信息系统安全等级保护备案表
信息系统安全等级保护
备案表
备 案 单 位: (盖章) 备 案 日 期:
受理备案单位: (盖章) 受 理 日 期:
备案表编号:
中华人民共和国公安部监制
填表说明
一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;
二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、本表中有选择的地方请在选项左侧“”划“√”,如选择“其他”,请在其后的横线中注明详细内容;
五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章;
八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
九、表一05单位负责人:是指主管本单位信息安全工作的领导;
十、表一06责任部门:是指单位内负责信息系统安全工作的部门;
十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
十二、表二02系统编号:共5位,前两位为受理备案的年份的后两位;如2016年的后两位为16。后三位是备案单位自行编写的单位内信息系统的编号。
十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息
系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填;
十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
表一单位基本情况
隶1中央2省(自治区、直辖市) 3地(区、市、州、盟) 4县(区、市、旗)9其他
单1党委机关2政府机关3事业单位4企业9其他
行11电信12广电13经营性公众互联网
21铁路22银行23海关24税务25民航26电力27证券28保险
31国防科技工业32公安33人事劳动和社会保障34财政35审计36商业贸易37国土资源38能源39交通40统计41工商行政管理42邮政43教育44文化45卫生46农业47水利48外交49发展改革50科技51宣传52质量监督检验检疫
99其他
表二(/ )信息系统情况
1生产作业2指挥调度3管理控制4内部办公
5公众服务9其他
10全国11跨省(区、市)跨个
20全省(区、市)21跨地(市、区)跨个
30地(市、区)内
99其它
1单位内部人员2社会公众人员3两者均包括9其他
1局域网2城域网3广域网9其他
1业务专网2互联网9其它
1与其他行业系统连接2与本行业其他单位系统连接
3与本单位其他系统连接9其它
%
%
%
%
%
%
有无
有无
有无
有无
有无
有无
有无
系统是否是分系是否(如选择是请填下两项)
表三(/ )信息系统定级情况
确
仅对公民、法人和其他组织的合法权益造成损害第一级
对公民、法人和其他组织的合法权益造成严重损害对社会秩序和公共利益造成损害第二级
对社会秩序和公共利益造成严重损害对国家安全造成损害第三级
对社会秩序和公共利益造成特别严重损害
对国家安全造成严重损害
第四级对国家安全造成特别严重损害第五级确仅对公民、法人和其他组织的合法权益造成损害第一级
对公民、法人和其他组织的合法权益造成严重损害对社会秩序和公共利益造成损害第二级
对社会秩序和公共利益造成严重损害对国家安全造成损害第三级
对社会秩序和公共利益造成特别严重损害
对国家安全造成严重损害
第四级对国家安全造成特别严重损害第五级第一级第二级第三级第四级第五级
已评审未评审
有无(如选择有请填下两项)
已审批未审批
有无附件名称
备案审核民警:审核日期:年月日
表四(/ )第三级以上信息系统提交材料情况
有无附件名称
有无附件名称
有无附件名称
系统使用的安全产品
有无附件名称
有无附件名称
有无附件名称
有无附件名称
信息系统等级保护备案表(样表)(20210227064219)
(备注:具体编号由网监部门编写) 信息系统安全等级保护 备案表 备案单位:广东X 网公司佛山XX 局(盖章) 备案日期: 2011-7-25 _______________ 受理备案单位:佛 ________ 受理日期:2011-7-28 ___________________________ 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”填写;本表由四张 表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信 息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一~ 张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“”划“V”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位, 为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404-1997 )填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立 (港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部 门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位 和个人不得对本表进行改动。
信息系统安全等级保护定级报告模版
附件1:《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明: 一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体 (国家安全;社会秩序和公众利益;公民、法人和其他组织 —9 —
的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定 —10 —
信息系统安全等级保护备案表
信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 备案表编号:
中华人民共和国公安部监制 填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“”划“√”,如选择“其他”,请在其后的横线中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:共5位,前两位为受理备案的年份的后两位;如2016年的后两位为16。后三位是备案单位自行编写的单位内信息系统的编号。 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息
信息系统安全等级保护测评准则.
