根据提供的信息,这是对高度保密级别(复杂度从1到7)的信息系统的技术和管理要求。以下是技术要求的主要摘要:
Đối tượng áp dụng
信息系统需要根据功能设计多个独立网络区域。特别是处理国家机密信息的高度保密级别的信息系统。
Các điểm cốt lõi
- 系统设计要求:
- 按照功能设计系统中的网络区域(例如:内部网络、边界网络、DMZ等)。- 确保远程访问管理和网络区域之间的安全管理。- 平衡网络设备负载并进行备份。- 使用专用防火墙保护数据库服务器(如需)。- 在网络环境中过滤恶意软件。- 防御拒绝服务攻击(DoS)。- 保护Web应用程序。- 管理电子邮件系统的安全性。- 集中监控和分析安全事件。
- 系统设置和配置要求:
- 控制外部和网络内的访问。- 记录系统日志。- 防御入侵。- 保护恶意软件。- 处理服务器在移交时的问题。- 确保应用程序和源代码的安全性。
- 管理要求:
- 信息系统安全设计。- 开发外包软件。- 测试和验收系统。- 系统运行管理(包括网络、服务器、数据、终端设备等管理)。- 信息安全风险管理工作。
- 方案:
- 信息安全风险管理。- 结束运营、使用、清算和废弃系统。
🌐 Tác động xã hội từ văn bản này
- 遵守这些要求有助于保护信息系统免受网络安全威胁,并确保数据完整性。
- 信息安全风险管理和结束运营方案在减少事故发生时的负面影响方面也起着重要作用。
❓ Câu hỏi thường gặp
为什么需要设计独立的网络区域?
这种设计将系统划分为更小的部分,便于管理和提高安全性。
地理冗余方案是什么?
这是在不同地理位置部署系统以确保在特定位置发生故障时仍能保持运行能力的方案。
Toàn văn
|
信息和通信部 |
社会主义共和国越南 独立 自由 幸福 |
| 编号:12/2022/TT-BTTTT | 北京,二零二二年八月十二日 |
对国务院令第85号令(2016年7月1日发布)关于分等级保障信息系统安全的若干条款进行详细规定和指导
国务院令第85号令(2016年7月1日发布)
关于分等级保障信息系统安全
根据2015年11月19日《网络安全法》;
根据二零一六年七月一日国务院令第85号《关于信息安全等级保护制度的规定》;
根据二零二二年七月二十六日国务院第48/2022/NĐ-CP号法令关于电信部职能、任务、权限和组织结构的规定;
根据国家信息安全中心负责人的建议
信息与通信部部长发布本通知,对国务院令第85号令(2016年7月1日发布)关于分等级保障信息系统安全的若干条款进行详细规定和指导。
第一章
总 则
第一条 调整范围
本通知对分等级保障信息系统安全作出详细规定和指导,包括:确定信息系统及其安全等级;按等级保障信息系统安全的要求;信息安全检查和评估;报告制度。
第二条 适用对象
本通知的适用对象按照国务院令第85号令(2016年7月1日发布)第二条规定执行。
条3. 术语解释
在本通知中,下列术语定义如下:
1. 热备能力 是指在设备发生故障时能够替代其功能而不中断系统运行的能力。
2. 主要或重要网络设备 是指在未预先计划的情况下停止运行会导致整个信息系统中断的设备。主要网络设备根据信息系统的等级确定,至少包括:中央交换机或同等设备、中央防火墙、Web应用防火墙、集中存储系统、数据库防火墙。
第四条 信息系统主管
一、对于各部、相当于部级的机构、政府直属机构、各省、直辖市人民政府,信息系统主管为以下情况之一:
(一)各部、相当于部级的机构、政府直属机构;
(二)各省、直辖市人民政府;
(三)有权决定投资建设、建立、升级或扩展信息系统的部门。各部、相当于部级的机构、政府直属机构、各省、直辖市人民政府根据本款规定决定信息系统主管,并确保被指定的信息系统主管具备足够的能力来全面执行国务院令第85号令第二十条的规定。
二、对于企业和其他组织(非各部、相当于部级的机构、政府直属机构、各省、直辖市人民政府),信息系统主管为有权决定投资建设、建立、升级或扩展信息系统的部门。
三、必要时,信息系统主管可以授权下属具有足够能力的组织代表履行国务院令第85号令第二十条规定的主管责任。
授权信息系统主管的责任必须以书面形式进行,明确授权范围、受托组织的责任以及授权期限。
第五条 信息系统运营单位
一、信息系统运营单位是由信息系统主管指定负责信息系统运行的机关或组织。
二、如果信息系统包含多个组成部分或分散,且有多个运营单位,信息系统主管应指定一个主要运营单位,该单位负责执行法律规定下的权利和义务。
三、在租赁信息技术服务的情况下,运营单位的确定如下:
(一)如果尚未根据法律规定确定服务提供商,则主要租赁方被视为运营单位;
(二)如果已根据法律规定确定了服务提供商,则运营单位为服务提供商;
(三)在服务期满后,如果通过租赁方式建立的信息系统继续运行,则运营单位为主要租赁方。
第六条 安全信息专职单位同时被系统信息主管单位委托管理、运行信息系统时的等级评定申请审查
当安全信息专职单位同时被系统信息主管单位委托管理、运行信息系统时,组织对等级评定申请审查应按照以下方案之一进行:
一、安全信息专职单位向系统信息主管单位提交一个具有足够能力的下属单位主持并组织实施等级评定申请审查。
二、安全信息专职单位向系统信息主管单位提议成立独立评审委员会负责实施等级评定申请审查任务。
第二章
确定信息系统和说明
信息系统安全等级
第七条 确定信息系统
一、确定信息系统以确定等级,依据第五条第一款规定的准则,根据第85/2016/NĐ-CP号法令的规定。
二、内部使用的信息系统是指仅用于机构或组织内部管理和运营的信息系统。
三、面向公众和企业的信息系统是指直接或支持提供在线服务,包括在线公共服务和其他在线服务,在电信、信息技术、商业、金融、银行、医疗、教育及其他专业领域。
