主页 > 网络安全 > 信息安全

信息安全等级保护建设方案

虚拟屋 2023-07-14 12:50 编辑:admin 62阅读

一、信息安全等级保护建设方案

存储处理国家秘密的计算机实行分级保护。

1.涉密信息系统是有一定的安全保密要求的,按照国家有关标准,涉密信息系统的建设是需要达到较高的安全等级的计算机系统。将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。

2.国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。同时对涉密信息系统采取技术保护的规定为:涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。

二、信息安全等级保护安全建设服务机构

信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。其中,初级等级测评师又分为技术和管理两类。三级等级测评师能力要求如下:

1)初级等级测评师

● 了解信息安全等级保护的相关政策、标准;

● 熟悉信息安全基础知识;

● 熟悉信息安全产品分类,了解其功能、特点和操作方法;

● 掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;

● 掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;

● 能够按照报告编制要求整理测评数据。

2) 中级等级测评师

● 熟悉信息安全等级保护相关政策、法规;

● 正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;

● 掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;

● 具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;

● 能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;

● 能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;

● 具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;

●了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合 理化的整改建议。

3) 高级等级测评师

● 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;

● 对信息安全等级保护标准体系及主要标准有较为深入的理解;

● 具有信息安全理论研究的基础、实践经验和研究创新能力;

● 具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;

● 熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。

2.培训及考试对象

信息安全等级测评师培训及考试对象是等级测评机构中从事等级测评工作的测评人员。要求这些人员在具备信息安全基础知识及相关测评经验的前提下,参加初级、中级或高级等级测评师的专门培训和考试,从而满足等级测评工作岗位的需要。

1)初级等级测评师

● 初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。

● 报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP 网络协议,了解标识与鉴别、访问控制等安全技术及原理,熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。

2)中级等级测评师

● 中级等级测评师的培训对象是项目负责人(或项目组长)。

● 报考人员需要具备信息安全理论基础,对系统安全、网络安全、应用安全等有深入了解,作为项目负责人组织实施过信息系统安全测评项目,熟悉国内外信息安全相关产品的特性,具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。

3) 高级等级测评师

● 高级等级测评师的培训对象是技术负责人(或技术总监)。

● 报考人员需要具备信息安全理论基础,具有信息安全理论、信息安全技术的研究和实践经验,从事过网络信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性,熟悉信息安全技术发展动向。

3.报名

3.1报名申请

各测评机构依照“岗位对应,比例协调”的原则组织本单位测评人员报名参加等级测评师培训和考试。测评机构的一般测评人员、项目负责人(或项目组长)和技术负责人(或技术总监)三个工作岗位分别报考初级、中级和高级等级测评师。测评机构按照65%、30%和5%的比例推荐本单位测评人员报名参加初、中、高级等级测评师的培训和考试(其中,初级等级测评师又分为技术和管理两类)。例如,一个测评机构有测评人员15名,按照初级(技术)8名,初级(管理)2名,中级4名,高级1名的比例报名。

3.2报名确认

申报单位要确保报名人员信息填写真实、完整,并提供相关证明材料。一旦发现弄虚作假、隐瞒情况等将取消报考资格。评估中心将对测评机构的报名比例和人员信息进行核实。

3.3报名交费

培训和考试费以测评机构为单位,依据《等级测评师培训及考试收费标准》统一交纳。报名交费可以采用汇款或支票的方式。

4.培训

评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训,通过培训后方可参加相应的等级测评师考试。人员培训采用网上培训和集中培训相结合的方式。网上培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后,参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。评估中心提前公布集中培训计划,集中培训原则上根据报名情况具体安排培训时间和地点。

4.1培训课程安排

级别

培训课程

课程设置目的

初级

信息安全等级保护政策

了解信息安全等级保护的相关政策、标准。

等级保护相关标准应用

了解信息安全等级保护的相关标准及应用。

网络安全测评

熟悉网络测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;

能够按照报告编制要求整理测评数据,开展等级测评工作。

主机安全测评

熟悉主机测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;

能够按照报告编制要求整理测评数据,开展等级测评工作。

应用和数据安全测评

熟悉应用和数据库安全测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;

能够按照报告编制要求整理测评数据,开展等级测评工作。

安全管理和物理测评

熟悉安全管理和物理测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;

