信息安全等级保护备案表医院管理信息系统精修订
信息安全等级保护备案表医院管理信息系统标准化管理部编码-[99968T-6889628-J68568-1689N]
信息系
统安全等级保护
备案表
备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期:
中华人民共和国公安部监制
填 表 说 明
一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之
规定,制作本表;
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简
称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机
关存档;
四、 本表中有选择的地方请在选项左侧“”划“√”,如选择“其他”,请在
其后的横线中注明详细内容;
五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11
位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部
门名称。此项由受理备案的公安机关负责填写并盖章;
八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划
代码;
九、 表一05单位负责人:是指主管本单位信息安全工作的领导; 十、 表一06责任部门:是指单位内负责信息系统安全工作的部门;
备案表编号:
十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填;
十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
表一单位基本情况
表二( / )信息系统情况
表三( / )信息系统定级情况
备案审核民警:审核日期:年月日
表四( / )第三级以上信息系统提交材料情况
信息安全等级保护工作实施细则.doc
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
信息安全等级保护答案
一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全
等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应
信息安全等级保护工作汇报
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
信息安全等级保护初级测评师模拟试题
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是( c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:( A ) A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B )A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是( D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5)
B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部 5.下列说法中不正确的是( A)B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表: access-list 1 permit access-list 2 permit 访问控制列表1和2,所控制的地址范围关系是:( B )A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中,以下( B )命令可以删除整个表中的数据,并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点( C )D A. 生成树可以管理冗余链路,在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置
信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我
信息安全等级保护工作历程
信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试
信息安全等级保护管理办法公通字
信息安全等级保护管理办法(公通字[2007]43号) 作者 : 来源 : 公安部、国家保密局、国家密码管理局、 字体:大中小国务院信息工作办公室时间:2007-06-22 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
医院等级保护
医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单 位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。 2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008 年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工 作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。 图1医院网络现状 (如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中: 内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统; 外网即与Internet相联的网络,承载的业务包括邮件、OA等; 设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。 各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。
医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。 如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。 一、安全等保的测评对象 GB/T 22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。 医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3 个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。 对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。 二、安全等保网络安全解读 作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条: l 结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求; l 网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求; l 安全审计—— 4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求; l 边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求;
信息安全等级保护培训试题集
信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失
4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。 6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A.二级以上 B.三级以上
评审标准对照医院信息安全等级保护制度
**医院落实国家信息安全等级保护制度的具体措施 一、信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 二、工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上,按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。 三、工作内容 信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重
的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。我院依据《国家信息安全等级保护度(二级)》,落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术施。 四、等级划分 《信息安全等级保护信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
信息安全等级保护答案
一、单选题(题数:32,共64.0 分)1 信息安全等级保护工作直接作用的具体的信息和信息系统称为(2.0分) 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2.0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2.0分) A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2.0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2.0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2.0分) A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案:B
7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。(2.0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2.0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级(2.0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2.0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) (2.0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2.0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C
信息安全等级保护工作计划
竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务
医院信息安全等级保护制度
医院信息安全等级保护制度 一、用户管理制度: 1、信息科不得向任何人透漏员工的账号和密码。 2、医院员工对本人账号和密码必须遵守以下规定: (1)新员工凭人事科报到单,到信息科配置账号和密码;员工离院时:到信息科注销账号和密码;人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院;财务科凭信息科“已注消账号和密码”的依据结付相关费用。 (2)员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上,并每隔60天定期修改密码,对有疑问的密码应及时修改。 (3)任何人员不得使用他人的账号和密码,也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员,并在离开终端时及时退出计算机系统。 (4)密码可以是字母与数字的组合。 二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分,以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。 2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作
人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作,必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作,必须有文字记录。 4、三级设备为安装在各使用部门的电脑,密码由相关科室设备负责人自行保管。 5、对于设备具体分级细则,在遵循以上原则的情况下,细节由信息科内部协商判断而制定。 6、对于密码,数据泄露,造成业务中断,或相关私密数据泄露。将临时通过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后上报医院存档。 三.网络运行监控、防病毒、防入侵、桌面管理措施 1、为了保护我院数据与网络的安全,保证网络的正常运行,促进网络更好的应用和发展,制定本制度。 2、利用防火墙将内部网络、Internet外部网络、DMZ 服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信。 3、利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全。 4、利用防火墙对来自外网的服务请求进行控制,使非
信息安全等级保护初级测评师模拟试题
信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
信息安全等级测评师(初级技术)简答题
1、《基本要求》,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些? 答:三级比二级增加的要求项有: 应提供对重要信息资源设置敏感标记的功能; 应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。 2、在主机测试前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点? 答:至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。 测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。 3、《基本要求》中,对于三级信息系统,网络安全层面应采取哪些安全技术措施?画出图并进行描述(不考虑安全加固)。 答:网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。 4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计内容是什么?答:1、巨型、大型、中型、小型、微型计算机及单片机。 2、Windows,Linux,Sun Solaris,IBM AIX,HP-UX等等。 3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。 4、a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 b、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他
与审计相关的信息。 c、应能够根据记录数据进行分析,并生成审计报表。 d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。 5、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容? 答:(1)非授权访问、特权提升、SQL注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。 (2) 工具测试接入测试设备前,首先要有被测系统人员确定测试条件是否具备。 测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。 接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认。 对于测试过程中可能造成的对目标系统的网络流量及主机性能等等方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。 对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证工具进行取证。 对于测试过程中出现的异常情况(服务器出现故障、网络中断等等)要及时记录。 测试结束后,需要被测方人员确认被测系统状态正常并签字后离场。 6、规划工具测试接入点原则是什么? 答:1、由低级别系统向高级别系统探测; 2、同一系统同等重要程度功能区域之间要相互探测; 3、由较低重要程度区域向较高重要程度区域探测; 4、由外联接口向系统内部探测; 5、跨网络隔离设备(包括网络设备和安全设备)要分段探测; 7、采取什么措施可以帮助检测到入侵行为? 答:部署IDS/IPS,使用主机防火墙(软件)、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。 8、请根据《基本要求》中对于主机的相关要求,按照你的理解,写出由问题可能导致的安全风险,并给出相应的解决方案。 或给出一张(主机测评)检查表,有8条不符合项目,请结合等级保护要求,及你的理解,描述存在的风险,并给出解决建议。 答:
信息安全等级保护二级
信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料 具有相应的耐火等级说明、接地防静电措施) 2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系 统运行和维护记录 4、主要设备或设备的主要部件上应设置明显的不易除去的标记 5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告; 机房防盗报警系统的运行记录、定期检查和维护记录; 7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录 8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测; 9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测 报告 10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和 定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品 11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录 12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期 检查和维护记录 13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录 14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护 记录 15、应具有冗余或并行的电力电缆线路(如双路供电方式) 16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录