四、信息基础设施系统是指为多个机构或组织共同使用的设备集合、传输线路连接,如广域网、数据库、数据中心、云计算;电子认证、电子验证、数字签名;连接各信息系统。
五、工业控制系统是指具有监控、数据收集、管理和控制重要项目功能,以确保建设和运行项目的正常操作。
六、其他信息系统是指不属于本条第二、三、四、五款所述类型的信息系统,直接或支持特定业务、生产和经营活动的专业机构或组织。
七、每季度初(季度第一天),国家信息安全局—信息与通信部有责任更新并补充根据本条第二、三、四、五、六款规定的信息系统目录,并在信息与通信部官方网站上公布。
第八条 信息系统安全等级说明
一、对于新建或扩建的信息系统,根据投资形式和技术方案,在经济-技术报告(适用于采用一步设计方案的投资项目)中,在可行性研究报告中的基础设计部分(适用于采用两步设计方案的投资项目)中,在信息技术服务租赁计划(适用于租赁信息技术服务的情况)中,在详细预算和大纲(适用于无需立项的应用信息技术投资情况)中,必须满足所建议的安全保障措施方案的要求,该方案应在等级评定申请书中详细说明。
二、等级评定申请书说明包括以下组成部分:
a) 信息系统总体说明;
b) 提出等级的说明;
c) 安全保障措施方案说明。
三、信息系统总体说明包括以下内容:
a) 关于信息系统主管单位的信息,包括:信息系统主管单位名称;职能、职责和权限规定;代表人及其职务;地址;联系方式(包括电话号码、电子邮件);
b) 关于信息系统运行单位的信息,包括:运行单位名称;职能、职责和权限规定;代表人及其职务;地址;联系方式(包括电话号码、电子邮件);
c) 描述信息系统的范围和规模,其中需明确系统的范围、规模和服务对象;
d) 描述现有系统架构(对于正在运行的系统)或新建设或升级扩展的系统架构(对于新建设或升级扩展的系统),其中包括具体描述逻辑模型、物理模型、系统主要设备和网络设备清单(包括设备名称/种类、部署位置、用途)、由系统提供的应用和服务清单(包括服务名称、服务器部署位置/操作系统、服务用途)、系统内网络区域规划和IP地址分配(包括网络区域、内部IP地址(IP Private)、公共IP地址(IP Public))。
四、提出等级的说明包括以下内容:
a) 各信息系统及其相应等级的清单,包括:信息系统名称、建议等级、每个信息系统建议等级的依据;
b) 对各信息系统详细说明,其中需明确处理的信息类型、信息系统类型、每个信息系统建议等级的依据。
五、对于建议等级为四级或五级的信息系统,除本条第三款规定的内容外,还需明确以下内容:
a) 确定与建议等级的信息系统相关或连接或对其正常运行有重大影响的其他信息系统;
b) 对建议等级的信息系统可能面临的网络攻击风险及影响程度的说明;
c) 评估网络攻击导致信息安全受损或中断建议等级的信息系统运行时对公共利益、社会秩序或国家安全的影响范围和程度。
d)说明需要连续运行24/7且未经预先计划不得停止运行的信息系统的要求,依据第85/2016/NĐ-CP号法令第十条第二款和第三款的规定。
6.说明确保信息安全的方案,包括以下内容:
a)说明满足所提议级别的管理要求的方案;
b)说明满足所提议级别的技术要求的方案。
第三章
信息安全要求
按级别划分的信息系统
第九条 一般要求
1.按级别保障信息系统安全应遵循本通知的基本要求以及《信息技术 安全技术 基本信息安全要求》(GB/T 11930-2017)国家标准。
2.本通知中规定的各级别基本要求是保障信息系统安全的最低要求,包括基本管理要求和技术基本要求,不包括物理安全保障要求。
3.基本管理要求包括:
a)建立信息安全政策;
b)组织信息安全保障;
c)保障人力资源;
d)管理设计、建设系统;
đ)管理系统运行;
e)信息安全风险管理方案;
g)信息系统的结束运行、开发、清算、销毁方案。
4.基本技术要求包括:
a)保障网络安全;
b)保障服务器安全;
c)保障应用安全;
d)保障数据安全。
5.制定满足各级别基本要求的信息安全保障方案,应按照第85/2016/NĐ-CP号法令第四条第二款的规定进行,具体如下:
a)对于一级、二级、三级信息系统:信息安全保障方案必须考虑在保护措施和资源共享方面不同系统之间的共用性,以优化性能,避免过度投资、重复和浪费;
b)对于四级、五级信息系统:信息安全保障方案需设计为具备高可用性、分离性和当系统内某一组成部分或与系统相关的部分发生信息安全事件时限制对整个系统的影响的能力;
6.新建或扩建的信息系统,在投入运行前必须实施已批准的等级申请文件中的信息安全保障方案,并符合本通知第九条和第十条的安全要求。
7.信息系统的安全管理制度须根据相应级别的信息安全系统要求制定并由有权机关批准发布,且在等级申请文件被批准之前完成。
8.新建或扩建内部软件时的信息安全保障要求:
a)新建或扩建的内部软件必须遵守安全软件开发框架;
b)满足内部软件的基本安全要求。
9.对于采用数据中心或云计算形式部署的三级信息系统,系统设计必须满足以下要求:
a)必须逻辑上独立于其他系统设计,并采取访问控制措施;
b)系统内的网络区域必须逻辑上独立设计,并采取访问控制措施;
c)有逻辑上独立分区的数据存储。
10.对于采用数据中心或云计算形式部署的四级或五级信息系统,系统设计必须满足以下要求:
a)必须物理上独立于其他系统设计,并采取访问控制措施;
b)系统内的网络区域必须逻辑上独立设计,并采取访问控制措施;
c)有物理上独立分区的数据存储;
d)主要网络设备必须物理上独立。
条 10. 各级别的信息安全保障方案
1. 级别1的信息系统安全保障方案必须符合本通知附件I中详细规定的相关要求。
2. 级别2的信息系统安全保障方案必须符合本通知附件II中详细规定的相关要求。
