【正文】 第一篇：信息安全等級保護測評TopSec可信等級體系 天融信等級保護方案 更新時間:080327 09:37 來源:硅谷動力 作者:中安網(wǎng)？信息系統(tǒng)與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統(tǒng)是具有不同等級的重要性和社會、經(jīng)濟價值的。對信息系統(tǒng)的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進行區(qū)別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統(tǒng)進行分級、分區(qū)域、分階段進行保護，這是做好國家信息安全的必要條件。信息安全等級保護工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：2003年9月，中辦國辦頒發(fā)《關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰(zhàn)略目標為經(jīng)過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內(nèi)容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉發(fā)《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規(guī)劃與設計、實施與運營、大型復雜電子政務系統(tǒng)等級保護過程。2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。2006年1月，四部委會簽《關于印發(fā)《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。 等級保護的管理結構－北京為例等級保護的實施和落實離不開各級管理機構的指導和監(jiān)督，這在等級保護的相關文件中已經(jīng)得到了規(guī)定，下面以北京市為例來說明管理機構的組成和職責，具體如下圖所示：在等級保護理論被提出以后，經(jīng)過相關部門的努力工作，逐漸提出了一系列原則、技術和框架，已經(jīng)具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：一個機構要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規(guī)范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：（1）政策要求－符合等級保護的要求。系統(tǒng)符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。（2）實際需求－適應客戶實際情況。適應業(yè)務特性與安全要求的差異性，可工程化實施。對系統(tǒng)進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術要求和管理要求，技術上又分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機構、安全管理制度等5項，具體如下圖所示：由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高《基本要求》規(guī)定針對上述問題，在下面幾小節(jié)分別給出了堅決辦法。需求分析－1問題1：標準中從“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)方法：引入體系設計方法需求分析－2“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難需求：準確地進行大系統(tǒng)的分解和描述，反映實際特性和差異性安全要求方法：引入保護對象框架設計方法保護對象框架－政府行業(yè)保護對象框架－電信行業(yè)保護對象框架－銀行業(yè)需求分析－3“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平需求：統(tǒng)一規(guī)劃，集中建設，避免重復和分散，降低成本，提高建設水平方法：引入安全平臺的設計與建設方法平臺定義：為系統(tǒng)提供互操作性及其服務的環(huán)境需求分析－4“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善需求：建立長效機制，建立可持續(xù)運行、發(fā)展和完善的體系方法：建立安全運行體系需求分析－5“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高需求：需要高水平、自動化的安全管理工具方法：TSM安全管理平臺 TNA可信網(wǎng)絡架構模型需求分析－6“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設，將造成分散、重復和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高《基本要求》規(guī)定需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標方法：引入可信計算的理念，提供可信網(wǎng)絡架構－TopSec可信等級體系按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的安全保障體系。實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標特質(zhì)：等級化：突出重點，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求整體性：結構化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運行針對性：針對實際情況，符合業(yè)務特性和發(fā)展戰(zhàn)略安全組織體系安全策略體系安全技術體系安全運行體系某國有大型企業(yè)已經(jīng)采用了我們的可信等級體系，取得了良好的效果。第二篇：《信息安全等級保護測評機構管理辦法》最新信息安全等級保護測評機構管理辦法第一條 為加強信息安全等級保護測評機構管理，規(guī)范等級測評行為，提高測評技術能力和服務水平，根據(jù)《信息安全等級保護管理辦法》等有關規(guī)定，制定本辦法。第二條 等級測評工作，是指等級測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。等級測評機構，是指依據(jù)國家信息安全等級保護制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級測評等信息安全服務的機構。第三條 等級測評機構推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開展。第四條 等級測評機構應以提供等級測評服務為主，可根據(jù)信息系統(tǒng)運營使用單位安全保障需求，提供信息安全咨詢、應急保障、安全運維、安全監(jiān)理等服務。第五條 國家信息安全等級保護工作協(xié)調(diào)小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請，并對其推薦的等級測評機構進行監(jiān)督管理。省級信息安全等級保護工作協(xié)調(diào)（領導）小組辦公室（以下簡稱“省級等保辦”）負責受理本?。▍^(qū)、直轄市）申請單位提出的申請，并對其推薦的等級測評機構進行監(jiān)督管理。第六條 申請成為等級測評機構的單位（以下簡稱“申請單位”）應具備以下基本條件：（一）在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；（二）產(chǎn)權關系明晰，注冊資金100萬元以上；（三）從事信息系統(tǒng)安全相關工作兩年以上，無違法記錄；（四）測評人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；（五）具有信息系統(tǒng)安全相關工作經(jīng)驗的技術人員，不少于10人；（六）具備必要的辦公環(huán)境、設備、設施，使用的技術裝備、設施應滿足測評工作需求；（七）具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等規(guī)章制度；（八）自覺接受等保辦的監(jiān)督、檢查和指導，對國家安全、社會秩序、公共利益不構成威脅；（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務；（十）應具備的其他條件。第七條 申請時，申請單位應向等保辦提交以下材料：（一）《信息安全等級保護測評機構申請表》；（二）從事信息系統(tǒng)安全相關工作情況；（三）檢測評估工作所需軟硬件及其他服務保障設施配備情況；（四）有關管理制度建設情況；（五）申請單位及其測評人員基本情況；（六）應提交的其他材料。等保辦收到申請材料后，應在10個工作日內(nèi)組織初審，并出具初審結果告知書。第八條 通過初審的申請單位，應及時參加指定評估機構組織的測評人員培訓。考試合格的人員，取得等級測評師證書。等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。第九條 指定評估機構應根據(jù)標準規(guī)范對申請單位開展能力評估，出具信息安全等級保護測評機構能力評估報告，并及時將申請單位能力評估有關情況報送等保辦。第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的，頒發(fā)《信息安全等級保護測評機構推薦證書》。省級等保辦應及時將本地等級測評機構推薦情況報國家等保辦，國家等保辦定期發(fā)布公告，在《中國信息安全等級保護網(wǎng)》發(fā)布《全國信息安全等級保護測評機構推薦目錄》。第十一條 下列事項發(fā)生變更時，等級測評機構應在變更后5個工作日內(nèi)向等保辦報告。（一）等級測評機構名稱、地址、測評人員和主要負責人發(fā)生變更的；（二）等級測評機構法人、股權結構發(fā)生變更的；（三）其他重大事項發(fā)生變更的。省級