Red de conocimientos turísticos - Información de alquiler - ¿Qué tipo de trabajo es la Clasificación de Protección del Nivel de Seguridad de los Sistemas de Información (ISSPC)? ¿Qué trabajo hay que hacer?

¿Qué tipo de trabajo es la Clasificación de Protección del Nivel de Seguridad de los Sistemas de Información (ISSPC)? ¿Qué trabajo hay que hacer?

Hola, mi país implementa un sistema de protección graduada de seguridad de la red, que requiere que las unidades operativas de la red implementen una protección graduada. ¿Qué es la protección de nivel? En pocas palabras, se trata de realizar una protección jerárquica según la importancia de la información y los soportes de información. A juzgar por la situación actual de nuestro país, los niveles de protección de la información y los soportes de información se dividen en cinco niveles, que aumentan gradualmente del nivel uno al cinco. Dependiendo del nivel al que pertenezcan la información y los soportes de información de la unidad operativa de la red, se debe realizar una protección jerárquica de acuerdo con los requisitos de este nivel.

¿Qué trabajo hay que hacer para la protección de grado?

En términos generales, el trabajo de protección graduada consta de cinco eslabones: calificación, archivo, construcción de seguridad, evaluación de calificación y supervisión e inspección. A continuación, analizaré los tres niveles de protección graduada de acuerdo con los estándares de. Protección graduada 2.0 El proceso se explicará en detalle:

1. Calificación del sistema

El primer paso en la clasificación de protección es determinar el nivel de protección de seguridad del sistema de información empresarial. Según las directrices de clasificación Classification Protection 2.0, sistemas como la computación en la nube, el Internet de las cosas, los sistemas de control industrial, los sistemas que utilizan tecnología de Internet móvil, las instalaciones de redes de comunicación y los recursos de datos pertenecen a la categoría de presentación de clasificación fuerte. En principio, también entran dentro del ámbito de aplicación de la presentación jerárquica y clasificada otros grupos, como las organizaciones de bienestar público y las pequeñas y medianas empresas privadas.

Al mismo tiempo, según la normativa pertinente, los objetos de clasificación tienen las siguientes tres características básicas:

① El sujeto identificado con responsabilidad de seguridad

②; Lleva una aplicación empresarial relativamente independiente;

③Contiene varios recursos interrelacionados.

Si el sistema de la empresa tiene las características anteriores, no importa cuán pequeño sea el sistema, aún debe archivarse en diferentes niveles. En resumen, casi todos los sistemas de Internet requieren un archivo jerárquico.

Entonces, ¿cómo se realiza la clasificación de la protección MPS? Según los documentos de gestión pertinentes de protección de nivel, el nivel de protección de seguridad de los objetos de protección de nivel es ****, que se divide en cinco niveles y aumenta gradualmente del nivel uno al nivel cinco. El nivel de los objetos de protección jerárquica está determinado por dos factores de clasificación: el objeto que se viola; ② el grado del objeto que se viola; Para las infraestructuras de información críticas (ICI), "la clasificación en principio no es inferior al nivel 3", y los sistemas de información del nivel 3 y superiores se evalúan cada año o cada seis meses.

Proceso de calificación: Determinar el objeto de calificación → Determinar preliminarmente la calificación → Revisión de expertos → Aprobación por el departamento competente → Revisión de registros por parte de la agencia de seguridad pública → Finalizar la calificación.

2. Archivo del sistema

Según lo establecido en la “Ley de Seguridad de Redes”:

① Sistemas de información de nivel 2 o superior que ya estén en funcionamiento ( operacional) estará bajo protección de seguridad Dentro de los 30 días posteriores a la determinación del nivel (los estándares relacionados con Equal Protection 2.0 se han revisado a un límite de tiempo de presentación de 10 días), la unidad operativa deberá presentar una presentación ante la agencia de seguridad pública local en o por encima del nivel municipal.

② Si ​​se construye un nuevo sistema de información en el Nivel 2 o superior, debe ponerse en funcionamiento dentro de los 30 días (otros estándares 2.0 han modificado el tiempo límite de presentación a 10 días).

③ Las autoridades competentes deberán presentar ante el Ministerio de Seguridad Pública los sistemas de información afiliados a las unidades centrales de Beijing y conectados uniformemente en red entre provincias o en todo el país y calificados por las autoridades competentes.

④ Si un sistema de información que opera en una red unificada en todas las provincias o en todo el país opera y aplica sistemas sucursales en varios lugares, debe presentarse ante la agencia de seguridad pública local a nivel municipal o superior.