3. 级别3的信息系统安全保障方案必须符合本通知附件III中详细规定的相关要求。
4. 级别4的信息系统安全保障方案必须符合本通知附件IV中详细规定的相关要求。
5. 级别5的信息系统安全保障方案必须符合本通知附件V中详细规定的相关要求。
第四章 实施细则
信息安全检查和评估
条 11. 信息安全检查和评估的一般规定
1. 检查和评估的内容:
a) 检查和评估信息系统安全等级制度的遵守情况;
b) 检查和评估信息安全保障措施的有效性,根据批准的信息安全保障方案;
c) 检查和评估发现恶意代码、漏洞、弱点,并进行系统入侵测试。
2. 检查和评估的频率:
a) 根据第20条第2款第c项《国务院令第85号》的规定定期进行检查和评估;
b) 根据有权机关的要求进行突击检查和评估。
3. 发现恶意代码、漏洞、弱点并进行系统入侵测试的形式包括以下三种:
a) 黑盒检查和评估(Black box);
b) 灰盒检查和评估(Gray box);
c) 白盒检查和评估(White box)。
条 12. 信息安全检查和评估的内容
1. 检查和评估遵守法律规定的信息系统安全保障方案的内容,包括:
a) 按照《国务院令第85号》第20条规定,对信息系统的主管单位进行检查和评估,包括:按照《国务院令第85号》第20条第1款的规定成立或指定专门机构或部门负责信息安全;制定并提交安全级别申请书,组织审核和批准安全级别申请书;实施经批准的安全级别申请书中规定的信息安全保障方案;在本机构或组织内组织实施信息安全检查和风险管理工作;按照《国务院令第85号》第20条第2款第d项的规定组织短期培训、宣传、普及和提高信息安全意识以及演练;
b) 按照《国务院令第85号》第21条规定,对信息系统的主管单位的专门机构进行检查和评估,包括:提供咨询、执行、督促、检查和监督信息安全工作的内容;按照规定的权限对安全级别申请书进行审核、批准或提出专业意见;
c) 按照《国务院令第85号》第22条规定,对运营单位进行检查和评估;
d) 对按照批准的信息安全保障方案实施的信息安全保障措施进行检查和评估。
2. 检查和评估批准的信息安全保障方案中各项措施有效性的内容,包括:
a) 检查批准的信息安全管理规定关于管理方面的完整性和适用性;
b) 评估在信息系统运行、使用、结束或废弃过程中遵守信息安全管理规定的情况;
c) 评估按照批准的信息安全保障方案设计系统的情况;
d) 评估按照批准的信息安全保障方案设置和配置系统的情况;
e) 检查并加强系统设备、操作系统、应用程序、数据库和其他相关部分的安全配置,按照工业和信息化部的指导进行。
3. 检查和评估发现恶意代码、漏洞、弱点并进行系统入侵测试的内容,包括:
a) 扫描和发现系统中的恶意代码、漏洞、弱点,并对系统设备、操作系统、应用程序、数据库和其他相关部分进行攻击测试;
b) 评估内部软件源代码的安全性;
c) 提出处理漏洞、弱点的方案和计划,以及加强安全配置的方案,针对评估结果未达标的项目。
第五章
报告制度
条13. 关于报告制度的一般规定
1. 报告的提交和接收方式:
a) 通过公文管理系统提交;
b) 通过由工业和信息化部部署的报告软件系统提交;
c) 通过电子邮件系统提交;
d) 法律规定的其他方式。
2. 报告的频率:
a) 每年定期;
b) 根据有权机关的要求随时进行。
3. 定期年度报告的数据截止时间:
从报告期前一年的12月15日至报告期的12月14日。
4. 定期年度报告的提交期限:
a) 负责信息安全的单位、信息系统的运行单位应在每年12月20日前向信息系统主管单位提交报告;
b) 信息系统主管单位应在每年12月25日前向工业和信息化部提交报告。
条14. 报告内容
1. 有关信息系统主管单位、负责信息安全的单位、运行单位的信息,包括:信息系统主管单位名称、负责信息安全的单位名称、运行单位名称;职能、任务和权限的规定;代表人及其职务;地址;联系方式(包括电话号码、电子邮件)。
2. 所属管理范围内的信息系统清单,包括:系统名称、运行单位、建议级别。
3. 已经批准信息安全等级申请表的信息系统清单。
4. 已经全面实施、部分实施或尚未实施符合已批准信息安全等级方案的安全措施的信息系统清单。
5. 已经制定并执行信息安全保障制度的信息系统清单。
6. 在运行、使用、终止或取消信息系统过程中遵守信息安全保障制度规定的程序和要求的信息系统清单。
7. 经过检查和评估的信息系统清单。
8. 对按照已批准的信息安全等级申请表中的信息安全保障方案,在各个标准和要求下实施的安全措施的评价。
9. 批准信息安全等级申请表和信息安全保障方案的信息,包括各个标准和要求(是否完全满足;未满足标准和要求的改进计划或路线图)。
10. 发布和执行的信息安全保障制度的信息。
11. 其他有权机关要求提供的信息。
第六章
组织实施
条15. 新建或扩建、升级信息系统时信息安全等级申请表的审批时间
建议在有权机关批准经济和技术报告或基础设计属于可行性研究报告或信息技术服务租赁计划或详细预算概要之前审批信息安全等级申请表。
条16. 过渡条款
1. 对于正在运行和使用且在本通知生效前已经批准了信息安全等级的信息系统:信息系统主管单位应审查信息安全等级申请表和已批准的信息安全保障方案。如果需要,必须在2023年6月前完成对信息安全等级申请表和信息安全保障方案的审查、调整和重新审批。
2. 对于正在运行和使用但尚未批准信息安全等级申请表的信息系统:应建立、审核并批准信息安全等级申请表,并根据申请表中批准的方案实施信息安全保障措施,以满足《工业和信息化部关于信息安全等级保护若干问题的实施细则》(2017年第3号通知)和本通知的要求,确保本通知生效后无需重复进行信息安全等级申请表的建立、审核和批准过程。
条17. 生效和执行责任
