1、医疗卫生行业信息安全等级保护实施体系化方法东风总医院冯淑凯主要内容 信息安全等级保护制度信息安全等级保护制度 信息安全等级保护的体系化实施信息安全等级保护制度 信息安全等级保护制度的提出信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护制度的提出 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各类组织造成了极大的风险 信息安全问题不仅仅是组织自身的事情,也涉及到国家和社会安全 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全尤为重要信息安全等级保护制度的提出 1994年,国务院发布了中华人民共和国计算机信息系统安全保护条例(14
2、7号令)条例第九条明确规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日,计算机信息系统安全保护等级划分准则(GB17859-1999)发布,是我国计算机信息系统安全保护等级工作的基础2003年,国家信息化领导小组关于加强信息安全保障工作的意见(27号)明确指出“实行信息安全等级保护”信息安全等级保护制度的提出 2004年,公安部、保密局、密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见(66号文件),明确了等级保护的原则、内容、要求以及部门分工和实施计划 2007年,公安部、保密局、密码管理局、国信
3、办联合制定了信息安全等级保护管理办法,标志着我国等级保护制度的初步形成信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护发展现状 测评工作 公信安2010303号关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,要求2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级
4、保护体系信息安全等级保护体系信息安全等级保护标准体系 安全等级保护划分准则 GB17859-1999 我国等级保护制度的基础性标准,规定了计算机信息系统安全保护能力的五个级别第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级 针对每个级别,详细列出了等级划分准则信息安全等级保护标准体系 信息系统安全保护等级定级指南GB/T 22240-2008 用于指导信息系统的建设单位和运营、使用单位如何对确定的信息系统进行定级,为信息系统等级保护的实施提供基础和依据 定级要素 受侵害的客体:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益
5、;c)国家安全 对客体的侵害程度:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。信息安全等级保护标准体系 信息系统安全保护等级定级指南GB/T 22240-2008对客体的侵害程度受侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全一般损害第一级第二级第三级严重损害第二级第三级第四级特别严重损害第二级第四级第五级业务信息安全和系统服务安全业务信息安全和系统服务安全信息系统与之相关的信息系统与之相关的受侵害客体受侵害客体和和对客体的侵害对客体的侵害程度程度可能不同,因此,信息系统定级也应由可能不同,因此,信息系统定级也应由业务业务信息安全信息安全和和系统服务安全系统服
6、务安全两方面确定。两方面确定。从业务信息安全角度反映的信息系统安全保护等级从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。称系统服务安全等级。两种安全的定义两种安全的定义对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息信息安全安全的破坏和对信息信息系统服务系统服务的破坏,其中:信息安全信息安全是指确保信息系统内信息的保密性、完整性和可用性等;系统服务安全系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标;由于业务信
7、息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。定级流程信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 针对每个等级的信息系统提出相应安全保护要求,这些要求的实现能够保证系统达到相应等级的基本保护能力 用途 为信息系统的建设单位和运营、使用单位如何对确定等级的信息系统进行保护提
