搜档网
当前位置:搜档网 › “该站点安全证书的吊销信息不可用…” 解决办法

“该站点安全证书的吊销信息不可用…” 解决办法

“该站点安全证书的吊销信息不可用…” 解决办法
“该站点安全证书的吊销信息不可用…” 解决办法

取消SSL证书的https链接的安全警报

相信很多使用IE浏览器的人都会见过这样的提示“该站点安全证书的吊销信息不可用.是否继续? ”,通常来说,我们登录邮箱,网银,或者淘宝等都会出现这样的提示安全警报。而细心的网友应该会发现网址上的链接方式是从http://链接方式变成了https://链接了。

一般出现这样的安全警报,用户不必多过多的担心所处的网络环境对帐号密码造成威胁。

首先我们先来了解什么是SSL和https

SSL 的英文全称是“Secure Sockets Layer” ,中文名为“ 安全套接层协议层”。它是被设计用来保护传输中的资料,它的任务是把在网页以及服务器之间的数据传输加密起来。这个加密(encryption)的措施能够防止资料窃取者直接看到传输中的资料,像是密码或者信用卡号码等等。

https是以安全为目标的http通道,简单讲是http的安全版。在http下加入SSL层,将传输的数据采用SSL加密方式起来。至于什么是http,不懂的话就要自己找找。

接着,我们就要回到IE浏览器为什么会弹出安全警报出来。其实这主要是IE浏览器上的设置问题。…… [问题太多,此处留空,待研究后再添加]

最后,我们就来看看解决方法如何,下面以我的Win7+IE8为例的取消方式。

打开Internet Explorer浏览器——工具——Internet 选项——高级

其实,我做到这一步,已经不会弹出那个安全警报了,又或者有些还会弹出安全警报的网站我没有遇上,而且数据传输是否安全我也不清楚。综合网上所说的各种方法,还要做下面的这两步。

信息安全等级保护与分级认证

信息安全等级保护与分级认证 中国信息安全产品测评认证中心 陈晓桦 一、走近我国信息安全测评认证 什么是信息安全测评认证?首先我们需要了解测试、评估、认证这三个相互关联却实质各异的概念。 测试是一种技术操作,它按规定的程序对给定的产品、材料、设备等一种或多种特性进行判定;评估是对测试/检验产生的数据进行分析,形成结论的一种技术活动,由于目前计算机技术和自动化工具的发展,测试和评估往往是合为一体的。认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平。认证以标准和测试、检验、评估的结果为依据。具体到信息安全测评认证,测评是指专门的机构根据一定的标准,通过对信息安全产品和信息系统进行测试和评估,确定产品或者系统能够达到安全级别可信程度。测评包括生产商自我测试与评估、用户测试、专家鉴定会、第三方测评等多种类型,是检验产品好坏和是否安全的根本手段。相对来说,来自第三方的测评是比较科学和客观的。信息安全的认证是代表国家对达到评价标准和标准要求的产品和系统进行的一种独立于用户和厂商之间的第三方的认可活动,表明其特点和功能达到了规定的要求。 信息安全测评认证具有重要的意义,它能促进信息技术产业的进步与成熟;提高信息技术产品的市场竞争力,帮助厂家发现问题,用更高更严的标准来要求制作,提升厂家的开发能力;有利于国家对信息安全产业和市场准入进行管理,合格产品的市场进入与流通,以及政府采购中产品安全性的保证;推动信息安全技术和标准化的进程。 在我国,经中央批准成立、国家质量监督检验检疫总局授权,中国信息安全产品测评认证中心代表国家开展信息安全测评认证工作,并依据国家有关产品质量认证和信息安全管理的法律法规,管理和运行国家信息安全测评认证体系。 目前,中国信息安全产品测评认证中心开展的认证业务主要包括以下四个方面:信息安全产品认证,信息系统安全认证、信息安全服务资质认证和注册信息

信息安全等级保护制度

第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

信息安全等级保护培训考试试题集

信息安全等级保护培训 考试试题集 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT

信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失 4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。 6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A.二级以上 B.三级以上 C.四级以上 D.五级以上 7.安全测评报告由(D)报地级以上市公安机关公共信息网络安全监察部门。 A.安全服务机构 B.县级公安机关公共信息网络安全监察部门

《信息安全等级保护管理办法》(公通字[2007]43号文件)

信息安全等级保护管理办法(公通字[2007]43号) 作者: 来源: 公安部、国家保密局、国家密码管理局、 字体:大中小国务院信息工作办公室时间:2007-06-22 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(C ) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A ) A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(A ) A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是(D ) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;