1. 本通知自2022年10月1日起生效,并取代《工业和信息化部关于信息安全等级保护若干问题的实施细则》(2017年第3号通知)。
2. 在执行本通知的过程中,如遇困难,请联系工业和信息化部(网络安全局)协助解决。
|
发送单位: - 总理和副总理(存档用); 中央办公厅及党中央各部门; - 全国人民代表大会常务委员会办公室; - 国家审计署; - 最高人民法院; - 各部、相当于部级的机构、政府直属机构; - 最高人民法院; - 最高人民检察院; 国家审计署; - 各中央团体机关; - 各省、直辖市人民政府; - 政府法制司(司法部); 各省、直辖市政府通信管理局; - 法院公报;政府门户网站; - 工信部:部长及副部长;部内各单位;电子政务门户网站; - 存档:档案室,网安局(230)。 |
部长 (签字) 阮孟雄
|
附件一
信息安全基本要求
对于一级信息系统
(随同本通知发布)
年 月 日 2022年 工业和信息化部部长发布
一、管理要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
建立信息安全政策 |
节 5.1.1 |
|
1.1.1 |
信息安全政策 |
节 5.1.1.1 |
|
1.1.2 |
建立和公布 |
节 5.1.1.2 |
|
1.1.3 |
审查、修改 |
节 5.1.1.3 |
|
1.2 |
组织保障信息安全 |
节 5.1.2 |
|
1.2.1 |
专门负责信息安全的单位 |
节 5.1.2.1 |
|
1.2.2 |
与有权限的机关/组织配合 |
节 5.1.2.2 |
|
1.3 |
确保人力资源 |
节 5.1.3 |
|
1.3.1 |
招聘 |
节 5.1.3.1 |
|
1.3.2 |
在工作过程中 |
节 5.1.3.2 |
|
1.3.3 |
结束或改变工作 |
节 5.1.3.3 |
|
1.4 |
系统设计和建设管理 |
节 5.1.4 |
|
1.4.1 |
信息系统安全设计 |
节 5.1.4.1 |
|
1.4.2 |
系统测试和验收 |
节 5.1.4.2 |
|
1.5 |
系统运行管理 |
节 5.1.5 |
|
1.5.1 |
网络安全管理 |
节 5.1.5.1 |
|
1.5.2 |
主机和应用安全管理 |
节 5.1.5.2 |
|
1.5.3 |
数据安全管理 |
节 5.1.5.3 |
|
1.6 |
信息安全风险管理方案 |
|
|
1.7 |
运行终止、处置、废弃方案 |
|
第二部分 技术要求
1. 设计系统的要求
a) 按照功能设计网络区域,至少包括以下区域:
i. 内部网络区域;
ii. 边界网络区域;
iii. DMZ区域。
b) 应采取设计措施以满足以下要求:
i. 提供远程访问和管理系统安全使用虚拟专用网络或其他等效方案;
ii. 提供区域间访问管理和入侵防护方案,使用集成入侵防御功能的防火墙产品或其他等效方案;
iii. 提供主机和终端防病毒方案,使用防病毒产品或其他等效方案。
2. 系统建立和配置的要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
网络安全保障 |
节 5.2.1 |
|
1.1.1 |
外部网络访问控制 |
节 5.2.1.2 |
|
1.1.2 |
系统日志 |
节 5.2.1.3 |
|
1.1.3 |
入侵防护 |
节 5.2.1.4 |
|
1.1.4 |
系统设备保护 |
节 5.2.1.5 |
|
1.2 |
主机安全保障 |
节 5.2.2 |
|
1.2.1 |
验证 |
节 5.2.2.1 |
|
1.2.2 |
访问控制 |
节 5.2.2.2 |
|
1.2.3 |
||| 系统日志 |
节 5.2.2.3 |
|
1.2.4 |
入侵防护 |
节 5.2.2.4 |
|
1.2.5 |
防止恶意软件 |
节 5.2.2.5 |
|
1.3 |
应用安全保障 |
节 5.2.3 |
|
1.3.1 |
验证 |
节 5.2.3.1 |
|
1.3.2 |
访问控制 |
节 5.2.3.2 |
|
1.3.3 |
系统日志 |
节 5.2.3.3 |
|
1.4 |
数据安全保障 |
节 5.2.4 |
|
1.4.1 |
备份恢复 |
节 5.2.4.1 |
附件二
信息安全基本要求
对于第二级信息系统
(随同发布通字编号_____/2022/TT-BTTTT
年 月 日 2022年 工业和信息化部部长发布
一、管理要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
建立信息安全政策 |
节 6.1.1 |
|
1.1.1 |
信息安全政策 |
节 6.1.1.1 |
|
1.1.2 |
建立和公布 |
节 6.1.1.2 |
|
1.1.3 |
审查、修改 |
节 6.1.1.3 |
|
1.2 |
组织保障信息安全 |
节 6.1.2 |
|
1.2.1 |
专门负责信息安全的单位 |
节 6.1.2.1 |
|
1.2.2 |
与有权限的机关/组织配合 |
节 6.1.2.2 |
|
1.3 |
确保人力资源 |
节 6.1.3 |
|
1.3.1 |
招聘 |
节 6.1.3.1 |
|
1.3.2 |
在工作过程中 |
节 6.1.3.2 |
|
1.3.3 |
结束或改变工作 |
节 6.1.3.3 |
|
1.4 |
系统设计和建设管理 |
节 6.1.4 |
|
1.4.1 |
信息系统安全设计 |
节 6.1.4.1 |
|
1.4.2 |
承包软件开发 |
节 6.1.4.2 |
|
1.4.3 |
系统测试和验收 |
节 6.1.4.3 |
|
1.5 |
