6、中金所---信息安全等级保护工作实施经验介绍ppt课件

1、信息平安等级维护任务实施阅历引见主要内容一、中金所等保任务情况简介二、等保任务的原那么和思绪三、等保测评阅历分享四、测评关键点留意中金所等保任务情况简介 根本情况 中金所目前申报信息平安等级维护定级备案的系统有三个，其中两个三级系统，一个二级系统。 1、买卖系统三级； 2、业务系统三级； 3、互联网网站系统二级。 中金所等保任务情况简介 测评情况 2021年申报定级并正式备案。2021年起，三个系统均每年测评一次。 2021年的测评情况，两个三级系统测评项符合率均超越88%；一个二级系统测评项符合率超越96%。 2021年的测评情况，两个三级系统测评项符合率均超越90%，高于上一年度；一个二级

2、系统测评项符合率超越96%，与上年度根本持平。 中金所等保任务情况简介 系统建立 中金所于2006年开场筹备，并于当年开场信息系统建立任务。 在系统设计上，遵照国内外通行的信息平安根本原那么，严厉遵守国家有关法律法规、上级单位的有关规定，吸收自创行业内的先进阅历。 中金所等保任务情况简介 自查与测评 2007年，中金所信息系统建立曾经初步完善。 在国家正式发布之后。我所根据信息平安等级维护已发布的相关规范文件进展了深化自查，并约请有关单位对我所系统进展了测评，测评结果良好，但也发现了一些需求整改与完善的问题。中金所等保任务情况简介 整改与提高 2021-2021年，我所对测评中发现的问题进展仔

3、细分析与讨论，在所指点一致部署下，分阶段完成了问题整改与系统完善任务； 2021年，信息系统正式申报定级备案。中金所等保任务情况简介 定期测评完善 2021年起，约请国家指定的测评机构进展测评； 对测评中发现的问题，能立刻整改的那么进展整改；暂不能整改的，专人进展记录，督促相关岗位择机整改。 所指点特别要求总结问题缘由，寻根究底，举一反三，确保已发生的问题未来不再重现。主要内容一、中金所等保任务情况简介二、等保任务开展的原那么和思绪三、等保测评阅历分享四、测评关键点留意等保任务开展的原那么和思绪指点注重是关键全员认识是中心扎实任务是保证根本原那么：等保任务开展的原那么和思绪 指点注重是关键 我

4、所指点一直注重信息平安任务，将严厉遵守国家有关法律法规及上级单位规定，作为不可跨越的红线来抓。 信息系统建立初期，就建立起分工明确、协作高效的信息平安组织架构。等保任务开展的原那么和思绪 指点注重是关键 信息平安组织架构建立本身就是中的一项重要要求。 众多现实和阅历证明，指点注重是确保信息系统平安的中心要素之一，也是推进信息系统平安等级维护任务的必备要素。 可以想象，指点都不注重的任务，其执行力会是怎样？等保任务开展的原那么和思绪 全员认识是中心 信息平安任务不是指点和部分人员的任务，需求全员参与、统筹调度，只需全员认识到位，才干把任务做好。 我所每年安排多次全员信息平安认识培训，各部门指点、

5、员工对信息平安等级维护任务的重要性均有明晰的认识。 反复的培训、宣传是必不可少的！等保任务开展的原那么和思绪 扎实任务是保证 信息系统平安等级维护任务不是靠口头说教、制定好制度就能做好的，扎扎实实地将规范规定的内容落实、把各项制度落到实处是做好等保任务的保证。 技术部门是信息平安等级维护任务的重点部门之一，在信息系统建立、完善中注重每一处细节，才干将等保技术要求落实好。等保任务开展的原那么和思绪 扎实任务是保证 平安管理不是空泛的口号，要把平安管理制度的内容融入到日常任务中。 发现与实践任务不匹配、内容不完善的制度要随着实际的深化不断修订完善。 实践去做了，才干发现问题、处理问题！等保任务开展

6、的原那么和思绪新建系统，严厉要求，一步到位改建系统，统筹规划，适时完善平安任务融入日常管理关键要求必需符合循序渐进逐渐提高主要思绪：等保任务开展的原那么和思绪新建系统，严厉要求，一步到位 新建系统的设计上应该严厉要求，采用的规范尽能够靠高不靠低；一次设计、实施后即符合等保要求。 我所在新一代系统的设计中，总结以往建立阅历，采取更严厉的设计，力求不走弯路。 设计之初存在的问题，依托未来完善将困难重重！等保任务开展的原那么和思绪改建系统，统筹规划，适时完善 改建系统部分无法完全符合等级维护测评要求的问题，要及早统筹规划，选择适宜的时机进展完善。 系统改建将能够影响业务的运转，因此不能盲目地变卦修正

7、，需求在整体上统筹规划，制定整改时间表，选择适宜的时机进展完善。 没有统筹规划的变卦能够带来更大的平安隐患！等保任务开展的原那么和思绪平安任务融入日常管理 把平安任务融入到日常管理中，久而久之，构成习惯，难做的事情就会变得容易做。 我所的平安制度、操作规范都具有很强的操作性，制度是靠各岗位共同分析讨论制定且不断完善的。 日常任务符合平安规范，就不会觉得平安任务难做！等保任务开展的原那么和思绪关键要求必需符合 信息系统平安等级维护任务虽然没有特别阐明哪些要求是必需符合的，但是一些属于信息平安根本原那么性的要求是必需符合的。 例如：可用性要求很高的环境下的单点缺点、弱访问控制、设备或系统弱口令、密

