文檔信息
|
文檔名稱
|
世界杯官网等級保護管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
修訂摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
1
|
審閱
|
2020-10-18
|
|
|
2
|
正式核准發布
|
2020-10-18
|
|
|
3
|
|
|
|
一 總則
目的。爲進一步加強世界杯官网信息安全建設項目驗收的管理,更好地規範項目驗收工作,爲項目驗收工作提供依據,確保信息安全系統項目建設的質量,依據《世界杯官网信息安全管理辦法》制定本管理制度。
對象及範圍。本制度規定了信息安全建設項目的驗收流程和方法,適用于在信息安全建設項目實施完畢後的驗收和交付工作。
要求。世界杯官网信息系統的等級保護安全管理要求統一遵循《GB/T 22239-2019信息安全技術 信息系统安全等級保護基本要求》。
二 系統定級
信息系統定級工作应按照“自主定級、專家評審、主管部門審批、公安機關審核”的原則進行。
定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等級保護定级工作的通知》(公通字〔2007〕861號)要求執行。
各信息系统运营使用单位和主管部门是信息安全等級保護的责任主体,根据所属信息系統的重要程度和遭到破坏后的危害程度,确定信息系統的安全保护等级。
信息系統應參照《信息安全技術 信息系统安全保护等级定级指南》等标准中规定的信息系统安全等級保護定级方法开展系統定級工作。
確定信息系統安全保護等級的一般流程如下:
(1)確定作爲定級對象的信息系統;
(2)確定業務信息安全受到破壞時所侵害的客體;
(3)根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度;
(4)根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度,得到業務信息安全保護等級;
(5)確定系統服務安全受到破壞時所侵害的客體;
(6)根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度;
(7)根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度,得到系統服務安全保護等級;
(8)將業務信息安全保護等級和系統服務安全保護等級的較高者確定爲定級對象的安全保護等級。
定級對象等級確定後,應編制定級報告。
在信息系統的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应重新定级和备案。
信息系統的安全保护等级确定后,应当按照国家信息安全等級保護管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第三級以上信息系統應當選擇使用符合以下條件的信息安全産品:
(1)産品研制、生産單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內具有獨立的法人資格;
(2)産品的核心技術、關鍵部件具有我國自主知識産權;
(3)産品研制、生産單位及其主要業務、技術人員無犯罪記錄;
(4)産品研制、生産單位聲明沒有故意留有或者設置漏洞、後門、木馬等程序和功能;
(5)對國家安全、社會秩序、公共利益不構成危害;
(6)對已列入信息安全産品認證目錄的,應當取得國家信息安全産品認證機構頒發的認證證書。
三 系統備案
系統備案材料的准备、提交和存档管理:
第二級以上信息系統,在安全保護等級確定後30日內,應到所在地設區的市級以上公安機關辦理備案手續。辦理備案手續時,應當首先到公安機關指定的網址下載並填寫備案表,准備好備案文件,然後到指定的地點備案。
备案时应当提交一式两份《信息系统安全等級保護备案表》及其电子文档。第二级以上信息系統備案时需提交《信息系统安全等級保護备案表》外还需提交“单位基本情况表”,“信息系统情况表”,“信息系統定級情况”三份材料;第三级以上信息系统还应当在系统整改、测评完成后30日内提交除上述材料外,还需提供“第三级以上信息系统提交材料情况”表。
四 系統測評
需按照《信息安全技術 信息系统安全等級保護测评要求》开展信息系統的等级测评工作。
第三级以上信息系统应当选择符合下列条件的等級保護测评机构进行测评:
(1) 在中华人民共和国境内注册成立(港澳台地区除外);
(2) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(3) 从事相关检测评估工作两年以上,无违法记录;
(4) 工作人员仅限于中国公民;
(5) 法人及主要业务、技术人员无犯罪记录;
(6) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(7) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(8) 对国家安全、社会秩序、公共利益不构成威胁。
應選擇符合規定的測評機構,依據《信息安全技術 信息系统安全等級保護测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应每年至少进行一次等级测评,第四级信息系统应每半年至少进行一次等级测评,第五级信息系统应依据特殊安全需求进行等级测评。经测评,信息系统安全状况未达到安全保护等级要求的,应制定方案进行整改。
應定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應每年至少進行一次自查,第四級信息系統應每半年至少進行一次自查,第五級信息系統應依據特殊安全需求進行自查。經自查,信息系統安全狀況未達到安全保護等級要求的,應制定方案進行整改。
五 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日