系统运行管理 |
节 6.1.5 |
|
1.5.1 |
网络安全管理 |
节 6.1.5.1 |
|
1.5.2 |
主机和应用安全管理 |
节 6.1.5.2 |
|
1.5.3 |
数据安全管理 |
节 6.1.5.3 |
|
1.5.4 |
信息安全事件管理 |
节 6.1.5.4 |
|
1.5.5 |
用户终端安全管理 |
节 6.1.5.5 |
|
1.6 |
信息安全风险管理方案 |
|
|
1.7 |
运行终止、处置、废弃方案 |
|
第二部分 技术要求
1. 设计系统的要求
a) 按照功能设计网络区域,至少包括以下区域:
i. 内部网络区域;
ii. 边界网络区域;
iii. DMZ区域;
iv. 内部服务器区域;
v. 如果存在,则独立分离的无线网络区域。
b) 应采取设计措施以满足以下要求:
i. 提供远程访问和管理系统安全使用虚拟专用网络或其他等效方案;
ii. 提供区域间访问管理和入侵防护方案,使用集成入侵防御功能的防火墙产品或其他等效方案;
iii. 提供主机和终端防病毒方案,使用防病毒产品或其他等效方案;
iv. 提供针对Web应用的攻击防护方案;对于信息系统,按照第8条第2款的规定使用Web应用防火墙(NĐ-CP第85/2016号法令);
v. 提供电子邮件系统的安全保障方案;
vi. 提供主要网络设备的备份方案,包括中央交换机或同等设备,中央防火墙。
2. 系统建立和配置的要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
网络安全保障 |
节 6.2.1 |
|
1.1.1 |
外部网络访问控制 |
节 6.2.1.2 |
|
1.1.2 |
内部网络访问控制 |
节 6.2.1.3 |
|
1.1.3 |
系统日志 |
节 6.2.1.4 |
|
1.1.4 |
入侵防护 |
节 6.2.1.5 |
|
1.1.5 |
系统设备保护 |
节 6.2.1.6 |
|
1.2 |
主机安全保障 |
节 6.2.2 |
|
1.2.1 |
验证 |
节 6.2.2.1 |
|
1.2.2 |
访问控制 |
节 6.2.2.2 |
|
1.2.3 |
||| 系统日志 |
节 6.2.2.3 |
|
1.2.4 |
入侵防护 |
节 6.2.2.4 |
|
1.2.5 |
防止恶意软件 |
节 6.2.2.5 |
|
1.2.6 |
处理服务器在移交时 |
节 6.2.2.6 |
|
1.3 |
应用安全保障 |
节 6.2.3 |
|
1.3.1 |
验证 |
节 6.2.3.1 |
|
1.3.2 |
访问控制 |
节 6.2.3.2 |
|
1.3.3 |
系统日志 |
节 6.2.3.3 |
|
1.3.4 |
应用和源代码安全 |
节 6.2.3.4 |
|
1.4 |
数据安全保障 |
节 6.2.4 |
|
1.4.1 |
数据保密 |
节 6.2.4.1 |
|
1.4.2 |
备份恢复 |
节 6.2.4.2 |
附件III
信息安全基本要求
对于三级信息系统
(随同发布通字编号_____/2022/TT-BTTTT
年 月 日 2022年 工业和信息化部部长发布
一、管理要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
建立信息安全政策 |
节 7.1.1 |
|
1.1.1 |
信息安全政策 |
节 7.1.1.1 |
|
1.1.2 |
建立和公布 |
节 7.1.1.2 |
|
1.1.3 |
审查、修改 |
节 7.1.1.3 |
|
1.2 |
组织保障信息安全 |
节 7.1.2 |
|
1.2.1 |
专门负责信息安全的单位 |
节 7.1.2.1 |
|
1.2.2 |
与有权限的机关/组织配合 |
节 7.1.2.2 |
|
1.3 |
确保人力资源 |
节 7.1.3 |
|
1.3.1 |
招聘 |
节 7.1.3.1 |
|
1.3.2 |
在工作过程中 |
节 7.1.3.2 |
|
1.3.3 |
结束或改变工作 |
节 7.1.3.3 |
|
1.4 |
系统设计和建设管理 |
节 7.1.4 |
|
1.4.1 |
信息系统安全设计 |
节 7.1.4.1 |
|
1.4.2 |
承包软件开发 |
节 7.1.4.2 |
|
1.4.3 |
系统测试和验收 |
节 7.1.4.3 |
|
1.5 |
系统运行管理 |
节 7.1.5 |
|
1.5.1 |
网络安全管理 |
节 7.1.5.1 |
|
1.5.2 |
主机和应用安全管理 |
节 7.1.5.2 |
|
1.5.3 |
数据安全管理 |
节 7.1.5.3 |
|
1.5.4 |
终端安全管理 |
节 7.1.5.4 |
|
1.5.5 |
防止恶意软件管理 |
节 7.1.5.5 |
|
1.5.6 |
系统信息安全监控管理 |
节 7.1.5.6 |
|
1.5.7 |
信息安全隐患管理 |
节 7.1.5.7 |
|
1.5.8 |
信息安全事件管理 |
节 7.1.5.8 |
|
1.5.9 |
用户终端安全管理 |
节 7.1.5.9 |
|
1.6 |
信息安全风险管理方案 |
|
|
1.7 |
运行终止、处置、废弃方案 |
|
第二部分 技术要求
1. 设计系统的要求
a) 按照功能设计网络区域,至少包括以下区域:
i. 内部网络区域;
ii. 边界网络区域;
iii. DMZ区域;
iv. 内部服务器区域;
ⅴ. 无线网络区域(如有)应独立隔离,与其他网络区域分开;
ⅵ. 数据库服务器网络区域;
ⅶ. 管理区域。
b) 应采取设计措施以满足以下要求:
ⅰ. 有使用虚拟专用网络或等效方案的安全远程访问和管理系统策略;对于处理国家机密信息的系统或根据第85/2016号法令第9条第2款c项规定的系统,使用虚拟专用网络产品;
ⅱ. 有使用防火墙产品或网络入侵防御产品的网络区域间访问管理和入侵防护策略;
ⅲ. 有主要网络设备的负载均衡和热备份方案,至少包括中央交换机或等效设备、中央防火墙、Web应用防火墙、集中存储系统、数据库防火墙(如有);
ⅳ. 有保护数据库服务器的安全方案;对于集中式数据库系统,使用数据库防火墙产品,符合第85/2016号法令第9条第3款规定的标准;
ⅴ. 有在网络环境中使用集成防恶意软件功能的防火墙或其他等效方案的恶意软件过滤策略;
ⅵ. 有防止分布式拒绝服务攻击的策略;对于数据中心、云计算、电子身份认证、电子认证、数字签名和数据集成共享系统,使用企业服务或分布式拒绝服务攻击防护产品,符合第85/2016号法令第9条第3款规定的标准;
ⅶ. 有针对Web应用的网络安全防护策略;对于第85/2016号法令第9条第2款规定的系统,使用Web应用防火墙产品;
ⅷ. 有确保电子邮件系统的安全策略;对于电子邮件系统,使用电子邮件安全产品,符合第85/2016号法令第9条第2款规定的标准;
ⅸ. 有网络层访问管理策略;对于内部网络、网络信息安全监控中心系统,使用网络层访问管理产品,符合第85/2016号法令第9条第3款规定的标准;
ⅹ. 有集中监控信息系统策略;
ⅺ. 有使用安全事件管理和分析产品或其他等效产品的集中信息系统安全监控策略;
ⅻ. 有使用集中管理的终端恶意软件防护产品或安全事件检测和响应产品的集中备份和恢复管理策略;
ⅼ. 有防止数据泄露的策略;对于处理国家机密信息的系统或第85/2016号法令第9条第2款c项规定的系统,使用数据泄露防护产品;
ⅽ. 有互联网连接备用方案的服务器服务;
ⅾ. 有确保无线网络(如有)安全的策略。
十六. 有保障无线网络安全的方案(如有)。
2. 系统建立和配置的要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
网络安全保障 |
节 7.2.1 |
|
1.1.1 |
外部网络访问控制 |
节 7.2.1.2 |
|
1.1.2 |
内部网络访问控制 |
节 7.2.1.3 |
|
1.1.3 |
系统日志 |
节 7.2.1.4 |
|
1.1.4 |
入侵防护 |
节 7.2.1.5 |
|
1.1.5 |
防止网络环境中的恶意软件 |
节 7.2.1.6 |
|
1.1.6 |
系统设备保护 |
节 7.2.1.7 |
|
1.2 |
主机安全保障 |
节 7.2.2 |
|
1.2.1 |
验证 |
节 7.2.2.1 |
|
1.2.2 |
访问控制 |
节 7.2.2.2 |
|
1.2.3 |
||| 系统日志 |
节 7.2.2.3 |
|
1.2.4 |
入侵防护 |
节 7.2.2.4 |
|
1.2.5 |
防止恶意软件 |
节 7.2.2.5 |
|
1.2.6 |
处理服务器在移交时 |
节 7.2.2.6 |
|
1.3 |
应用安全保障 |
节 7.2.3 |
|
1.3.1 |
验证 |
节 7.2.3.1 |
|
1.3.2 |
访问控制 |
节 7.2.3.2 |
|
1.3.3 |
系统日志 |
节 7.2.3.3 |
|
1.3.4 |
通信信息安全 |
节 7.2.3.4 |
|
1.3.5 |
反否认 |
节 7.2.3.5 |
|
1.3.6 |
应用和源代码安全 |
节 7.2.3.6 |
|
1.4 |
数据安全保障 |
节 7.2.4 |
|
1.4.1 |
数据完整性 |
节 7.2.4.1 |
|
1.4.2 |
数据保密 |
节 7.2.4.2 |
|
1.4.3 |
备份恢复 |
节 7.2.4.3 |
附件IV
信息安全基本要求
对于四级信息系统
(随同发布通字编号_____/2022/TT-BTTTT
年 月 日 2022年 工业和信息化部部长发布
一、管理要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
建立信息安全政策 |
节 8.1.1 |
|
1.1.1 |
信息安全政策 |
节 8.1.1.1 |
|
1.1.2 |
建立和公布 |
节 8.1.1.2 |
|
1.1.3 |
审查、修改 |
节 8.1.1.3 |
|
1.2 |
组织保障信息安全 |
节 8.1.2 |
|
1.2.1 |
专门负责信息安全的单位 |
节 8.1.2.1 |
|
1.2.2 |
与有权限的机关/组织配合 |
节 8.1.2.2 |
|
1.3 |
确保人力资源 |
节 8.1.3 |
|
1.3.1 |
招聘 |
节 8.1.3.1 |
|
1.3.2 |
在工作过程中 |
节 8.1.3.2 |
|
1.3.3 |
结束或改变工作 |
节 8.1.3.3 |
|
1.4 |
系统设计和建设管理 |
节 8.1.4 |
|
1.4.1 |
信息系统安全设计 |
节 8.1.4.1 |
|
1.4.2 |
承包软件开发 |
节 8.1.4.2 |
|
1.4.3 |
系统测试和验收 |
节 8.1.4.3 |
|
1.5 |
系统运行管理 |
节 8.1.5 |
|
1.5.1 |
网络安全管理 |
节 8.1.5.1 |
|
1.5.2 |
主机和应用安全管理 |
节 8.1.5.2 |
|
1.5.3 |
数据安全管理 |
节 8.1.5.3 |
|
1.5.4 |
终端安全管理 |
节 8.1.5.4 |
|
1.5.5 |
防止恶意软件管理 |
节 8.1.5.5 |
|
1.5.6 |
系统信息安全监控管理 |
节 8.1.5.6 |
|
1.5.7 |
信息安全隐患管理 |
节 8.1.5.7 |
