试题一(20分)阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。[说明]某地方政府拟对其门户网站进行改造,该工程涉及网站首页改版、二级页面改造、数据迁移、系统集成等建设内容,保护等级定为3级,初步设计和实施分别立项。在建设过程中,发生如下事件:[事件1] 为了保证初步设计工作顺利开展,建设单位以邀标方式选中丙公司承担初步设计阶段的监理工作,丙公司对初步设计报告进行了审核。[事件2] 该项目的初步设计通过主管部门批复后,建设单位以公开招标方式确定由乙公司承担该工程的实施阶段任务。同时考虑到丙公司对工程建设情况比较熟悉,因此建设单位直接与丙公司续签了监理合同,由丙公司承担工程实施阶段的项目监理工作。[事件3] 由于乙公司项目团队专业技术能力的原因,造成数据迁移工作进展缓慢,对工程整体进度产生了不利影响。[事件4] 为了保证系统的安全性符合国家相关规定,同时能顺利通过项目验收,正式上线运行前,丙公司建议建设单位进行系统安全方面的测评工作。
[问题4](2分)针对事件4,丙公司应建议建设单位进行哪些系统安全方面的测评工作
参考答案:建议建设单位开展安全等级保护测评与安全风险评估工作。
解析:针对电子政务系统的安全,我国有关部门出台了一系列的规定: 开展信息安全等级保护工作的政策和法律依据如下。 (1) 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标淮;三是明确了公安部的牵头地位。 (2) 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 (3) 2004年9月,公安部会同国 * * 密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004366号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。 (4) 2007年6月,公安部会同国 * * 密局、国家密码管理局和国务院信息办联合《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。 因此,针对事件4,丙公司应建议建设单位开展安全等级保护测评与安全风险评估工作。