目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)
7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A(资料性附录)测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B(资料性附录)关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)
《信息系统安全等级保护备案表》模板
专业.资料.整理 信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单 位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张; 表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。 专业.资料.整理
信息安全等级保护介绍
国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。
信息安全等级保护制度
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息系统安全等级保护备案表精选版
信息系统安全等级保护 备案表 Company number【1089WT-1898YT-1W8CB-9UUT-92108】
信息系统安全等级保护 备案表 备案单位:(盖章) 备案日期: 受理备案单位:(盖章) 受理日期: 中华人民共和国公安部监制 填 表 说 明 一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43 号)之规定,制作本表; 二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门 (以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案 公安机关存档; 四、 本表中有选择的地方请在选项左侧“”划“√”,如选择“其 他”,请在其后的横线中注明详细内容; 五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部 分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全 监察部门名称。此项由受理备案的公安机关负责填写并盖章; 八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行 政区划代码; 九、 表一05单位负责人:是指主管本单位信息安全工作的领导; 十、 表一06责任部门:是指单位内负责信息系统安全工作的部门; 备案表编号:
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
《信息系统安全等级保护备案表》(完整资料).doc
精品范文下载后可编辑 信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单 位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张; 表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。 精品范文下载后可编辑
信息系统等级保护建设方案详细
边界接入平台终端安全保护系统 建设方案 2009年6月5日
文件修改记录
目录 1项目建设的必要性 (5) 1.1政策必要性 (5) 1.2整体安全需要 (5) 1.3合规性需要 (6) 2法规、政策和技术依据 (7) 2.1信息安全等级保护有关法规、政策、文件 (7) 2.1.1《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) (7) 2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号). 7 2.1.3《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) (8) 2.1.4《信息安全等级保护管理办法》(公通字[2007]43号) (9) 2.1.5信息安全等级保护技术标准体系及其关系 (9) 3终端安全防护系统功能介绍 (14) 3.1终端安全防护系统(前置服务器版)功能介绍 (14) 3.1.1强身份认证功能 (14) 3.1.2多用户强制访问控制 (14) 图3.1.3 用户权限控制示意图 (15) 3.1.3应用系统安全封装 (17) 3.1.4自主访问控制 (17) 图3.1.4 文件保密柜示意图 (17) 3.1.5数据保密性保护 (17) 3.1.6系统完整性保护 (18) 3.1.7行为审计监控 (18) 3.1.8边界保护控制 (18) 3.2终端安全防护系统(PC版)功能介绍 (19) 3.2.1强身份认证功能 (19) 3.2.2强制访问控制 (20) 图3.2.2 用户权限控制示意图 (21) 3.2.3自主访问控制 (22) 图3.2.3 文件保密柜示意图 (22) 3.2.4数据保密性保护 (23) 3.2.5系统完整性保护 (23) 3.2.6行为审计监控 (23) 3.2.7边界保护控制 (24)
信息系统安全等级
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
(供参考)等级保护备案表填写说明
1.填表范围: 本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成:表一为单位信息,每个备案单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写,并在完成系统建设、整改、测评等工作,投入运行后30日内向受理备案公安机关提交;表 二、表三、表四可以复印使用,在使用过程中注意信息系统编号,如某单位共有6个信息系统,则填写过程中要遵循表二()、表二()……表二()的编号和命名规则。 如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(),则相对应的表四的编号也应当是表四()。 2.保存方式: 本表一式二份,由备案单位和受理备案的公安机关分别盖章 —9—后,一份由备案单位保存,一份交受理备案公安机关存档。 3.《备案表》中有选择的地方请在选项左侧划“√”,如选择“其他”,请在其后的横线中注明详细内容,需要填写数字代码的地方,请在“0”中直接填写。 4.备案表编号: 封面中的“备案表编号”由两组共11位数字组成,第一组6位,代表受理备案的公安机关代码前六位(可参照行标GA380-2002);第二组5位,为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。 5.备案单位:
本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。 6.受理备案单位: 本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。此项由受理备案的公安机关负责填写。 7.行政区划代码: 表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码,该代码需与《中华人民共和国行政区划代码》(GB 2260-1995)一致。以北京市举例,标准6位地址码的构成如下:110000北京市,110105朝阳区……。 —10— 8.单位负责人: 表一中的“单位负责人”是指负责本单位信息安全的领导。 9.责任部门: 表一中的“责任部门”是指单位内负责信息系统安全的部门。 如果单位内的信息系统分别由不同的责任部门管理,则可以统一填写在表一的责任部门一栏中,或分别填写表一。 10.责任部门联系人: 表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任部门联系人有多个,则可以分别填写表一或均填写在表一责任部门联系人一栏中。 11.隶属关系: 表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位,按照国家标准《单位隶属关系代码》(GB/T12404-1997)分为:中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。
(供参考材料)等级保护备案表填写说明
等级保护备案表填写说明(供参考) 1.填表范围: 本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成:表一为单位信息,每个备案单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写,并在完成系统建设、整改、测评等工作,投入运行后30日内向受理备案公安机关提交;表二、表三、表四可以复印使用,在使用过程中注意信息系统编号,如某单位共有6个信息系统,则填写过程中要遵循表二(1/6)、表二(2/6)……表二(6/6)的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(2/6),则相对应的表四的编号也应当是表四(2/6)。 2.保存方式: 本表一式二份,由备案单位和受理备案的公安机关分别盖章后,一份由备案单位保存,一份交受理备案公安机关存档。 3.《备案表》中有选择的地方请在选项左侧划“√”,如选择
“其他”,请在其后的横线中注明详细内容,需要填写数字代码的地方,请在“0”中直接填写。 4.备案表编号: 封面中的“备案表编号”由两组共11位数字组成,第一组6位,代表受理备案的公安机关代码前六位(可参照行标GA380-2002);第二组5位,为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。 5.备案单位: 本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。 6.受理备案单位: 本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。此项由受理备案的公安机关负责填写。 7.行政区划代码: 表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码,该代码需与《中华人民共和国行政区划代码》(GB 2260-1995)一致。以北京市举例,标准6位地址码的构成如下: 110000 北京市,110105 朝阳区……。 8.单位负责人: 表一中的“单位负责人”是指负责本单位信息安全的领导。 9.责任部门: 表一中的“责任部门”是指单位内负责信息系统安全的部门。
信息安全技术-信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南 前言 本标准的附录 A 是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位:公安部信息安全等级保护评估中心。 本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、 刘静、罗峥。 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)、《国家信息化领导小 组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号)和《信息安全等级保护管理办法》(公通字[2007]43 号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;— — GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。 在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关 信息安全等级保护的标准开展工作。 在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。 在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照 GB17859-1999 、 GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。 GB17859-1999、 GB/T BBBB-BBBB、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准, GB/T20269-2006、 GB/T20270-2006和 GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息 系统的最基本安全要求,是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础 上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006 等标准的要求。 除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用 GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。 信息系统安全等级保护实施指南 1范围 本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。