Una vez que la empresa determina el nivel de protección de los objetos, puede registrarse ante el órgano de seguridad pública. Los materiales necesarios para la presentación son principalmente el "Formulario de presentación de protección del nivel de seguridad de la información". Los diferentes niveles de sistemas de información requieren diferentes materiales de presentación. Los sistemas de información de nivel 3 o superior deben proporcionar los siguientes materiales: (1) topología y descripción del sistema; (2) sistema de gestión y organización de la seguridad del sistema; (3) plan de implementación y diseño de las instalaciones de protección de la seguridad del sistema; (4) Información utilizada por el sistema Lista de productos de seguridad y sus licencias de certificación y ventas; (5) Informe de evaluación de protección del nivel de seguridad del sistema que ha sido evaluado para cumplir con las pruebas y evaluaciones técnicas (7) opiniones de revisión de expertos del nivel de protección de seguridad del sistema de información; ) Información revisada y aprobada por el departamento competente Nivel de protección de seguridad del sistema.

3. Construcción de seguridad (rectificación)

La rectificación de protección de grado es uno de los contenidos de la construcción de protección de grado. Se refiere a la seguridad de la red de la información y los sistemas de información de acuerdo con los requisitos. de la construcción de protección de grado. La mejora y transformación incluyen la rectificación a nivel técnico y la rectificación a nivel de gestión. El objetivo final de la rectificación es mejorar las capacidades de protección de seguridad del sistema de información de la empresa y permitir que la empresa apruebe con éxito la evaluación de calificaciones.

No existen requisitos de calificación para la rectificación del nivel de protección, siempre que la empresa pueda llevar a cabo la construcción de seguridad de red relevante de acuerdo con los requisitos de nivel de protección, no hay ningún requisito sobre quién la implementará. Sin embargo, debido a la actual escasez de talentos en seguridad de redes, las empresas a menudo necesitan encontrar empresas de servicios de seguridad de redes profesionales para llevar a cabo la rectificación.

La rectificación se divide principalmente en rectificación de gestión y rectificación técnica. La rectificación de la gestión incluye principalmente: aclarar el liderazgo y los departamentos responsables, implementar puestos y personal de seguridad, analizar la situación actual de la gestión de la seguridad, determinar estrategias de gestión de la seguridad y formular sistemas de gestión de la seguridad. Entre ellos, las estrategias y sistemas de gestión de seguridad incluyen gestión de seguridad del personal, manejo de accidentes, respuesta a emergencias, operación y mantenimiento diario de equipos, gestión de medios y monitoreo de seguridad.

La rectificación técnica se refiere principalmente a la implementación y compra de productos por parte de empresas que pueden cumplir con los requisitos de protección de Clase A, como antimanipulación de páginas web, monitoreo de tráfico, monitoreo de intrusiones en la red y otros productos.

4. Evaluación de nivel

La evaluación de nivel se refiere a una agencia de evaluación calificada y reconocida por el Ministerio de Seguridad Pública, con base en las especificaciones nacionales de protección del nivel de seguridad de la información, encomendadas por las unidades pertinentes, y de acuerdo con las especificaciones de gestión y normas técnicas pertinentes, actividades de prueba y evaluación del estado de protección del nivel de seguridad de los sistemas de información.

Según la normativa, la detección del estado de protección del nivel de seguridad de los sistemas de información debe incluir dos aspectos: primero, la evaluación del control de seguridad, que evalúa principalmente la implementación de la configuración básica del control de seguridad de los requisitos del nivel de protección de seguridad de la información. en el sistema de información; el segundo es la evaluación general del sistema, que evalúa y analiza principalmente el estado de seguridad general del sistema de información. Entre ellos, la evaluación del control de seguridad es la base para la evaluación general de la seguridad de los sistemas de información.

Los sistemas de información de nivel 2 y superiores deberán someterse a una evaluación de nivel. La puntuación de la evaluación de nivel debe ser superior a 70 puntos. Si no hay elementos de alto riesgo, se considerará superada. Una vez finalizada la evaluación de nivel, la agencia evaluadora emitirá un informe de evaluación. Las empresas deben presentar un informe de evaluación a los órganos de seguridad pública para implementar verdaderamente el nivel de protección.

5. Supervisión e inspección

Las empresas deben aceptar la supervisión e inspección de los órganos de seguridad pública de vez en cuando y realizar mejoras oportunas a los problemas planteados por los órganos de seguridad pública.

上篇: ¿Cómo es el nuevo inglés oriental de Lanzhou? 下篇: ¿A quién interpreta Yu Hewei en Hualong Dao?