(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全 2集成等业务; (十)应具备的其他条件。 第七条申请时,申请单位应向等保办提交以下材料:(一)《信息安全等级保护测评机构申请表》; (二)从事信息系统安全相关工作情况; (三)检测评估工作所需软硬件及其他服务保障设施配备情况; (四)有关管理制度建设情况; (五)申请单位及其测评人员基本情况; (六)应提交的其他材料。 等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。

信息安全技术_公共基础设施_PKI系统安全等级保护技术要求

信息安全技术公共基础设施PKI系统安全等级保护技术要求 引言 公开密钥基础设施(PKI)是集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。PKI系统是通过颁发与管理公钥 证书的方式为终端用户提供服务的系统,包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。 《PKI系统安全等级保护技术要求》按五级划分的原则,制定PKI系统安全等级保护技术要求,详细说明了为实现GB/T AAA—200×所提出的PKI系统五个安全保护等级应采取的安全技术要求、为确保这些安全技术所实现的安全功能能够达到其应具有的安全性而采取的保证措施,以及各安全技术要求在不同安全级中具体实现上的差异。第一级为最低级别,第五级为最高级别,随着等级的提高,PKI系统安全等级保护的要求也随之递增。正文中字体为黑体加粗的内容为本级新增部分的要求。 信息安全技术公钥基础设施 PKI系统安全等级保护技术要求 1 范围 本标准依据GB/T AAA—200×的五个安全保护等级的划分,规定了不同等级PKI系统所需要的安全技术要求。 本标准适用于PKI系统的设计和实现,对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,提倡使用本标准的各方探讨使用其最新 版本的可能性。凡是不注日期的引用文件,其最新版本适用于本标准。 GB/T 19713-2005 信息安全技术公钥基础设施在线证书状态协议 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求 GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式 GB/T 21054-2007 信息安全技术公钥基础设施PKI系统安全等级保护评估准则 GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T20984-2007 信息安全技术信息安全风险评估指南 3 术语和定义 下列术语和定义适用于本标准。 3.1 公开密钥基础设施(PKI)public key infrastructure (PKI) 公开密钥基础设施是支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。 3.2 PKI系统PKI system PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。 3.3

信息安全等级保护工作流程图

信息安全等级保护工作流程

一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等 第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统:适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 (一)管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 (二)中央在京单位。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。

2020年国家信息安全等级保护制度第三级要求参照模板

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。

1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:

信息安全等级保护测评机构管理办法最新

信息安全等级保护测评机构管理办法 最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。

省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位; (二)产权关系明晰,注册资金100万元以上; (三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全集成等业务; (十)应具备的其它条件。

信息安全等级保护教学文案

1. 信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 2. 信息安全等级保护工作内容 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。如图1所示为具体流程。

2.1 信息安全保护等级划分 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 《信息安全等级保护信息安全等级保护管理办法》规定:信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 计算机信息系统安全保护等级划分: 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级 3. 信息安全等级保护测评基本概念 信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。

信息安全等级保护证书

众所周知,信息系统的安全保护等级一共分为五级,一至五级等级逐级增高。如今的时代是互联网发达的时代,信息数据是每个企业发展的生命线,好比我们每个人对于自身的隐私信息一样被视为珍宝,都会尽自己所能的去愈加保护。自《中华人民共和国网络安全法》实施以来,国家以法律形式明确了网络运营者的安全义务,进一步完善了个人信息保护规则,建立了关键信息基础设施安全保护制度;其中还提出了国家信息安全等级保护的理念。 从对公民合法权益、社会秩序和公共利益、国家安全三个层面的威胁程度,进行了五个层级的划分,且规定了对应的监督检查和管理要求。 第一级自主保护级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级指导保护级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级监督保护级 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 第四级强制保护级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。 第五级专控保护级 信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。 其中三级是国家对非银行机构的最高级认证,属于“监管级别”,由国家信息安全监管部门进行监督、检查。通过三级等级保护认证意味着国家信息安全监管部门对平台的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、系统建设管理和系统安全管理等多方面进行认证。

信息安全等级保护培训考试试题集

信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失

4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。 6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A.二级以上 B.三级以上

《信息安全等级保护管理办法》

信息安全等级保护管理办法 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社

会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

国家信息安全等级保护制度

《信息安全等级保护管理办法》 1 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。 2 制定目的规范信息安全等级保护管理。 文号 公通字200743号文 第一章总则 第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害, 但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级