能够按照报告编制要求整理测评数据,开展等级测评工作。

工具测试方法

掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据。

中级

信息安全等级保护政策

熟悉信息安全等级保护相关政策、法规。

等级保护相关标准应用

正确理解信息安全等级保护标准体系和主要标准内容。

信息系统安全等级保护基本要求

熟悉标准结构,熟悉不同级别系统之间的差别、熟悉各级安全要求内容。

信息系统安全等级保护测评方法

熟悉信息安全等级测评方法,能够独立开发测评指导书,并熟悉测评指导书的开发、版本控制和评审流程;

能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;

能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。

信息系统安全等级保护测评实施

熟悉等级测评项目的工作流程和质量管理的方法。

项目管理

熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。

高级

信息安全等级保护政策

熟悉信息安全等级保护相关政策、法规。

等级保护相关标准应用

正确理解信息安全等级保护标准体系和主要标准内容。

美国信息系统安全保护政策和标准

熟悉和跟踪国外信息安全的相关政策、法规及标准的发展。

我国信息安全标准体系

熟悉信息安全等级保护标准体系及主要标准。

信息安全技术发展趋势

掌握网络与信息安全的理论基础和发展趋势。

信息系统测评原理与方法

掌握系统测评的原理和方法以及测评过程。

测评机构的质量体系建设

熟悉质量体系和制度建设的主要内容。

4.2参考教材

信息安全等级测评师培训主要参考教材:

《信息安全等级保护政策培训教程》(电子工业出版社)

《信息安全等级测评师培训教程(初级)》(电子工业出版社)

《信息安全等级测评师培训教程(中级)》(电子工业出版社)

5.考试

5.1考试方式

1)初级等级测评师

初级测评师考试采用笔试的方式,满分100分,合格分数线为60分;笔试时间为120分钟。

2)中级等级测评师

中级等级测评师考试采用笔试加面试的方式,满分100分, 笔试和面试成绩各占50分,合格分数线为60分;笔试时间为120分钟,面试时间为15分钟。

评估中心组织专家对参加中级等级测评师考试的考生进行面试。参加面试人员需要介绍本人参加过的系统测评项目的情况及承担的主要工作(5分钟),专家通过质询及评审相关材料对面试人员的能力进行考评。(评审相关材料主要包括测评指导书和等级测评报告,等级测评机构派专人将面试人员负责编写的测评指导书和测评报告送达面试现场,面试结束后收回,做好报告在外出携带期间的安全保管。)

3)高级等级测评师

高级等级测评师考试采用笔试加面试的方式,满分100分,笔试占40分,面试占60分;笔试时间为100分钟,面试时间为20分钟。

评估中心组织专家对参加高级等级测评师考试的考生进行面试。参加面试人员需要提交本人工作总结,并简要介绍主要项目经历(5分钟)。专家通过质询及评审相关材料对面试人员的能力进行考评。

5.2考试时间

等级测评师笔试时间安排在集中培训后进行,在笔试结束后进行中、高级等级测评师的面试。评估中心将提前公布笔试及面试具体时间安排。

5.3成绩公布

考试结束五个工作日后,评估中心公布考试通过人员名单。应考人员对考试结果有异议的,应当在考试结果公布之日起五日内向评估中心提出成绩查询申请。评估中心按照成绩查询程序受理,并在五个工作日内反馈查询结果。

未通过考试的人员,可以免费参加一次集中培训,但参加考试需要重新报名和交费。

5.4考试纪律

考生参加考试时凭身份证和准考证入场,否则不允许参加考试。考生应当遵守《等级测评师考试考场规则》,违反考场规则的,将依据《等级测评师考试违纪作弊处理规则》对其进行处理。

报名参加考试的人员,有违反考试规定或弄虚作假的,两年内不受理其考试报名申请;已经参加考试的,取消考试成绩。

6.证书

6.1证书获取

在考试结果公布后,评估中心统一印制并颁发《信息安全等级测评师证书》和《等级测评师证》。证书颁发以测评机构为单位,通过测评机构转发给获证人员。

6.2证书使用

等级测评人员工作期间需佩戴《等级测评师证》,接受公安部门和评估委托单位的监督。

《信息安全等级测评师证书》和《等级测评师证》应当妥善保管,不得涂改、出借、出租和转让。

6.3证书换发

《信息安全等级测评师证书》和《等级测评师证》如有遗失,应当由所在测评机构出具证明,并向评估中心申请挂失。《信息安全等级测评师证书》和《等级测评师证》因损毁影响使用的,可以向评估中心申请更换新证书,更换新证书的,原证书应当收回。