8、码明文保管等相关要求，都是严厉符合的要求。 中心原那么与要求不能违背！等保任务开展的原那么和思绪循序渐进逐渐提高 想要百分之百完全符合信息系统平安等级维护一切要求能够存在困难，而且即使是暂时符合了，随着系统的运转，系统能够蒙受的风险并不能够消逝，所以必需不断完善与提高，这是一个循序渐进的过程。 测评经过不是高枕无忧！主要内容一、中金所等保任务情况简介二、等保任务开展的原那么和思绪三、等保等保阅历分享四、测评关键点留意等保测评阅历分享支持：获得指点的支持认识：不把等保测评当负担自查：测评前要仔细自查沟通：与测评机构坚持良好沟通测评：实事求是，目的就是要发现问题整改：问题要扎扎实实整改提高：靠日常

9、管理，不靠年年“搞运动主要阅历：等保测评阅历分享支持：获得指点的支持 假设本单位指点都对信息系统平安等级维护任务不注重，那么等保测评任务根本上就能够成为应付差事的外表文章。 所以测评前一定要获得单位最高指点、分管指点、部门指点的大力支持。 我所指点反复强调等保任务的重要性，对发现的问题都要求反思、整改、汇报结果。等保测评阅历分享支持：获得指点的支持 各部门、员工能真实感到指点的注重及压力，才干顺利开展协调组织任务。 指点的支持与注重在等保规范中有明确要求。 7.2.2.1c：应成立指点和管理信息平安任务的委员会或指点小组，其最高指点由单位主管指点委任或授权。 当压力转化为动力，任务开展就容易了

10、！ 等保测评阅历分享认识：不把等保测评当负担 要树立等保测评是好事，不是负担的认识。 外部测评机构均具有丰富的阅历，请他们来帮本人找问题是一个难得的时机。是一个很好的学习、交流、提高的时机。 我所历来抱着欢迎测评的态度开展任务。不同的人从不同的角度来检查能够会发现我们忽视了的问题。等保测评阅历分享认识：不把等保测评当负担 在测评前，难免会有部分员工对测评任务不了解，觉得测评就是来“挑缺陷 的思想。 应该经过反复宣传使一切员工对测评有一个清醒的认识及早发现问题予以整改，比这些“缺陷在未来酿成大祸好。 换个角度去对待测评任务，也许就不再觉得“头疼了！等保测评阅历分享自查：测评前要仔细自查 在测评前

11、，要对信息系统进展自查。一些显而易见的问题要及时整改。违反中心原那么的问题假设不整改，系统不能够经过测评。 可以对照 逐条检查。 建议把每条内容记录在案，能否符合一目了然。等保测评阅历分享自查：测评前要仔细自查 自查绝对不能停留在外表，要对实践情况做梳理和检查，就可以对本系统的符合情况有一个清醒的认识。 将查找到的问题汇总、分析、讨论后进展整改。 我所自查普通是每季度执行一次。 本人都不清楚本单位信息系统中的问题，那一定是问题重重！等保测评阅历分享沟通：与测评机构坚持良好沟通 要和当地测评机构坚持良好的沟通与协调。较好的方法是在测评前即与拟定的测评机构建立沟通机制，对于测评要求中不能把握的测评

12、项，可以向测评机构的资深人员进展咨询。 选择在本行业内做过多次测评的机构能够更有利于测评任务的开展。 良好的沟通是测评任务顺利开展的前提条件之一！等保测评阅历分享测评：实事求是，目的就是要发现问题 测评任务中，实事求是，坚持开放的态度，不逃避问题，测评机构提出的检查点全力配合。 “一句谎言要用十句谎言去圆，抱着与测评机构一样的目的才干真正找到问题，更加有利于整改。一次查到问题要比下一次继续掩盖好得多。 对测评机构不怀有抵触心情，配合检查才干发现潜在问题！等保测评阅历分享整改：问题要扎扎实实整改 测评中发现的问题，要扎扎实实地整改，确保下次不再发生。 部分测评项几乎很难满足，可以和测评机构进展沟

13、通、解释、阐明，最终能否认可取决于测评机构。 除关键问题外，有些问题虽然存在，但假设有合理的补偿控制措施，在整体评价中会被视为符合。 及早将问题整改能大大降低信息系统风险！等保测评阅历分享提高：靠日常管理，不靠年年“搞运动 信息系统平安的提高主要应该依托日常管理和控制，不能靠年年“搞运动。 风险是随着系统运转不断累加的，仅仅依托测评来降低系统风险不真实践。日常的信息平安管理才是最重要的。 测评是检查手段，不是检查目的。 日常任务中加强信息平安管理，测评就变得简单！主要内容一、中金所等保任务情况简介二、等保任务开展的原那么和思绪四、测评关键点留意三、等保测评阅历分享测评关键点留意测评经过的根本原

14、那么 原那么上测评一切项中，符合率大于60%，不符合率小于15%，且不存在高风险平安问题即可经过。 但由于各单位系统规模、重要程度以及对严密性、可用性方面的要求有所不同，很难对高风险问题作一个绝对的判别，普通还是根据实践情况分析确定。 所以要向测评机构详细阐明业务重要程度等信息。测评关键点留意常见高风险平安问题1、网络访问控制措施存在明显缺乏，甚至无任何访问控制设备，主机一切端口全部暴露在外的。2、主要网络设备、平安设备配置极其不当的，如口令很弱、甚至无口令、直接可经过Internet登录等。3、Windows主机无任何防恶意代码措施，且网络上也未采取补偿措施的。测评关键点留意常见高风险平安问题4