网络安全等级保护:如何正确处理终止的等级保护对象
本期关键词:
等级保护对象、网络等级保护、定级对象终止、工作流程、废弃
从标准层面我们进入下图最后一层,标准给出的工作包含了信息转移、暂存和清除、设备迁移或废弃、存储介质的清除或销毁三个阶段。
从三个阶段我们可以简单看出,信息系统废弃不是随意置之不理,或随意丢弃的,也要让它各归其位,科学安全合理处置,以防存在后续安全风险。这点其实很好理解,如同我们手里的一部手机处置不当,尚且还存在许许多多可以被坏人利用的数据信息和个人隐私数据,何况一个对国家安全或社会安全、社会秩序有影响的信息系统呢?
定级对象终止阶段是等级保护实施过程中的最后环节。当定级对象被转移、终止或废弃时,正确处理其中的敏感信息对于确保机构信息资产的安全是至关重要的。
在等级保护对象生命周期中,有些定级对象并不是真正意义上的废弃,而是改进技术或转变业务到新的定级对象,对于这些定级对象在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。
今天谈论的则是定级对象终止阶段关注信息转移、暂存和清除,设备迁移或废弃,存储介质的清除或销毁等活动。
第一阶段:信息转移、暂存和清除
信息转移、暂存和清除需要输入定级对象信息资产清单,在定级对象终止处理过程中,对于可能会在另外的定级对象中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的定级对象中的信息。最终输出形成信息转移、暂存、清除处理记录文档。
设备迁移或废弃需要输入设备迁移或废弃清单等,确保定级对象终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。最终输出设备迁移、废弃处理报告。
软硬件设备识别时应注意:根据要终止的定级对象的设备清单,识别要被迁移或废弃的硬件设备、所处的位置以及当前状态等,列出需迁移、废弃的设备的清单。
制定硬件设备处理方案时应注意:根据规定和实际情况制定设备处理方案,包括重用设备、废弃设备、敏感信息的清除方法等。
处理方案审批时应注意:包括重用设备、废弃设备、敏感信息的清除方法等的设备处理方案应经过主管领导审查和批准。
设备处理和记录时应注意:根据设备处理方案对设备进行处理,如果是涉密信息的设备,其处理过程应符合国家相关部门的规定;记录设备处理过程,包括参与的人员、处理的方式、是否有残余信息的检查结果等。
存储介质的清除或销毁:需要输入存储介质清单等,通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理,防止介质内的敏感信息泄露。最终输出存储介质的清除或销毁记录文档。
识别要清除或销毁的介质时应注意:根据要终止的定级对象的存储介质清单,识别载有重要信息的存储介质、所处的位置以及当前状态等,列出需清除或销毁的存储介质清单。
处理方案审批时应注意:根据存储介质处理方案对存储介质进行处理,记录处理过程,包括参与的人员、处理的方式、是否有残余信息的检查结果等。