|
1.5.8 |
信息安全事件管理 |
节 8.1.5.8 |
|
1.5.9 |
用户终端安全管理 |
节 8.1.5.9 |
|
1.6 |
信息安全风险管理方案 |
|
|
1.7 |
运行终止、处置、废弃方案 |
|
第二部分 技术要求
1. 设计系统的要求
a) 按照功能设计网络区域,至少包括以下区域:
i. 内部网络区域;
ii. 边界网络区域;
iii. DMZ区域;
iv. 内部服务器区域;
ⅴ. 无线网络区域(如有)应独立隔离,与其他网络区域分开;
ⅵ. 数据库服务器网络区域;
ⅶ. 管理区域;
ⅷ. 设备管理区域;
b) 应采取设计措施以满足以下要求:
一. 有安全的远程系统管理和控制方案,使用虚拟专用网络或等效方案;对于处理国家秘密信息的信息系统,使用虚拟专用网络产品;
ⅱ. 有使用防火墙产品或网络入侵防御产品的网络区域间访问管理和入侵防护策略;
ⅲ. 有主要网络设备的负载均衡和热备份方案,至少包括中央交换机或等效设备、中央防火墙、Web应用防火墙、集中存储系统、数据库防火墙(如有);
四. 有数据库服务器的安全保障方案;对于符合第85/2016/NĐ-CP号法令第十条第三款规定的共享数据库系统,使用数据库防火墙产品;
五. 有在网络环境中阻止和过滤恶意软件的方案,使用集成网络恶意软件防护功能的防火墙产品或其他等效方案;
六. 有防止拒绝服务攻击的方案;对于符合第85/2016/NĐ-CP号法令第十条第二款规定的信息系统或数据中心、云计算、电子身份认证、电子验证、数字签名、集成连接、数据共享系统,且符合第85/2016/NĐ-CP号法令第十条第三款规定的,使用拒绝服务攻击防护服务或产品;
七. 有针对Web应用的网络安全防护方案;对于符合第85/2016/NĐ-CP号法令第十条第二款规定的信息系统或数据中心、云计算、电子身份认证、电子验证、数字签名、集成连接、数据共享系统,且符合第85/2016/NĐ-CP号法令第十条第三款规定的,使用Web应用防火墙产品;
八. 有电子邮件系统的安全保障方案;使用电子邮件系统安全保障产品;
九. 有网络访问管理方案;对于符合第85/2016/NĐ-CP号法令第十条第三款规定的内部网络、网络监控指挥中心,使用网络访问管理产品;
十. 使用集中式系统监控产品进行系统信息集中监控;
ⅺ. 有使用安全事件管理和分析产品或其他等效产品的集中信息系统安全监控策略;
ⅻ. 有使用集中管理的终端恶意软件防护产品或安全事件检测和响应产品的集中备份和恢复管理策略;
ⅼ. 有防止数据泄露的策略;对于处理国家机密信息的系统或第85/2016号法令第9条第2款c项规定的系统,使用数据泄露防护产品;
十四. 有防止数据泄露的方案;对于处理国家秘密信息的信息系统或符合第85/2016/NĐ-CP号法令第十条第三款规定的共享数据库系统,使用数据防泄密产品;
ⅾ. 有确保无线网络(如有)安全的策略。
十六. 有无线网络安全保障方案(如有);
十七. 有特权账户管理方案;使用特权账户管理产品。
2. 系统建立和配置的要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
网络安全保障 |
节 8.2.1 |
|
1.1.1 |
外部网络访问控制 |
节 8.2.1.2 |
|
1.1.2 |
内部网络访问控制 |
节 8.2.1.3 |
|
1.1.3 |
系统日志 |
节 8.2.1.4 |
|
1.1.4 |
入侵防护 |
节 8.2.1.5 |
|
1.1.5 |
防止网络环境中的恶意软件 |
节 8.2.1.6 |
|
1.1.6 |
系统设备保护 |
节 8.2.1.7 |
|
1.2 |
主机安全保障 |
节 8.2.2 |
|
1.2.1 |
验证 |
节 8.2.2.1 |
|
1.2.2 |
访问控制 |
节 8.2.2.2 |
|
1.2.3 |
||| 系统日志 |
节 8.2.2.3 |
|
1.2.4 |
入侵防护 |
节 8.2.2.4 |
|
1.2.5 |
防止恶意软件 |
节 8.2.2.5 |
|
1.2.6 |
处理服务器在移交时 |
节 8.2.2.6 |
|
1.3 |
应用安全保障 |
节 8.2.3 |
|
1.3.1 |
验证 |
节 8.2.3.1 |
|
1.3.2 |
访问控制 |
节 8.2.3.2 |
|
1.3.3 |
系统日志 |
节 8.2.3.3 |
|
1.3.4 |
通信信息安全 |
节 8.2.3.4 |
|
1.3.5 |
反否认 |
节 8.2.3.5 |
|
1.3.6 |
应用和源代码安全 |
节 8.2.3.6 |
|
1.4 |
数据安全保障 |
节 8.2.4 |
|
1.4.1 |
数据完整性 |
节 8.2.4.1 |
|
1.4.2 |
数据保密 |
节 8.2.4.2 |
|
1.4.3 |
备份恢复 |
节 8.2.4.3 |
附件五
信息安全基本要求
第五级信息系统
(随同发布通字编号_____/2022/TT-BTTTT
年 月 日 2022年 工业和信息化部部长发布
一、管理要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
建立信息安全政策 |
节 9.1.1 |
|
1.1.1 |
信息安全政策 |
节 9.1.1.1 |
|
1.1.2 |
建立和公布 |
节 9.1.1.2 |
|
1.1.3 |
审查、修改 |
节 9.1.1.3 |
|
1.2 |
组织保障信息安全 |
节 9.1.2 |
|
1.2.1 |
专门负责信息安全的单位 |
节 9.1.2.1 |
|
1.2.2 |
与有权限的机关/组织配合 |
节 9.1.2.2 |
|
1.3 |