信息系统安全等级保护测评服务内容及要求.pdf

信息系统安全等级保护测评服务内容及要求 一、供应商资格: 1.供应商应具备《政府采购法》第二十二条规定的条件; 1)具有独立承担民事责任的能力; 2)具有良好的商业信誉和健全的财务会计制度; 3)具有履行合同所必需的设备和专业技术能力; 4)有依法缴纳税收和社会保障资金的良好记录; 5)参加政府采购活动前三年内,在经营活动中没有重大违法记录; 6)法律、行政法规规定的其他条件。 2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。 3.具有网络安全等级保护测评机构推荐证书。 4.具有中国合格评定国家认可委员会颁发的CNAS证书。 5.具有广东省电子政务服务能力等级证书。 6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级) 7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。 8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。 9.本项目不接受联合体投标。 二、项目服务内容及要求 1.采购项目需求一览表: 序号服务类型被测评系统级别1等级保护测评服务存量房网上签约系统二级 2等级保护测评服务金融部门网上受理系统(签约银行登 录) 二级

3等级保护测评服务商品房明码标价备案系统二级 4等级保护测评服务珠海不动产微信服务号系统二级 2.基本要求: 2.1 项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心 于2018年全面启动本单位的信息安全等级保护工作。b5E2RGbCAP 按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心 的信息系统提供等级保护测评服务。p1EanqFDPw 2.2项目目标 2.2.1等级保护测评服务。 根据《GB/T 22240-20XX 信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系 统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系 统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明。DXDiTa9E3d 对采购人现有信息系统开展安全保护符合性测评、作差距分析、并提出整改建议与编写验收测评报告。 根据《GB/T 22239—20XX信息安全技术信息系统安全等级保护基本要求》等标准组织开展信息系 统等级保护符合性测评,衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。RTCrpUDGiT 依据信息系统的安全保护等级,通过人员访谈、文档审查、实地察看、配置检查、工具检测等方法 从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,判断网站现有的安全保护水平与国家信息安全等 级保护管理规范和技术标准要求项之间的符合情况。5PCzVD7HxA 对信息系统进行整体、全面、公正的评估,对不符合项进行风险分析,组织专家评审,编写安全等 级保护测评报告,最终完成验收测评工作,达到国家规定的信息安全要求,并完成向市公安局提交验收 测评备案。jLBHrnAILg 2.2依据及参考规范 投标人必须依据如下标准实施测评服务: GB17859-1999计算机信息系统安全保护等级划分准则 GB/T22239—20XX信息系统安全等级保护基本要求 GB/T22240—20XX信息系统安全等级保护定级指南

等级保护测评师培训及考试指南

等级测评师培训及考试指南 为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作的顺利开展,公安部下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),对等级测评工作、等级测评机构建设以及等级测评人员进行了规范和要求。要求开展等级测评的人员参加专门培训和考试,并取得《信息安全等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。 公安部信息安全等级保护评估中心(以下简称“评估中心”)是由公安部为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,评估中心受国家信息安全等级保护工作协调小组办公室委托,对从事等级测评的人员进行培训和考试,对考试合格人员颁发相应的《信息安全等级测评师》证书。 1.等级测评师的分类及能力要求 信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。其中,初级等级测评师又分为技术和管理两类。三级等级测评师能力要求如下: 初级等级测评师 o了解信息安全等级保护的相关政策、标准; o熟悉信息安全基础知识; o熟悉信息安全产品分类,了解其功能、特点和操作方法; o掌握等级测评方法,能够根据测评指导书客观、准确、完整 地获取各项测评证据; o掌握测评工具的操作方法,能够合理设计测试用例获取所需 测试数据; o能够按照报告编制要求整理测评数据。

?中级等级测评师 o熟悉信息安全等级保护相关政策、法规; o正确理解信息安全等级保护标准体系和主要标准内容,能够 跟踪国内、国际信息安全相关标准的发展; o掌握信息安全基础知识,熟悉信息安全测评方法,具有信息 安全技术研究的基础和实践经验; o具有较丰富的项目管理经验, 熟悉测评项目的工作流程和 质量管理的方法,具有较强的组织协调和沟通能力; o能够独立开发测评指导书,熟悉测评指导书的开发、版本控 制和评审流程; o能够根据信息系统的特点,编制测评方案,确定测评对象、 测评指标和测评方法; o具有综合分析和判断的能力,能够依据测评报告模板要求编 制测评报告,能够整体把握测评报告结论的客观性和准确 性。具备较强的文字表达能力; o了解等级保护各个工作环节的相关要求。能够针对测评中发 现的问题,提出合理化的整改建议。 ?高级等级测评师 o熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发 展; o对信息安全等级保护标准体系及主要标准有较为深入的理 解; o具有信息安全理论研究的基础、实践经验和研究创新能力; o具有丰富的质量体系管理和项目管理经验,具有较强的组织 协调和管理能力; o熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整 改各个工作环节的要求。 2.培训及考试对象

《信息安全等级保护管理办法》(全文)

7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下: 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

相关主题