《信息安全及信息技术服务管理体系.doc》由会员分享,可在线阅读,更多相关《信息安全及信息技术服务管理体系.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息平安及信息技术效劳管理体系信息平安及信息技术效劳管理体系保密协议甲方:乙方:新纪认证根据工信部联协2022394号文关于加强信息平安管理体系认证平安管理的通知及各地方和有关主管部门/监管部门,认证认可相关规定对信息平安,信息技术效劳管理体系认证的要求,为保证申请认证组织信息资产的平安,双方签订此保密协议。详细条款如下:1、甲方应填写“保密和敏感信息资产和区域声明表”,明确甲方的重要敏感信息和区域,并明确乙方的接触要求;2、乙方审核组将严格遵守保密承诺。审核组在现场审核过程中不以任何形式记录甲方的保密或敏感信息。审核组在分开审核现场前,承受甲方的检查和确认审核组携带的文件、资料和设备中未夹带
2、甲方的任何保密或敏感信息;3、未经甲方的书面受权,乙方及其审核组不得将甲方在经营、消费、技术、管理等方面的非公开信息以任何方式泄密给第三方但以下情况除外:l甲方已公开的信息,或在提供时已为公众所知的信息,或虽不为公众所知但已不再是机密的信息;l得到甲方的书面同意;l应法律要求时,但发生该等情形时应及时通知甲方。4、乙方所有保密义务及于乙方内部人员及为乙方工作的外部人员,上述人员已经与乙方签署了保密协议或具有保密条款的法律文件。如甲方要求,我方直接接触客户组织信息的认证人员如审核组成员可按照甲方的保密要求与甲方签署保密协议。5、本协议作为认证合同的附件,与认证合同具有同等法律效力;6、本协议一式
3、两份,双方各执一份,经双方签章后生效,且不因认证协议的解除而失效。甲方名称加盖单位公章:甲方 法定代表人 或受权人:日期 :年月日乙方名称加盖单位公章:新纪认证 乙方 法定代表人或 受权人:日期:年月日国家标准信息平安技术 关键信息根底设施平安保障评价指标体系编制说明1.工作简况 1.1.任务来根据国家标准化管理委员会20_年下达的国家标准制修订方案,国家标准信息平安技术 关键信息根底设施平安保障评价指标体系由大唐电信科技产业集团电信科学技术研究院主办。关键信息根底设正常运转,关系国家平安、经济开展、社会稳定,随着关键信息根底设施逐渐向网络化、泛在化、智能化开展,网络平安成为关键信息根底设施的
4、重要目的。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及施行方案等,加大对关键信息根底设施的保护力度。近年来,随着我国网络强国战略的深化和施行,国家关键信息根底设施在国民经济和社会开展中的根底性、重要性、保障性、战略性地位日益突出,构建国家关键信息根底设施平安保障体系已迫在眉睫,是当前一项全局性、战略性任务。20_年4月19日,总书记在网络平安和信息化工作座谈会上指出,“金融、能、电力、通信、交通等领域的关键信息根底设施是经济社会运行的神经中枢,是网络平安的重中之重,也是可能遭到重点攻击的目的。我们必须深化研究,采取有效措施,实在做好国家关键信息根底设施平安防护。” 20_年8
5、月12日,中央网络平安和信息化指导小组办公室、国家质量监视检验检疫总局、国家标准化管理委员会结合印发关于加强国家网络平安标准化工作的假设干意见中网办发文20_5号,要求“按照深化标准化工作改革方案要求,整合精简强迫性标准,在国家关键信息根底设施保护、涉密网络等领域制定强迫性国家标准。”20_年11月7日,全国人民代表大会常务委员会发布中华人民共和国网络平安法,明确指出“保护关键信息根底设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间平安和秩序”。20_年12月15日,国务院印发“十三五”国家信息化规划国发20_73号,明确提出要构建关键信息根底设施平安保障体系。20_年1
6、2月27日,国家互联网信息办公室发布国家网络空间平安战略,要求“建立施行关键信息根底设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,实在加强关键信息根底设施平安防护。”20_年7月10日,国家互联网信息办公室就关键信息根底设施平安保护条例征求意见稿公开征集意见。目前国外主要国家对关键信息根底设施的保护起步较早,已出台关键信息根底设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息根底设施平安建立,不断提升网络平安保障才能。对于我国而言,一方面,我国在引进外国先进技术、加快产业更新换代的同时,局部关键核心技术和设备受制于他国,存在系统受控、信息泄露发