确保人力资源 |
节 9.1.3 |
|
1.3.1 |
招聘 |
节 9.1.3.1 |
|
1.3.2 |
在工作过程中 |
节 9.1.3.2 |
|
1.3.3 |
结束或改变工作 |
节 9.1.3.3 |
|
1.4 |
系统设计和建设管理 |
节 9.1.4 |
|
1.4.1 |
信息系统安全设计 |
节 9.1.4.1 |
|
1.4.2 |
承包软件开发 |
节 9.1.4.2 |
|
1.4.3 |
系统测试和验收 |
节 9.1.4.3 |
|
1.5 |
系统运行管理 |
节 9.1.5 |
|
1.5.1 |
网络安全管理 |
节 9.1.5.1 |
|
1.5.2 |
主机和应用安全管理 |
节 9.1.5.2 |
|
1.5.3 |
数据安全管理 |
节 9.1.5.3 |
|
1.5.4 |
终端安全管理 |
节 9.1.5.4 |
|
1.5.5 |
防止恶意软件管理 |
节 9.1.5.5 |
|
1.5.6 |
系统信息安全监控管理 |
节 9.1.5.6 |
|
1.5.7 |
信息安全隐患管理 |
节 9.1.5.7 |
|
1.5.8 |
信息安全事件管理 |
节 9.1.5.8 |
|
1.5.9 |
用户终端安全管理 |
节 9.1.5.9 |
|
1.6 |
信息安全风险管理方案 |
|
|
1.7 |
运行终止、处置、废弃方案 |
|
第二部分 技术要求
1. 设计系统的要求
a) 按照功能设计网络区域,至少包括以下区域:
i. 内部网络区域;
ii. 边界网络区域;
iii. DMZ区域;
iv. 内部服务器区域;
ⅴ. 无线网络区域(如有)应独立隔离,与其他网络区域分开;
ⅵ. 数据库服务器网络区域;
ⅶ. 管理区域;
ⅷ. 设备管理区域;
b) 应采取设计措施以满足以下要求:
i. 有安全远程管理访问和系统管理方案,使用虚拟专用网络产品;
ii. 有网络区域间访问管理和防御入侵的方案,使用网络层入侵防御产品;
iii. 有网络设备热备份负载均衡方案;
iv. 有数据库服务器安全保障方案;对根据第十八条第二款规定的信息系统,使用数据库防火墙产品;
v. 有在网络环境中过滤恶意软件的方案,使用集成网络环境恶意软件防护功能的防火墙产品或同等方案;
vi. 有防御拒绝服务攻击的方案;对根据第十八条第二款、第三款规定的信息系统,使用拒绝服务攻击防护服务或产品;
vii. 有针对Web应用的网络安全防护方案;对根据第十八条第二款规定的信息系统,使用Web应用防火墙产品;
viii. 有电子邮件系统的安全保护方案,使用电子邮件系统安全保护产品;
ix. 有网络层访问管理方案,使用网络层访问管理产品;
十. 使用集中式系统监控产品进行系统信息集中监控;
ⅺ. 有使用安全事件管理和分析产品或其他等效产品的集中信息系统安全监控策略;
ⅻ. 有使用集中管理的终端恶意软件防护产品或安全事件检测和响应产品的集中备份和恢复管理策略;
ⅼ. 有防止数据泄露的策略;对于处理国家机密信息的系统或第85/2016号法令第9条第2款c项规定的系统,使用数据泄露防护产品;
xiv. 有防止数据泄露的方案;对处理国家秘密信息或根据第十八条第二款规定的信息系统,使用数据防泄漏产品;
ⅾ. 有确保无线网络(如有)安全的策略。
十六. 有无线网络安全保障方案(如有);
xvii. 有特权账户管理方案,使用特权账户管理产品;
xviii. 有异地灾备方案,不同地点之间距离至少为30公里;
xix. 有主系统与备用系统之间网络连接的灾备方案。
2. 系统建立和配置的要求
|
序号 |
要求 |
TCVN 11930:2017 |
|
1.1 |
网络安全保障 |
节 9.2.1 |
|
1.1.1 |
外部网络访问控制 |
节 9.2.1.2 |
|
1.1.2 |
内部网络访问控制 |
节 9.2.1.3 |
|
1.1.3 |
系统日志 |
节 9.2.1.4 |
|
1.1.4 |
入侵防护 |
节 9.2.1.5 |
|
1.1.5 |
防止网络环境中的恶意软件 |
节 9.2.1.6 |
|
1.1.6 |
系统设备保护 |
节 9.2.1.7 |
|
1.2 |
主机安全保障 |
节 9.2.2 |
|
1.2.1 |
验证 |
节 9.2.2.1 |
|
1.2.2 |
访问控制 |
节 9.2.2.2 |
|
1.2.3 |
||| 系统日志 |
节 9.2.2.3 |
|
1.2.4 |
入侵防护 |
节 9.2.2.4 |
|
1.2.5 |
防止恶意软件 |
节 9.2.2.5 |
|
1.2.6 |
处理服务器在移交时 |
节 9.2.2.6 |
|
1.3 |
应用安全保障 |
节 9.2.3 |
|
1.3.1 |
验证 |
节 9.2.3.1 |
|
1.3.2 |
访问控制 |
节 9.2.3.2 |
|
1.3.3 |
系统日志 |
节 9.2.3.3 |
|
1.3.4 |
通信信息安全 |
节 9.2.3.4 |
|
1.3.5 |
反否认 |
节 9.2.3.5 |
|
1.3.6 |
应用和源代码安全 |
节 9.2.3.6 |
|
1.4 |
数据安全保障 |
节 9.2.4 |
|
1.4.1 |
数据完整性 |
节 9.2.4.1 |
|
1.4.2 |
数据保密 |
节 9.2.4.2 |
|
1.4.3 |
备份恢复 |
节 9.2.4.3 |
Văn bản gốc (PDF)
Bản đồ quan hệ
Bấm vào một văn bản để mở. Viền đỏ = quan hệ làm thay đổi hiệu lực.
Bản dịch
Văn bản này có sẵn ở các ngôn ngữ sau: