等级保护测评第八期_精品文档PPT资料.ppt
《等级保护测评第八期_精品文档PPT资料.ppt》由会员分享,可在线阅读,更多相关《等级保护测评第八期_精品文档PPT资料.ppt(269页珍藏版)》请在冰豆网上搜索。
法人及主要业务、技术人员无犯罪记录;
使用的技术装备、设施应当符合本办法对信息安全产品的要求;
具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
对国家安全、社会秩序、公共利益不构成威胁。
1.1.5广东省安全保护条例对测评要求第十二条第十二条第二级以上计算机信息系统建设完成后,运营、第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
统安全等级状况开展等级测评,测评合格后方可投入使用。
第十三条第十三条计算机信息系统的运营、使用单位及其主管部计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。
施的落实情况进行自查。
计算机信息系统安全状况经测评或者自查,未达到安全计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。
等级保护要求的,运营、使用单位应当进行整改。
广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法
(一)
(一)第二十二条我省对测评机构实施备案制度。
符合第二十一条规定的条件,承担第二级以上的计算机信息系统测评工作的机构应当到省公安厅公共信息网络安全监察部门备案。
第二十五条第二级以上的计算机信息系统建设完成后,使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。
测评活动应当接受公安机关公共信息网络安全监察部门的监督。
广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法
(二)
(二)第二十六条计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料:
(一)安全测评委托书;
(二)计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。
第二十七条安全测评机构在收到委托材料后,应当与委托方协商制订安全测评计划,开展安全测评工作,并出具安全测评报告。
经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求,委托单位应当根据测评报告的建议,完善计算机信息系统安全建设,并重新提出安全测评委托。
测评机构对计算机信息系统进行使用前安全测评,应当预先报告地级以上市公安机关公共信息网络安全监察部门。
安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。
广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法(三)三)第二十二条我省对测评机构实施备案制度。
广东省信息安全等级测评机构管理办法广东省信息安全等级测评机构管理办法(试行(试行)信息安全等级测评机构:
是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。
信息安全等级测评应当坚持实事求是、客观公正的原则,保证测评活动的独立性和测评结论的准确性。
安全测评活动应当遵循合法客观的原则,不得以盈利为目的。
省公安厅公共信息网络安全监察部门对已备案的信息安全等级测评机构进行公布。
备案证书分为正本和副本,正本和副本具有同等效力。
1.1.10广东省信息安全等级测评工作细则广东省信息安全等级测评工作细则(试行)计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:
(一)变更关键部件;
(二)安全测评时间满一年;
(三)发生危害计算机信系统安全的案件或安全事故;
(四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评;
(五)其他应当进行安全自查和安全测评的情形。
申请单位认为安全测评报告的合法性和真实性存在重大问题的,可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉,提交异议申诉书及有关证明材料。
1.1.11广东省转发开展电子政务信息安全风险评估广东省转发开展电子政务信息安全风险评估省发改委、省公安厅、省保密局转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(粤发改高2009182号文)省电子政务项目应开展信息安全等级测评和风险评估工作,作为项目竣工验收的重要内容。
非涉密项目在完成后试运行期间,向相关评测机构提出评估申请。
评测机构与承建单位原则上不能为同一家。
等级测评和风险评估费用计入项目总投资。
1.1.12公安部对测评机构的明确要求公安部对测评机构的明确要求对等级测评机构管理相关问题进行了明确,要求开展等级测评的单位不得从事下列活动:
一是承担信息系统安全建设整改工作;
二是将等级测评任务分包、外包;
三是信息安全产品开发、营销和信息系统集成活动;
四是限定被测评单位购买、试用其指定的信息安全产品;
五是未经许可占有、使用被测评单位有关信息、资料及数据文件。
1.1.13关于明确信息安全等关于明确信息安全等级级保保护测评护测评机构管理有关事机构管理有关事项项的通知的通知一、进一步规范测评服务管理。
一、进一步规范测评服务管理。
根据公安部十一局要求,为确保测评活动的公正性,承担测评工作的机构不宜从事信息安全整改、集成服务。
二、提高测评工作装备水平。
为统一工具标准,我总队制定了信息安全等级保护测评工具选用指引(以下简称指引),对测评所需的必备工具和选用工具进行了明确。
三、推动信息安全等级保护整改。
各级公安网监部门要按照广东省深化信息系统安全等级保护工作方案要求,加大各类测评机构和安全服务机构的监督指导力度,发挥其作用,为信息系统运营、使用单位、主管部门提供差距评估、整改方案制订和实施、安全测评等服务,大力推动信息系统的安全整改,切实推动我省信息安全等级保护工作深入开展。
1.1.14广东省成立等级保护专家委员会广东省成立等级保护专家委员会广东省成立信息安全等级保护专家委员会参与对我省重要单位和行业信息安全等级保护定级和安全设计、整改、测评方案的审查、论证和指导。
1.1.15广东省等级保护测评机构广东省等级保护测评机构关于发布广东省信息安全等级保护测评机构的公关于发布广东省信息安全等级保护测评机构的公告告(粤等保办(粤等保办20103号)号)供我省信息系统运营、使用单位、主管部门选用提供各类测评服务(差距评估、验收性测评、年度测评工作)。
1、广州竞远系统网络技术有限公司2、中国赛宝实验室(工业和信息化部电子第五研究所)3、广州华南信息安全测评中心4、深圳市信息安全测评中心5、深圳市网安计算机安全检测技术有限公司第一部分等级保护测评基础
(2)测评和测评机构的概念1.2.1等级保护测评基本概念等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
通过信息安全等级测评机构对已完成的等级保护建设的信通过信息安全等级测评机构对已完成的等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
符合相应等级的安全要求。
1.2.2等级保护测评的执行主体等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。
只有独立的第三方,才能保证测评工作的客观性和公正性。
1.2.3等级保护测评机构的质量保证开展等级保护测评机构通常符合(质量管理)GB/T15481检测和校准实验室能力的通用要求,通过计量认证和实验室认可。
通过检查机构认可1.2.4等级保护测评机构的职责
(一)依据信息安全等级保护有关管理规范和技术标准等文件,对申请单位进行信息安全保护等级测评;
(二)按照国家信息安全等级保护的要求,依据信息安全等级保护的相关标准和规范,为广东省在推进信息安全等级保护工作过程中的监督、检查、指导等行政执法工作提供专业技术支持;
(三)接受信息系统运营、使用单位或主管部门的测评委托进行信息安全等级保护测评;
(四)出具符合信息安全等级保护管理办法的技术检测评估报告,测评结论作为公安机关发放信息安全保护等级备案证明的依据。
1.2.5测评机构承担的主要义务从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全
升级会员 