三、信息安全等级保护工作

信息系统安全等级保护备案办理流程:

1、摸底调查:摸清信息系统底数,掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象:应用系统应按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批:运营使用单位或主管部门在确定系统安全保护等级后,可以聘请专家进行评审。

5、备案:备案单位准备备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续。

6、备案审核:受理备案的公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确审核。

7、系统测评:第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施:根据测评结果进行安全要求整改。注释:不同地区,办理的条件及要求会有所不同。

四、信息安全等级保护建设包括

网络信息系统安全等级保护分为五级,一级防护水平最低,最高等保为五级。

区别如下:

第一级(自主保护级):一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息统

信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级(指导保护级):一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级(监督保护级):一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。

信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级(强制保护级):一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级(专控保护级):一般适用于国家重要领域、重要部门中的极端重要系统。

信息系统受到破坏后,会对国家安全造成特别严重损害。

五、信息安全等级保护建设整改差距分析

中文名:安全等级

定义医学上用来治疗疾病或针对疾病,症状的治疗方法和手段

一般分为四个安全等级:

安全等级

一级BEL1:此等级中的方法主要起到预防,辅助作用。

安全等级二级BEL2:此等级中的方法主要是针对某一种疾病或某一个症状起到治疗的作用。

安全等级三级BEL3:此等级中的方法可以针对 多个疾病或多个症状进行治疗此等级中的某些方法要求保密,非经允许禁止使用和查看。

安全等级四级BEL4:此等级中的方法可以治疗所有的疾病和症状!此等级中的方法强制保密严禁外泄!非经允许严禁使用,严禁查看!

六、信息安全等级保护建设工程师

有很多朋友从事于工程类安全生产管理行业,但不确定自己是否属于安全工程技术人员。今天,学吧考培教育经过收集整理,给大家带来了安全工程技术人员的相关解释说明。接下来让我们一起瞅一瞅~

一、有关安全工程技术人员定义

原人事部、劳动部《关于印发<安全工程专业中、高级技术资格评审条件(试行)>的通知》(人发〔1997〕109号)有关规定第二条 本评审条件中所指“安全工程专业技术人员”,是指在国民经济各部门、各行业中从事安全科学技术研究、开发与推广,安全工程设计施工、安全生产运行控制,安全检测检验、监督监察、评估认证,事故调查分析与预测预防,安全工程专业教育与技术培训等工作的专业技术人员。

二、安全技术人员从事的工作场所和负责内容

(一)劳动安全工程生产场所易燃、易爆、易塌落及其他可能造成人员伤亡的环境、设备或物质的监测、控制技术,危险品储运的安全控制技术;危险源、事故隐患的识别、评价、分级技术;劳动安全工程技术研究,劳动安全工程设计、施工和评估及与此有关的实验测试研究;劳动安全防护用品研制、开发;劳动安全技术标准、技术文件的制订、修订和其他有关的技术工作。

(二)劳动卫生工程生产场所有毒、有害因素的监测、控制技术;职业危害的识别、评价、分级技术;劳动卫生工程技术研究,劳动卫生工程设计、施工和评估及与此有关的实验测试研究;劳动卫生防护用品研制、开发;劳动卫生技术标准、技术文件的制订、修订和其他有关的技术工作。

(三)特种设备安全工程承压设备安全工程或起重设备安全工程中的科学技术或信息系统的研究、开发与推广、规划设计与实施;安全生产运行控制;检测检验、监控、监督监察与评估认证;事故调查分析与预测预防;特种设备安全技术标准、技术文件的制订、修订和其他有关的技术工作。

(四)安全检测检验技术

1.生产场所安全生产条件、安全卫生设施、劳动防护用品的特种设备安全性能检测检验和评价方法、技术研究;安全检测检验仪器设备研制开发、标定校准、安装调试、运行控制和维护维修;安全检测检验技术标准、技术文件的制订、修订和其他有关的技术工作。

2.综合性专职安全检测检验工作。

(五)安全系统工程安全工程总体规划与系统设计;安全工程监督与综合性技术标准、技术文件的研究制定;事故危害预测预防与咨询建议、事故调查分析与安全综合评估;安全工程专业教育与技术培训等。

