我们的网络(含信息系统),是不是不用了就直接往那里一放,不管不问了呢?或者随便处理掉呢?现实工作中,这样的单位自然不占少数。网络中存储的大量的数据,依然对社会乃至国家安全可能产生危害,那么遗落在角落的网络,因其不被重视可能带来更大的风险。前面文章里其实我们已经也简单谈及,一个信息系统或者定级对象如同万事万物一样,都有一个生灭流程。信息系统则从立项规划到废止,也需要经历它自身的生命周期。今天谈的算是定级对象Zui后一个阶段,也就是废止该如何科学正确的处置之。
从标准层面我们进入下图Zui后一层,标准给出的工作包含了信息转移、暂存和清除、设备迁移或废弃、存储介质的清除或销毁三个阶段。
从三个阶段我们可以简单看出,信息系统废弃不是随意置之不理,或随意丢弃的,也要让它各归其位,科学安全合理处置,以防存在后续安全风险。这点其实很好理解,如同我们手里的一部手机处置不当,尚且还存在许许多多可以被坏人利用的数据信息和个人隐私数据,何况一个对国家安全或社会安全、社会秩序有影响的信息系统呢?
定级对象终止阶段是等级保护实施过程中的Zui后环节。当定级对象被转移、终止或废弃时,正确处理其中的敏感信息对于确保机构信息资产的安全是至关重要的。
在等级保护对象生命周期中,有些定级对象并不是真正意义上的废弃,而是改进技术或转变业务到新的定级对象,对于这些定级对象在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。
今天谈论的则是定级对象终止阶段关注信息转移、暂存和清除,设备迁移或废弃,存储介质的清除或销毁等活动。
第一阶段:信息转移、暂存和清除
信息转移、暂存和清除需要输入定级对象信息资产清单,在定级对象终止处理过程中,对于可能会在的定级对象中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,采用安全的方法清除要终止的定级对象中的信息。Zui终输出形成信息转移、暂存、清除处理记录文档。
识别要转移、暂存和清除的信息资产时应注意:根据要终止的定级对象的信息资产清单,识别重要信息资产、所处的位置以及当前状态等,列出需转移、暂存和清除的信息资产的清单。信息资产转移、暂存和清除时应注意:根据信息资产的重要程度制定信息资产的转移、暂存、清除的方法和过程。如果是涉密信息,应按照国家相关部门的规定进行转移、暂存和清除。处理过程记录时应注意:记录信息转移、暂存和清除的过程,包括参与的人员,转移、暂存和清除的方式以及目前信息所处的位置等。
第二阶段:设备迁移或废弃
设备迁移或废弃需要输入设备迁移或废弃清单等,确保定级对象终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。Zui终输出设备迁移、废弃处理报告。
软硬件设备识别时应注意:根据要终止的定级对象的设备清单,识别要被迁移或废弃的硬件设备、所处的位置以及当前状态等,列出需迁移、废弃的设备的清单。
制定硬件设备处理方案时应注意:根据规定和实际情况制定设备处理方案,包括重用设备、废弃设备、敏感信息的清除方法等。
处理方案审批时应注意:包括重用设备、废弃设备、敏感信息的清除方法等的设备处理方案应经过主管领导审查和批准。
设备处理和记录时应注意:根据设备处理方案对设备进行处理,如果是涉密信息的设备,其处理过程应符合国家相关部门的规定;记录设备处理过程,包括参与的人员、处理的方式、是否有残余信息的检查结果等。
第三阶段:存储介质的清除或销毁
存储介质的清除或销毁:需要输入存储介质清单等,通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理,防止介质内的敏感信息泄露。Zui终输出存储介质的清除或销毁记录文档。
识别要清除或销毁的介质时应注意:根据要终止的定级对象的存储介质清单,识别载有重要信息的存储介质、所处的位置以及当前状态等,列出需清除或销毁的存储介质清单。
确定存储介质处理方法和流程时应注意:根据存储介质所承载信息的敏感程度确定对存储介质的处理方式和处理流程。存储介质的处理包括数据清除和存储介质销毁等。对于存储涉密信息的介质应按照国家相关部门的规定进行处理。存储介质处理和记录时应注意:包括存储介质的处理方式和处理流程等的处理方案应经过主管领导审查和批准。
处理方案审批时应注意:根据存储介质处理方案对存储介质进行处理,记录处理过程,包括参与的人员、处理的方式、是否有残余信息的检查结果等。
这三个阶段的工作则由运营、使用单位完成。到现在,基本上我们根据《网络安全法》《 网络安全等级保护实施指南》《网络安全等级保护基本要求》《国家网络安全事件应急预案》《网络安全事件应急演练指南》《公安机关信息安全等级保护检查工作规范》(试行)等文件,将网络安全等级保护一个生命周期整理完了。希望这次梳理能够给落实等级保护的单位一个清晰的认识,对等级保护工作会有个全新的认知和理解。在整理这些内容过程中,我把大家常常误会的地方,也做了疏通。比如绝大多数人口中的“等保”是“等级保护测评”,而国家文件要落实的“等级保护制度”,制度之下又有三条线路,而非涉密网络具体是落实等级保护工作,从定级、备案、建设整改、等级测评、监督检查,各方参与其中,则是服务的是一个系统从生到灭的全生命周期。当然,我个人认为这只是正确理解和认识等级保护,只是刚刚开始。我将继续结合相关国家标准和大家共同探讨网络安全保护及网络安全等级保护测评。