8、供技术指导 为信息系统主管部门、信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据 为监管部门的监督检查提供依据信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术类要求 与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现 基本管理类要求 与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术类要求的三种类型 保护数据在存储、
9、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A)通用安全保护类要求(简记为G)信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发
10、起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。第四级安全保护能力:应能够在统一安全策略下防护系统免受
11、来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。信息安全等级保护标准体系 其他已发布的重要信息安全等级保护国家标准 信息安全技术 信息系统安全管理要求GB/T 20269-2006 信息安全技术 信息系统安全通用技术要求GB/T 20271-2006 信息安全技术 信息系统安全工程管理要求GB/T 20282-2006主要内容 信息安全等级保护制度 信息安全等级保护的体系化实施信息安全等级保护的体系化实施信息安全等级保护的体系化实施 体系化管理方法体系
12、化管理方法 信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程-从管理的定义说起体系化管理方法 什么是管理?administeradministrationadministratormanagemanagementmanager18世纪工业革命(1700S)体系化管理方法“管管”中国古代春秋战国康熙19年(1680)-从管理的定义说起“理理”管理管理体系化管理方法-从管理的定义说起 管理的定义 ISO9000:2000 质量管理体系 基础和术语 管理management:指挥和控制组织的协调的活动 管理学 管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等
13、资源,以期有效达成组织目标的过程。管理是一种理论,也可以说是一种方法或工具,与具体业务相结合的时候,便形成不同领域、不同门类的管理科学,例如经济管理、质量管理、信息安全管理等体系化管理方法-管理的体系化 质量管理领域率先提出体系化方法 质量管理的体系化方法衍生于军品的质量保证要求 1979年,ISO成立了质量管理和质量保证技术委员会负责制定质量管理和质量保证标准,1987年发布了ISO9000质量管理和质量保证标准选择和使用指南、ISO9001质量体系 设计开发、生产、安装和服务的质量保证模式以及ISO9002、ISO9003、ISO9004等标准 质量管理的体系化模式取得广泛应用之后,体系化
14、方法也逐渐在其他领域运用,例如环境管理领域、职业健康安全管理领域等,这种管理的体系化方法也逐渐发展为一个特殊的领域,即管理体系体系化管理方法-管理的体系化图释图释增值活动增值活动信息流信息流体系化管理方法-管理的体系化要素 在管理体系方法中,应用了下列要素:过程方法 PDCA模型 管理职责 资源管理 持续改进等体系化管理方法-过程方法 过程 process 一组将输入转化为输出的相互关联或相互作用的活动 过程方法 process approach 系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为过程方法。-过程方法记记 录录体系化管理方法责任人责任人输入输入资资 源源测量、
15、改进测量、改进输出输出体系化管理方法-PDCA模型 PDCA模型:持续改进的优秀方法A PC D体系化管理方法-PDCA模型 PDCA模型:持续改进的优秀方法 又称戴明环,PDCA循环是能使任何一项活动有效进行的工作程序:策划实施检查处置体系化管理方法-PDCA模型 PDCA的特点一 按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环PDAC体系化管理方法-PDCA模型 PDCA的特点二 组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题PDACA PC DA PC D体系化管理方法-PDCA模型 PDCA的特点三 每通过一次PDCA 循环,都要
16、进行总结,提出新目标,再进行第二次PDCA 循环PAC DPAC D体系化管理方法-管理职责 管理职责是指管理活动中,管理者应该具备的职责要求 有人认为这应该是一个很简单的活动 质量管理中,当质量与进度产生冲突时,往往是质量让进度!信息安全管理中,安全与方便性、安全与日常习惯发生矛盾时,安全管理如何保证?管理职责的重要性就在于此,作为管理者,在任何时刻都应毫无疑义的坚持管理的要求体系化管理方法-资源管理 在整个管理活动中,如何分配人员、能否保证资金、如何配备物品,是影响实现管理目标的关键要素 人员无疑是资源管理中最难控制的部分 人员的评价:是否满足岗位的要求 人员的培训:确定需求、实施培训、培
17、训效果评价 人员的持续发展:确保人员能够一直满足岗位要求体系化管理方法-持续改进 不断对管理活动进行检查,发现问题及时采取改进措施,从而实现持续的改进 检查方式 内部审核 管理评审等 改进措施 纠正措施:为消除已发现的不符合或其他不期望情况的原因所采取的措施 预防措施:为消除潜在不符合或其他潜在不期望情况的原因所采取的措施信息安全等级保护的体系化实施 体系化管理方法 信息安全等级保护工作的体系化需求信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程信息安全等级保护工作的体系化需求 信息安全等级保护工作的特点 过程多:包括定级备案、建设改建、等级测评、自查、检查等诸多过程
18、 内容繁杂:涉及到系统的物理安全、网络安全、主机安全、系统安全、应用安全、数据安全以及安全管理制度、管理机构、人员管理、系统建设管理、系统运维管理等各个层面 涉及面广:等级保护工作将覆盖组织的多个部门,包括系统建设部门、运维部门、使用部门以及行政、人力、财务等部门 应该采用体系化方法来实施等级保护工作信息安全等级保护工作的体系化需求 等级保护工作的出发点在于对信息系统进行定级和分级保护,围绕着信息系统而实施一系列的保护活动 但一般情况下,信息系统运营、使用单位都会存在多个信息系统,这些信息系统可能处于不同级别 因此,更应该采用体系化方法来统一规划整个单位的信息安全工作信息安全等级保护工作的体系
19、化需求 信息安全等级保护工作的定级备案、建设改建、等级测评、自查、检查等过程,体现了部分体系化要素,最明显的就是采用了过程方法和PDCA的一些思想 定级备案、建设改建、等级测评等过程均基于过程的概念,通过使用相关的资源以及管理活动,将输入转化为输出,例如定级工作的输入是系统的相关建设管理文档,而输出是系统级别 不同过程之间相互关联,例如定级备案过程的输出:系统级别,是后续建设改建、测评、检查等过程的输入 每个过程都包含不同的子过程,例如定级过程包括系统分析、等级确定两个子过程信息安全等级保护工作的体系化需求 从整体来看等级保护的工作,也体现出了PDCA模型的一些特点 建设和整改包含系统的规划和
20、设计,即P(规划)阶段的内容 规划工作的具体实施,以及系统的运行属于D(实施)阶段的内容 测评、自查和检查等活动都可作为C(检查)阶段的工作内容 对于发现的问题,需要及时整改,即A(处置)阶段的工作内容 此外,管理职责和资源管理也是非常重要的工作内容,贯穿于各项活动之中,是其他工作顺利开展的基础信息安全等级保护工作的体系化需求 因此,信息安全等级保护工作应该,也适合采用体系化方法来加以实施 构建等级保护的体系化实施模型 在原有等级保护工作的基础上,使过程方法和PDCA模型更加完善和清晰化 补充其他体系化要素,形成完整的信息安全等级保护体系化实施方法信息安全等级保护的体系化实施 体系化管理方法
21、信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程信息安全等级保护工作的体系化总体实施流程4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设局部局部调调整整实施指南-基本实施过程系统定级系统定级安全规划设计安全规划设计重大重大变变更更安全实施安全实施/实现实现安全运行管理安全运行管理系统终止系统终止定级建议“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”“27号文”“等级保护不是要做成一个框框,而是要在有限资源的条件下,用适当的成本获得适度的安全。”等级
22、保护的基本含义医疗卫生等保实施流程规划医疗卫生等保实施流程规划 第一步:第一步:“评估定级,定义安全需求评估定级,定义安全需求”。通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险,确定系统的安全等级,并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。第二步:第二步:“体系建设,实现按需防御体系建设,实现按需防御”。通过体系设计制定等级方案,进行安全策略体系、安全组织体系、安全技术体系和安全运维体系建设,满足评估定级阶段形成的安全需求,实现按需防御。第三步:第三步:“安全运维,确保持续安全安全运维,确保持续安全”。通过安全预警、安全监控、安全加固、安全审计、应急响
23、应等服务组件,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。体系涵盖内容体系涵盖内容医疗卫医疗卫生行生行业业等等级级保保护护体系方案体系方案详细设计详细设计二级系统等级保护不同等不同等级级系系统统互互联联互通互通三级系统等级保护医疗卫生行业等级保护解决方案医疗卫生行业等级保护解决方案技术措施管理措施不同等级互联二二级级(以以医医院系院系统为统为例例)技术措施管理措施不同等级互联三三级级(以公以公卫卫系系统为统为例例)体系设计(二级)结合安全结合安全方案详细方案详细设计思路设计思路,在医疗,在医疗卫生行业卫生行业,以医疗,以医疗机构信息机构信息系统
24、为例系统为例,二级等,二级等级保护体级保护体系我们采系我们采用的模型用的模型如图所示如图所示54体系设计(三级)结合安全方结合安全方案详细设计案详细设计思路,在医思路,在医疗卫生行业疗卫生行业,以公共卫,以公共卫生信息系统生信息系统为例,三级为例,三级等级保护体等级保护体系我们采用系我们采用的模型如图的模型如图所示(其中所示(其中灰色北京的灰色北京的是三级比二是三级比二级增加的项级增加的项目):目):554321医疗卫生行业等级保护实施医疗卫生行业等级保护实施落地落地实实施施规划与设计规划与设计技技术设计术设计管理管理设计设计实实施施与与运运行行技技术术措施措施实现实现管理措施管理措施实现实现
25、安全安全运运行行与维护与维护持持续续改改进进安全安全检查检查二二级检查级检查三三级检查级检查持持续续改改进进持持续续改改进进4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设、,安全运行与维护医疗卫生行业提出的等级保护体系化建设流程中,在进行安全保障体系设计以及安全建设之后将会按照PDCA模型进入到周期性的安全运维阶段,来保证和巩固等级保护建设的成果。根据建立的信息安全管理运维体系对信息安全系统进行实时的维护管理,针对医疗卫生行业信息系统安全软、硬件实施全面的安全运维。具有条件的单位可以采用自行运维的方式,如在运维阶段面临技术水平、人员规模、运维经验的限制,可以
26、采用安全运维服务外包的形式,针对于整个系统相关范围的不同安全等级及实际应用,所需要的安全运维服务模块如下:安全扫描 人工检查安全加固 日志分析补丁管理 安全监控 安全动态 应急响应4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设 等级保护测评检查表等级保护测评检查表 十堰十堰卫生行业信息安全检查用表卫生行业信息安全检查用表71 等级保护测评检查表等级保护测评检查表 十堰十堰市卫生行业信息安全检查用表市卫生行业信息安全检查用表1、访、访问控问控制制1.具有以下哪些控制人员进出机房的措施:系统部署电子门禁机房 出入口专人职守、控制鉴别并记录出入机房人员1.具有以下
27、哪些控制外部人员访问机房的措施:外 来人员访问机房经过申请和审批由内 部人员监控外来人员在机房内的活动由内 部人员限制外来人员在机房内的活动范围2、防盗和防破坏、防盗和防破坏1.主要设备是否放置在机房 内:是 否设备或主要部件是否进行了固定和标记 :是 否1.机房是否安装了防盗报警系统和监控报警系统:是 否否报警设备是否与视频监控系统及出入口控制设备联动 :是3、防火、防火1.是否制定消防管理制 度:是否2.是否制定消防预案:是否3.是否对机房管理、维护人员进行消防专项培训 :是,培训机构:_ 否4.机房是否部署火情自动检测、报警、灭火系统:是 否具体设备:性惰气体自动灭火设备式便携灭火设备其
28、 他_检查表物理安全1.机房是否有以下防水防潮措施:密窗户封、屋顶墙壁防水涂层 检测漏水 及报警系统,系统名称:机房 专用空调,空调品牌及名称:其 他:主机房除湿装置,湿装置名称:机房 温湿度控制系统,品牌及名称:5、防静电、防雷、防静电、防雷1.机房主要设备是否采用以下防静电措施:地防静电接防静电地板 其 他1.机房是否有交流电源接地:否是,接地方式:_6、电力供应、电力供应1.是否对计算机系统供电系统进行定期检查和维护:是 否检查维护的设备是否涵盖以下设备:稳压器 过电压防护设备 短期 备用电源设备 力电电缆线路 备 用供电系统 其 他_1.短期备用电源设备最长供电时间为:_备用供电系统(
29、如备用发电机)是否能够在规定时间内正常启动和正常供电:是否 规定时间为:4、防水和防潮、防水和防潮一、网一、网络拓扑络拓扑结构安全分析结构安全分析表表1-1 拓扑了拓扑了解解分析分析 询问其是否绘制与当前运行情况相符的网络拓扑结构图。询问其是否与互联网联通。检查其是否根据业务应用合理设计网络结构。表表1-2 设备性能分析设备性能分析接入网络和核心网络设备性能及带宽是否满足业务需要;且是否有冗余设备。表表1-3 网网段划分段划分及安全隔离及安全隔离各部门终端设备是否按照部门和业务重要性划分网段并用Vlan隔离;重要服务器区域是否与接入区域采用可靠隔离表表1-4 日日志及审志及审计计是否定期对日志
30、进行统一审计分析,并对日志进行适当保护避免受到未预期的修改。检查表网络安全一、网一、网络拓扑结构安全分络拓扑结构安全分析析表表1-5 入侵防范入侵防范 对重要核心服务器是否有入侵防范措施。若部署入侵防范措施,问询其部署位置、品牌型号、升级方式、事件定义及日志审计方式。若没有,是否对其进行加固和定期打补丁;是否有恶意代码防范措施。表表1-6 防防病毒病毒系统系统 系统内部是否部署网络版防病毒软件,或者部署防毒墙。若部署杀毒软件,记录其软件品牌,部署范围,及升级方式。询问病毒库是否及时升级。检查杀毒日志。表表1-7 网站服网站服务务器器系统内是否部署Web服务器;若有,是否有动态页面;是否部署网页
31、防篡改系统;网站是否托管;路由器CDP服务关闭检查 禁止Finger服务明文密码是否加密设置特权密码路由协议采用加密认证关闭代理ARP功能。(开启容易造成泄密及网络不稳定)设置Vty超时参数(默认10分钟,应小于5分钟)关闭HTTP服务 若多用户应采用分权管理表表2-5 交交换换机安全配置机安全配置 路由器CDP服务关闭检查禁止Finger服务 Router(config)#no service finger明文密码是否加密设置特权密码设置Vty超时参数(默认10分钟,应小于5分钟)关闭HTTP服务 若多用户采用分权管理手动关闭不使用的端口二、网络设备配置信息查看二、网络设备配置信息查看表表2
32、-1 限制管理员登限制管理员登陆地址陆地址是否对管理员登陆地址进行限制表表2-2 口令策略口令策略设置口令是否有相应制度约束,并定期更换。一般8位以上,包括数字、字符、大小写字母等。表表2-3 远程登录管理远程登录管理内网远程管理是否采用SSH或HTTPS。不使用Telnet、Http。表表2-4路由器安全配置路由器安全配置 远程管理采用加密传输协议表表3-3 防防火火墙策略检查墙策略检查依据业务需求,应制定防火墙不同接口间的访问控制策略。表表3-4 安全事件应急安全事件应急询问是否曾经发生过安全时间,怎样应对,是否有相应流程文件。三、防火墙配置信息查看三、防火墙配置信息查看表表3-1 安全特
33、性是否开启安全特性是否开启开启那些防御网络攻击能力。如SYN flood,ICMP flood,UDP flood,teardrop,ping of death,land等表表3-2 基本配置检查基本配置检查 是否是多账户分权管理 密码健壮度检查 是否限制管理IP地址段装情况。检查表主机安全系统漏洞扫描。系统漏洞扫描。检查方式:利用工具扫描的方式。配合人员:被检查方的系统管理员 检查项:扫描重要服务器是否存在系统漏洞拨号和非法外联检测。拨号和非法外联检测。检查方式:采取工具检测和现场查看方式 配合人员:被检查方的系统管理员 检查项:扫描终端设备,检查是否有非法外联的情况终端安全检查终端安全检查
34、 检查方式:采取现场查看方式。配合人员:被检查方的终端管理员。检查项:随即抽查计算机终端,查看防病毒和安全补丁安检查表管理安全82等保测评验收流程定级备案组 织测评评审会验收报告自主定级公安部门报备,公安部门审核定级是否准确公安部3 所公安部1 所国家信息安全测评中心解放军信息安全测评中心.申请权威机构对整个系统进行评测测评机构、3 名以上权威专家召开评审会讨论验收专家签字,形成验收报告,系统符合等保要求,4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设持续改进 在安全检查阶段发现的任何问题,都应查找不符合的原因,针对该原因,采取纠正措施,制定解决方案加以实施,以确保不符合的事项不会再次发生。此外,为防止类似问题的发生,或其他可能会引起信息安全事件的问题出现,各单位应该对潜在的问题进行识别、分析,查找原因并采取预防措施,以减少信息安全事件的发生,使各项信息安全工作更好的符合国家等级保护的相关要求。信息系统因需求变化等原因导致局部调整局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入体系建设阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运维阶段进入信息系统评估定级阶段,重新开始一轮信息安全等级保护的实施过程。谢谢 谢谢 观观 看!看!