三、安全技术人员的职业详细名称分类

《中华人民共和国职业分类大典》(2015版)规定安全工程技术人员职业编码:2-02-28(GBM 20228)

(1)2-02-28-01 安全防范设计评估工程技术人员从事安全防范系统工程规划、设计、安全防范风险和系统防护效能评估并指导实施的工程技术人员。

主要工作任务:

1.识别、分析和评价被防护对象的安全防范风险、编制系统建设规划;

2.研究、设计被防护对象、系统自身的防护方案和系统工程施工技术方案;

3.制定系统工程施工方案和施工计划,并指导工程施工;

4.编制系统操作手册和报警处置预案;

5.分析、评价系统防护效能,并出具评价报告;

6.进行安全防范技术咨询。

(2)2-02-28-03 安全生产管理工程技术人员从事安全生产工作计划、组织、实施、监督、检查的工程技术人员。

主要工作任务:

1.制定安全生产工作思路、落实安全生产事项;

2.制定安全生产计划、目标、岗位安全操作规程并指导实施;

3.组织编制安全技术措施应用和安全培训方案。

4.制定安全检查计划,监督、检查安全生产状况,进行事故危害预防预测,分析、评 估、处理事故,进行伤亡事故统计、报告;

5.制定、评估重大隐患的整改方案;

6.组织编写生产安全事故应预案,组织生产安全事故应急演练;

7.进行职业卫生预防预测。

(3)2-02-28-04 安全评价工程技术人员从事生产安全风险度分析、事故影响范围预测、损害程度估算并制订防范措施的工程技术人员。

主要工作任务:

1.收集案例资料,编制生产安全危险有害因素辨识、分析方案。

2.实地勘查、测量、辨识、定性分析危险有害因素,确定危险源;

3.量化计算风险度,预测可能发生事故的部位、原因、影响范围、损害程度;

4.制定防范生产安全风险的技术、管理措施并指导实施;

5.提供生产安全风险评价咨询服务,编制评价报告。

如果你立志从事于安全生产管理行业,还未考取相关技术证书,想咨询更多相关行业咨询,可以点击下方“联系我们”。

七、信息安全等级保护建设专业技术人员证书

是因为官方的安全证书有问题,可能已经被吊销了。一般不建议打开这样的网站,但是如果非要打开的是IE受限的网站的话,如果非要打开不可的话,可以通过如下操作解除对吊销的安全证书的限制:1.打开IE浏览器的“属性”或者打开“Internet选项”(由于大多数浏览器都是使用IE为内核的,基本没有差别);2.选择“高级”选项;3.下拉选项单“安全”下有一项“检查服务器证书吊销”,将此项的“√ ”去掉;4.关闭浏览器,重新打开网页。

关于安全证书:安全证书是用来唯一确认安全电子商务交易方身份的工具。持卡人安全证书是付款卡的一种电子表示。由于它由证书管理中心做了数字签名,因此,任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。所以安全证书是用来保证用户的隐私安全的。网站出现安全证书无效的提示,说明您访问的网站没有取得有效的SSL证书,无法证明网站的合法性,该网站可能是一个仿冒网站。在此网站输入您的账户密码信息时,有可能导致信息泄露。另外,修改本地时间也可能导致SSL证书无效的提示。

八、信息安全等级保护建设情况汇报

这是我部门关于安全工作的总结。汇报完毕,请各位领导指示。

九、信息安全等级保护建设服务机构能力评估合格证书

大学英语四级口语考试等级评定C+算合格,有证书。

大学英语四级口语考试总分为15分,分为A、B、C和D四个等级。C等以上者将获得由教育部高教司颁发的注有CETSpokenEnglishTest成绩等级的CET证书。

A等能用英语就熟悉的题材进行口头交际,基本上没有困难。

B等能用英语就熟悉的题材进行口头交际,虽有些困难,但不影响交际。

C等能用英语就熟悉的题材进行简单的口头交际。

D等尚不具有英语口头交际能力。

大学英语四、六级考试已引起全国各高等院校及有关教育领导部门对大学英语教学的重视,调动了师生的积极性。英语四六九符合大规模标准化考试的质量要求,能够按教学大纲的要求反映我国大学生的英语水平,因此有力地推动了大学英语教学大纲的贯彻实施,促进了我国大学英语教学水平的提高。