信息安全监理案例题

案例背景

某市政务云平台建设项目采用"云计算+大数据"架构，计划实现政务数据共享与交换。建设单位委托监理单位对项目信息安全实施全程监理。项目实施过程中发生以下事件：

事件1：承建单位提交的网络安全设计方案中未包含数据分类分级保护措施，仅采用通用防火墙策略。监理发现后要求补充说明。

事件2：项目采购的国产密码设备未通过国家密码管理部门认证，承建单位以"技术先进性优先"为由坚持采购。

事件3：第三方安全测评报告显示系统存在3个高危漏洞（包括SQL注入和未授权访问漏洞），但开发团队认为"漏洞修复会影响项目进度"。

---

问题

1. （6分） 针对事件1，请列举政务云平台应实施的4项数据安全监理措施，并说明其依据。

2. （5分） 针对事件2，监理应如何处理国产密码设备采购争议？

3. （5分） 针对事件3，请描述监理处理高危漏洞的完整流程及关键控制点。

---

解析与答案

问题1解析

参考答案：

1. 数据分类分级：依据《网络安全法》第二十一条和《数据安全法》第二十一条，需按敏感程度划分数据类别（如公开/内部/机密），制定差异化保护策略。

2. 加密存储与传输：根据《信息安全技术网络安全等级保护基本要求》（等保2.0）第三级要求，核心数据应采用国密算法加密。

3. 访问控制审计：通过日志审计系统记录数据操作行为，符合《关键信息基础设施安全保护条例》第二十四条要求。

4. 数据脱敏与备份：生产数据用于测试前需脱敏，备份策略需满足RTO≤4小时、RPO≤1小时的政务云标准。

考点：数据安全防护技术、等级保护要求、法律法规应用。

---

问题2解析

参考答案：

1. 核查资质：要求承建单位提供密码设备商用密码产品认证证书（依据《密码法》第二十六条）。

2. 风险评估：组织专家论证国产设备与项目的兼容性、安全性，形成书面报告。

3. 合规性否决：若设备未通过认证，应依据合同条款判定采购无效，要求更换合规产品。

考点：供应链安全管理、国产化替代政策、监理决策权。

---

问题3解析

参考答案：

1. 漏洞确认：要求开发团队复现漏洞并评估影响范围（高危漏洞需在24小时内响应）。

2. 修复方案审核：监督修复方案是否符合《信息安全技术漏洞管理规范》（GB/T 30276-2020）。

3. 回归测试：修复后需通过渗透测试和渗透测试，留存测试报告。

4. 进度协调：若修复导致延期，依据合同启动变更流程，调整项目计划。

关键控制点：漏洞生命周期管理、修复验证、变更控制。

---

设计依据与考点覆盖

1. 大纲知识点：

 - 信息安全监理核心内容（等级保护、风险评估、数据安全）

 - 监理在供应链管理中的职责（国产化设备审核）

 - 安全漏洞处理流程（等保要求与实践结合）

2. 能力考核：

 - 法规应用能力（《网络安全法》《密码法》）

 - 风险处置能力（漏洞修复优先级判断）

 - 文档管理能力（安全策略、测试报告的规范性审查）

该案例题综合覆盖了信息安全监理的"三控两管一协调"核心职能，符合新版考试大纲对新技术（云计算、国产化）和实战能力的要求。