一起看等级保护重要政策文件之2008年有关文件(下)

admin 2022年6月13日10:41:40评论22 views字数 2250阅读7分30秒阅读模式
众所周知2008年是奥运年,信息安全工作的重要性更为凸显,从有关资料我们知道,所有涉奥信息网络经受了大流量访问、网络入侵攻击等各种考验,没有发生一起网络中断、系统瘫痪的重大网络安全事件,确保了奥运会的顺利进行。以奥运官方网站、竞赛网、票务系统、奥组委内外办公网等奥运会核心网络以及31个为奥运提供保障服务的重要信息系统为重点,严格落实国家信息安全等级保护制度,组织开展了信息系统定级、备案、安全测评和渗透性攻击测试、风险评估,及时发现漏洞、安全隐患和问题,督促有关部门进行整改,提高了涉奥信息网络的安全防护能力。经验证明,落实等级保护制度,开展风险评估等工作是提高重要信 息系统安全防范能力、抵御攻击能力的有效措施奥运会的成功举办,而主要的信息系统经受住了考验,以坚实的事实基础为我国的等级保护从试点到全面铺开,提供了扎实的现实案例。


一起看等级保护重要政策文件之2008年有关文件(下)

2008年8月6日发改委、国家保密局、公安部三部委共同发布了《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技(2008)2071号),该文件是为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),加强基础信息网络和重要信息系统安全保障,按照《国家电子政务工程建设项目管理暂行办法》(国家发展和改革委员会令[2007]第55号)的有关规定,加强和规范国家电子政务工程建设项目信息安全风险评估工作而制定的。信息安全风险评估的主要内容包括:分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等

一起看等级保护重要政策文件之2008年有关文件(下)

通知要求对非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制,风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》(见附件)编制。
这里我们看到在通知文件里有《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》的附件,为我们提供了风险评估报告的协作参考依据,为我们开展风险评估工作的协调一致性,提供了有力参考,也为我们了解风险评估提供了一定的便利性。非涉密信息系统的信息安全风险评估,由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担。这从另一个侧面说明,公安部信息安全等级保护评估中心这支力量在等级保护工作开展过程中,不断积蓄了良好的经验,为后期等保的铺开做好了铺垫。
通知提到,项目建设单位应在项目建设任务完成后试运行期间,组织开展该项目的信息安全风险评估工作,并形成相关文档,该文档应作为项目验收的重要内容。项目建设单位向审批部门提出项目竣工验收申请时,应提交该项目信息安全风险评估相关文档。非涉密信息系统安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估报告等。电子政务项目信息安全风险评估经费计入该项目总投资。电子政务项目投入运行后,项目建设单位应定期开展信息安全风险评估,检验信息系统对安全环境变化的适应性及安全措施的有效性,保障信息系统的安全可靠。
在这个通知文件里,要求提供信息系统安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估报告等,并在通知中给出了风险评估报告格式模板。
另外,同年9月24日国家发展改革委发布了《关于进一步加强国家电子政务工程建设项目管理工作的通知》(发改高技[2008]2544号)中,强调了项目建设部门要进一步加强电子政务项目的信息安全工作。根据国家关于信息安全

等级保护和涉密信息系统分级保护的有关规定, 项目建设部门在电子政务项目的需求分析报告和建设方案中,应同步落实等级保护和分级保护的相关要求,形成与业务应用紧密结合、技术上自主可控的信息安全解决方案。项目建设中应切实落实有关信息安全解决方案, 完成相关的建设内容。电子政务项目建设任务完成后试运行期间, 项目建设部门应组织开展信息安全风险评估工作, 具体要求请按《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071 号)执行。

2008年的一系列政策以及扎实的工作,为2009年的政策文件《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安【2009】1429号)和公安部组织开展信息安全等级保护测评机构体系建设试点工作。奠定了基础,到2009年在网络安全保卫局统一领导下,浙江、河南、重庆、广东省公安厅、局公共信息网络安全监察总队以及宁波、深圳市公安局公共信息网络安全监察支队、国家电力监管委员会信息中心率先进入试点,其中我河南省也在第一批试点名单中,也就是2009年正式开启等级保护1.0试点,随后全国测评机构开始大量注册,大批人才人开始涌向安全行业的等级保护这个分支,才形成了今天等保2.0下的众多等保人为等级保护制度贡献青春的大好局面。

印度克隆版抖音:黑客可以轻松入侵Chingari应用程序帐户
小型企业网络安全指南
网络安全等级保护政策
工控安全相关资讯
微软补丁日汇编
恶意软件之“十恶不赦”排行榜

回复“3019”获取 2071

原文始发于微信公众号(祺印说信安):一起看等级保护重要政策文件之2008年有关文件(下)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月13日10:41:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一起看等级保护重要政策文件之2008年有关文件(下)https://cn-sec.com/archives/1111762.html

发表评论

匿名网友 填写信息