民共和国计算机信息系统安全保护条例》第二章安全保
护制度部分规定:
●“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”
☐《计算机信息系统安全保护等级划分准则》GB17859-1999(技术
法规)规定:
●国家对信息系统实行五级保护。
☐《国家信息化领导小组关于加强信息安全保障工作的意见》重点
强调:
●实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统。
解释--信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公
开信息分类等级进行管理和保护;
等级保护工作的地位和作用
☐维护国家安全的需要
●基础信息网络与重要信息系统已成为国家关键基础设施。
●信息安全是国家安全的重要组成部分。
●信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。☐等级保护制度是国家信息安全保障工作的基本制度、基本国策。是促进信息化、维护国家信息安全的根本保障。————《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
☐等级保护工作是增强企业自身竞争力的需要、是企业开展信息安全工作的基本方法。
☐开展等级保护工作是企业信息化管理部门尽职免责的有效手段。
***信息信息安全建设项目范围安全建设项目范围安全管理体系
等级保护要求
开展等级保护工作的步骤开展等级保护工作的步骤 等级保护的6个规定动作的顺序和相关的角色:
●运营单位自主
●测评机构协助
●其他的单位实施(根据
整改的要求来定)
●运营单位自主备案
●测评机构协助●运营单位自查●行业主管单位定期检查●公安机关定期检查
整改
定级
●测评机构实施
●运营使用单位配合
●运营单位自主定级
●测评机构协助验收测评检查差距测评●测评机构实施●运营使用单位配合
等级保护与ISO27001标准差异比较项目
目标不同
出发点不同
安全分析流程不同
控制方式不同
工作手段不同
视角不同
破坏影响不同等级保护ISO27001
ISO27001和等保融合实施方案
业务系统等级保护目标
解决方案
资产调研
风险评估
脆弱性分析
应用安全分析
信息安全现状
技术
数据流分析
差距测评(含风险评估)
安全技术整改解决方案
实施路
管理
管理体系
资料收集差距分析制度建设
安全管理整改解决方案安全管理制度建设方案
线
参考
等级保护、商业秘密保护技术规范、27001、监管要求
预期项目工作成果
●●●●●●●
系统定级报告
系统安全等级保护备案证明系统安全等级差距测评报告信息系统安全整改方案系统安全等级验收测评报告等级保护培训材料
培训记录(培训计划、培训签到表、对应考核记录)
●一套信息安全管理制度
●项目实施报告(主要包括工作进度表和工作日志)
我们建议的结论
❑❑❑❑❑
进行***所拟定信息系统的等保工作。
协助***建立和发布一二级信息安全管理制度,包括发布配套的信息系统等级保护相关制度。集团信息安全管理体系落地试点。
集团组织下属单位进行信息安全体系推广与等保检查。等保和ISO27001融合实施是很多央企通用做法,是央企最佳实践。
目录
等保和信息安全体系建设项目实施路线图
一阶段
二阶段
等级保护建设咨询
信息安全制度体系建设
集团信息安全管集团下属单位安全体系推广
与检查
☐体系推广
☐信息安全管理
☐安全制度体系架构设计
信息安全体系日常管理(系统定级和测评)
知识转移:现场与课堂培训
运行管理、监控、评估
***开展开展等级等级保护工作的主要内容保护工作的主要内容
客户在每个阶段需要完成的主要工作:
–定级:找出需要定级的系统,根据等保流程进行定级;
–备案:填写备案表,根据流程进行备案;–差距测评:选择测评机构或者自查;–整改:实施整改;
–验收测评:选择测评机构;
–检查:提供给主管机关相关的证明材料和报告。
发布集团等保工作制度
❑
***信息系统建设等级保护标准●本标准规范了在信息系统建设阶段,集团对信息系统服务立项、招投标、
设计、实施和验收各阶段提出的等级保护合规性标准。
●集团和下属公司的信息系统建设服务通过遵守本标准以满足国家和集团对等级保护的强制性要求。
●有助于及时发现信息系统中存在的安全缺陷和安全隐患,以便及时和信息系统承建单位协调,按照系统安全目标提出整改意见,以期系统按照标准达到预期的、满足建设单位需求的和国家有关规范的安全指标。☐***信息系统等级保护管理规范
●本规范用于管理在各类信息系统上线或投入生产运营后,按照本规范全面开展等级保护建设和管理工作。。本管理规范在等保定级、备案、差距测评、建设整改、验收测评、自查完善等方面提出了一般规定和管理要求。☐***信息系统等级保护审核标准及方法
●本审核标准规范了***信息系统等级保护审核方面的一般规定和审核要求。
●用于支持内外审检查工作,指导制定不合规项的整改计划,监督纠正整改的执行情况。
安全落实与监督检查
●从发布的各项策略、制度中提取检查点,制定相关检查标准、考核方式,制订检查计划,落实责任人
●每次检查可以侧重不同,有些是针对员工行为,有些是针对系统操作。记录检查结果,确定不符合●●
整改计划,落实责任人,追踪整改做统计分析,判断改进趋势
安全控制点落地的活动
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 安全岗位职责与安全控制要求映射;职责分离;
全员宣贯和知识转移;纵深防御;安全检查;安全审计;等保测评;安全整改;
信息系统建设等级保护;合规管理。
全方位的宣传推广促进落地全方位的宣传推广促进落地
全方位的宣传推广促进落地全方位的宣传推广促进落地
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第21
页
信息安全建设项目实施效果和收益信息安全建设项目
•***集团建立了制度化的信息安全管理体系,发布一套安全管理制度,进一步明确集团安全工作要求,明确总部和下属单位之间的信息安全工作职责的边界,做到尽职免责;•全面实施集团总部的信息安全等级保护工作,达到主管机构和公安机关的合规要求,做到尽职免责;
•全面提升集团总部员工信息安全意识,开展有针对性的安全整改,切实提升集团总部信息安全防护能力;•为集团未来信息安全建设提供依据。
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第22页
等保案例1
•首先进行ISO27001体系咨
询
•然后进行等保相关工作
•制定集团等保相关管理制
度
•确保等保相关管理制度融
合入ISO27001体系中
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第23页
等保案例2
•同步并行建设等保和ISO27001制度框架集合;
•通过ISO27001咨询建设符合等保标准要求的信息安全制度体系;
•差距分析阶段同步满足ISO27001和等保的要求;
•集团发布的信息安全管理制度, 同时符合ISO27001和等保的要求;
•制定《交建信息系统建设等级保护标准》、《交建信息系统等级保护管理规范》、《交建信息系统等级保护审核标准及方法》等保相关管理制度。
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第24页
等保案例2
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第
25页
Copyright2013 北京金源动力信息化测评技术有限公司版权所有第26页