7、1现滞后等隐患,也给关键信息根底设施各领域带来许多平安隐患问题。另一方面,我国关键信息根底设施保护工作起步较晚、开展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络平安环境。本标准的制定主要为关键信息根底设施的政府管理部门提供态势判断和决策支持,为关键信息根底设施的管理部门及运营单位的信息平安管理工作提供支持和方法参考。 1.2.编制目的本标准主要解决关键信息根底设施网络平安的评价问题。本标准主要用于:评价我国关键信息根底设施平安保障的现状,包括建立情况、运行情况以及所面临的威胁等;为政府管理层的关键信息根底设施态势判断和宏观决策提供支持;为各关键信息根底设施运营单位及管理部门的
8、信息平安保障工作提供参考。 1.3.主要工作过程1、20_年,工程组完成网络平安保障评价指标体系阶段性研究报告。主要针对以下三个问题进展了深化研究:研究国外特别是美国、欧盟、结合国等国家、地区和国际组织在网络平安保障评价指标研究方面的资料,总结网络平安保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络平安保障工作面临的挑战,分析p 我国网络平安保障工作的新需求,对我国与网络平安保障评价有关的法规、制度、标准进展梳理和总结;在理论研究和理论调研的根底上,研究提出我国网络平安保障评价指标体系和评价方法。2、20_年12月-20_年6月,工程组赶赴电力、民航、电信、中国银行等相关
9、行业企业进展调研。3、20_年1月-20_年7月,工程组根据工程要求开展了研讨会,针对调研结果中各行业在网络平安评价中的成功经历和出现的问题进展总结。4、20_年1月-20_年9月,工程组与关键信息设施保护等进展工作对接。5、20_年1月-20_年7月,工程组进展了广泛研讨,并咨询了专家意见:20_年1月,对研究提出的网络平安保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;20_年6月,召开专家会,听取了中国电信基于大数据的网络平安态势评价工作的介绍;20_年7月,召开专家会听取了关于民航、电信、互联网领域平安指标体系的研究现状,与会专家对网络平安保障评价指标体系
10、课题提出意见建议。6、20_年8月-20_年9月,与20_年网络平安检查工作、关键信息根底保护工作进展对接。7、20_年1月-20_年2月,与网络平安检查工作进展对接,采用指标体系对相关检查结果进展了统计测算,并撰写评价报告。8、20_年4月-20_年8月,针对指标体系在网络平安检查工作中的成功经历和出现的问题进展总结,进一步更新了指标体系。9、20_年9月-20_年2月,与关键信息设施检查办进展对接,对指标体系的实际应用进展了深化讨论。10、20_年3月,工程组在草案初稿的根底上,召开行业专家会,形成草案修正稿。11、20_年4月,在全国信息平安标准化技术委员会20_年第一次工作组会议周上,
11、工程组申请国家标准制定工程立项。12、20_年6月,“信息平安技术 关键信息根底设施平安保障指标体系”标准制定工程正式立项。13、20_年7月,工程组召开专家咨询会,听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。14、20_年7月,在全国信息平安标准化技术委员会WG7第二次全体会议上,工程组广泛听取专家意见,形成征求意见稿。 1.4.承当单位起草单位:大唐电信科技产业集团电信科学技术研究院协作单位:国家信息中心、北京奇安信科技、北京国舜科技股份、北京匡恩网络科技有限责任公司、北京天融信科技等。本局部主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。 2.编制原那么和主要内容 2.1.编
12、制原那么为保证所建立的“关键信息根底设施平安保障评价指标体系”有一个客观、统一的根底,在评价指标体系的设计及指标的选取过程中,主要遵循以下原那么:1、综合性原那么关键信息根底设施平安保障评价指标体系建立是通过从整体和全局上把握我国关键信息根底设施平安保障体系的建立效果、运行状况和整体态势,形成多维的、动态的、综合的关键信息根底设施平安保障评价指标体系。因此,标准设计的首要原那么是综合性。2、科学适用性原那么关键信息根底设施平安保障评价指标体系必须是在符合我国国情、充分认识关键信息根底设施平安保障评价指标体系的科学根底之上建立的。按照国家信息平安保障体系总目的的设计原那么,把关键信息根底施行平安
13、各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性,即指标概念必须具有明确完好的科学内涵。适用性原那么,就是指标体系应该可以在时空上覆盖我国关键信息根底设施平安保障评价的各个层面,满足系统在完好性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间开展状况的差异,尽量做到不对根底数据的搜集工作造成困扰。这一原那么的关键在于,最精简的指标体系全面反映关键信息根底设施平安保障的整体程度。3、导向性原那么评价的目的不是单纯评知名次及优劣的程度,更重要的是引导和鼓励被评价对象向正确的方向和目的开展,要引导我国关键信息根底设施平安的安康开展。4、可操作性
14、强原那么可操作性强直接关系到指标体系的落实与施行,包括数据的易获取性具有一定的现实统计根底,所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的、可靠性通过标准数据的来、标准等保证数据的可靠与可信、易处理性数据便于统计分析p 处理以及结果的可用性便于实际操作,可以效劳于我国涉密信息系统平安评价的等方面。5、定性定量结合原那么在众多指标中,有些因素是反映最终效果的定性指标,有些是可以通过工程运行过程得到实际数据的定量指标。对于评价最终效果而言,指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性,必须在选取定性指标时,舍弃局部与施行效果关系不大的非关键因素,并
15、且尽量将关键的定性指标交融到对权重分配的影响中去。该指标设计的定性定量结合原那么就是将定性分析p 反映在权重上,定量分析p 反映在指标数据上。6、可比性原那么可比性是衡量关键信息根底设施平安保障评价指标体系的实际效果的客观标准,是方案权威性的重要标志。关键信息根底设施平安保障评价指标应该既可以横向比照不同机构信息平安保障程度的差异、又可以纵向反映国家及各地区关键信息根底设施平安保障的历史进程和开展趋势。这一原那么主要表达在对各级指标的定义、量化和加权等方面。 2.2.主要内容本标准概述了本标准各局部通用的根底性概念,给出了关键信息根底设施平安保障指标体系设计的指标框架和评价方法。本标准主要用于
16、:评价我国关键信息根底设施平安保障的现状,包括建立情况、运行情况以及所面临的威胁等;为政府管理层的关键信息根底设施态势判断和宏观决策提供支持;为各关键信息根底设施运营单位及管理部门的信息平安保障工作提供参考。本标准主要框架如下:前言 引言 1 范围2 标准性引用文件 3 术语和定义 4 指标体系 5 指标释义附录A标准性附录 指标测量过程 【参考文献】:p 】: 本标准主要奉献如下:1、明确了标准的目的读者及其可能感兴趣的内容指出标准主要由三个互相关联的局部组成:第1局部包括1-3节,描绘了本标准的范围和所使用的术语与定义,对关键信息根底设施、关键信息根底设施平安保障、关键信息根底设施平安保障
17、评价等概念进展了阐释;第2局部为第4节,详细描绘了关键信息根底设施平安保障指标体系的体系框架和指标;第3局部包括第5节和附录A,给出了关键信息根底设施平安保障指标体系各详细指标的衡量标准和量化方法,为体系的可操作性提供了保证。2、给出了关键信息根底设施的概念关键信息根底设施是指关系国家平安、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家平安、公共利益的信息设施。中华人民共和国网络平安法规定:国家对公共通信和信息效劳、能、交通、水利、金融、公共效劳、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家平安、国计民生、公共利益的关键信息根底设施,在网
18、络平安等级保护制度的根底上,实行重点保护。关键信息根底设施的详细范围和平安保护方法由国务院制定。国家网络空间平安战略规定:国家关键信息根底设施是指关系国家平安、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家平安、公共利益的信息设施,包括但不限于提供公共通信、播送电视传输等效劳的根底信息网络,能、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。3、指出关键信息根底设施平安保障评价围绕三个维度进展关键信息根底设施平安保障评价围绕三个维度进展,即建立情况、运行才能和平安态势,并根据关键信息根底设施平安保障对象和内
19、容进展分析p 和分解,一级指标包括战略保障指标、管理保障指标、平安防护指标、平安监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。4、给出了指标测量的一般过程关键信息根底设施平安保障指标测量的一般过程描绘了指标如何根据测量对象的相关属性设立根本测度,应用相应的测量方法得出测量值,并通过分析p 模型将测量值折算成指标值,最终应用于保障指标体系。关键信息根底设施平安保障指标评价测量过程通过定性或定量的方式将测量对象进展量化以实现评价测量对象的目的。 3.其他事项说明a.在关键信息根底设施平安保障指标指标的体系建立和测量过程方面,试图使所提出的指标体系与测量过程具有一定的通用性,以便于指标体系的推广和扩展;b.考虑到指标设计方面应用的可扩展性,在体系建立和测量过程之中,指标体系可以根据实际评价对象的特性做出相应的指标调整,以完善指标体系并得出合理公正的评价。信息平安技术 关键信息根底设施平安保障指标体系标准编写组20_年8月 第 9 页 共 9 页