信息安全等级保护二级

9、 应在电源和信号线上增加有资质的防雷保

安器;

具有防雷检测资质的检测部门对防雷装置的检测

报告

10、应具有自动检测火情、自动报警、 自动灭火 的自动消防系统；自动消防系统的运行记录、检查和 定

期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录 12、应具有水敏感的检测仪表或元

件；对机房进行防水检测和报警；防水检测装置的运行记录、定期 检查和维护记录

13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备（如 UPS ）;短期备用电力供应设备的运行记录、定期检查和维护

记录

15、应具有冗余或并行的电力电缆线路（如双路供电方式） 16、应具有备用供电系统（如备用发电机）；

备用供电系统运行记录、定期检查和维护记录

备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。 、物理安全

1、应具有机房和办公场地的设计 /验收文档（机房场地的选址说明、地线连接要求的描述、 建筑材料

具有相应的耐火等级说明、接地防静电措施） 2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录 3、 应配置电子门禁系统 （三级明确要求 ）；电子门禁系统有验收文档或产品安全认

证资质， 电子门禁

系

统运行和维护记录 4、主要设备或设备的主要部件上应设置明显的不易除去的标记 5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告； 机房防盗报警系统的运行记录、定期检查和维护记录； 7、应具有机房监控报警设施的安全资质材

料、

安装测试和验收报告； 机房监控报警系统的运行记录、 定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

二、安全管理制度

1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序：

4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审

核等），应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录，收发应通过正式、有效的方式（如正式发文、领导签署和

单位盖章等） -- 安全管理制度应注明发布范围，并对收发文进行登记。

6、 信息安全领导小组 定期对安全管理制度体系的合理性和适用性进行审

定， 理制度体系的评审记录）

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机

房管理员、系统管理员、网络管理员、安全管理员等重要岗位（分工明确，各司其职）， 数量情况（管理人员名单、岗位与人员对应关系表）

4、安全管理员应是专职人员

5、关键事物需要配备 2 人或 2 人以上共同管理，人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权

的人员担任）

7、应对重要信息系统活动进行审批（如系统变更、重要操作、物理访问和系统接入、重要管理制度

的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批部门是何部门，审批人 是何人。审批程序：

8、应与其它部门之间及内部各部门管理人员定期进行沟通

应定期召开会议）

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期： 10、信

息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录

3、应具有专门的部门或人员负责安全管理制度的制定

发布制度具有统一的格式， 并进行版本控制）

审定周期多长。（安全管

管理制度进行检查，对需要改进的制度进行修订。

应具有安全管理制度修订记录）

信息安全领导小组或者安全管理委员会

信息安全工作决策文档

等）

11、应与公安机关、电信公司和兄弟单位等的沟通合作（外联单位联系

列表）

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作

机制。

13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具

有安全顾问参与评审的文档或记

录）

14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统

漏洞和

数据备份等情

况）

15、应定期进行全面安全检查（安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、

具有安全检查表格，安全检查报告，检查结果通告记

录）

四、人员安全管

理

1、何部门/何人负责安全管理和技术人员的录用工作（录用过

程）

2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考

核，技能

考核文档或记

录

3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的

有效期

限和责任人的签字等内

容）

4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的

记录）

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证

件和设备等的登记记

录）

7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照

离岗程序办理调离手续的记录，调离人员的签

字）

8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、

安全技能

等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会

关系等。

10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术

培训。

11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训安全教

育和培训的结果记录，记录应与培训计划一致）

12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的

访问控制（由专人全程陪同或监督等）

13、应具有外部人员访问重要区域的书面申请

时间、访问区域、访问设备或信息及陪同人等）

五、系统建设管理

1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）

2、应具有系统建设 /整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门

4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近

期和远期的安全建设计划） 5、应组织相关部门和有关安全技术专家对

总体安全策略、安全技术框架、安全管理策略等相关配套 文件进行论证和审定（配套文件的论证评审记录或文档）

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有

总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套 文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品 9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品 10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围， 和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档） 13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册 14、对程序资源库的修改、更新、发布应进行授权和批准 15、应具有程序资源库的修改、更新、发布文档或记录 16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测 17、软件安装之前应检测软件中的

恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三 方的商业产品

18、应具有软件设计的相关文档和使用指南

14、应具有外部人员访问重要区域的登记记录

记录描述了外部人员访问重要区域的进入时间、 离开

/何人负责

形成候选产品清单， 是否定期审定

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档 20、应指定专门部门或人员按

照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档， 22、在信息系统正式运行前， 应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的

安全性测试（第三方测试机构出示的系统安全性测试验收报告）

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致） 24、应具有测试验收报告 25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见） 26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单） 27、应具有系统交付时的技术培训记录 28、应具有系统建设文档 （如系统建设方案） 、指导用户进行系统运维的文档 （如服务器操作规程

书） 以及系统培训手册等文档。

29、应指定部门负责系统交付工作 30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和

等级测评机构等相关安全服务商

签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务 32、应与安全服务商签订的服务合同或安全责任合

同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施（如空调、供配电设备等）进行定期维护，由何部门

责。

2、应具有机房基础设施的维护记录，空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理（工作人员离开座位确保终端计算机退

出登录状态、桌面上没有包 含敏感信息的纸档文件）

5、应具有资产清单（覆盖资产责任人、所属级别、所处位置、所处部门等方面）

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中，应对存放环境

实施专人管理（介质存放在安全的环境（防潮、防盗、防

如阶段性工程进程汇报报告， 工程实施方案 /何人负

火、防磁，专用存储空

间））

9、应具有介质使用管理记录，应记录介质归档和使用等情况（介质存放、使用管理

记录）

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择

安全的物理传输途径、双方在场交付等环节的

控制

11、应对介质的使用情况进行登记管理，并定期盘点（介质归档和查询的记录、存档介质定期盘点的

记录）

12、对送出维修或销毁的介质如何管理，销毁前应对数据进行净化处理。对带出工作环境的存储介

质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准）送修记录、带出

记录、销毁记

录）

13、应对某些重要介质实行异地存储，异地存储环境是否与本地环境相同（防潮、防盗、防火、防磁，

专用存储空

间）

14、介质上应具有分类的标识或标

签

15、应对各类设施、设备指定专人或专门部门进行定期维

护。

16、应具有设备操作手

册

17、应对带离机房的信息处理设备经过审批流程，由何人审批（审批记

录）

18、应监控主机、网络设备和应用系统的运行状

况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状

况、网

络流量、用户行为等进行监测和报

警

20、应具有日常运维的监控日志记录和运维交接日志

记录

21、应定期对监控记录进行分析、评

审

22、应具有异常现象的现场处理记录和事后相关的分析

报告

23、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集

中管理

24、应指定专人负责维护网络安全管理工

作

25、应对网络设备进行过升级，更新前应对现有的重要文件是否进行备份（网络设备运维维护工作记录）

26、应对网络进行过漏洞扫描，并对发现的漏洞进行及时修

补。

27、对设备的安全配置应遵循最小服务原则，应对配置文件进行备份（具有网络设备配置数据的离线

备份）

28、系统网络的外联种类（互联网、合作伙伴企业网、上级部门网络等）应都得到授权与批准，由何

人/何部门批准。应定期检查违规联网的行

29、对便携式和移动式设备的网络接入应进行限制管理 30、应具有内部网络外联的授权批准书，应具

有网络违规行为（如拨号上网等）的检查手段和工具。

31、在安装系统补丁程序前应经过测试，并对重要文件进行备份。

32、应有补丁测试记录和系统补丁安装操作记录 33、应对系统管理员用户进行分类（比如：划分不同

的管理角色，系统管理权限与安全审计权限分离 等）

34、审计员应定期对系统审计日志进行分析（有定期对系统运行日志和审计数据的分析报告）

范教育的相关培训文档）

36、应指定专人对恶意代码进行检测，并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录 38、应对恶意代码库的升级情况进行记录（代码库

的升级记录），对各类防病毒产品上截获的恶意代

码是否进行分析并汇总上报。是否出现过大规模的病毒事件，如何处理 应具有恶意代码检测记录、恶意代码库升级记录和分析报告

份文件记录）

应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

应具有应急响应小组， 应具备应急设备并能正常工作， 应急预案执行所需资金应做过预算并能够 落实。

48、应对系统相关人员进行应急预案培训（应急预案培训记录） 49、应定期对应急预案进行演练（应急预案演练记录） 50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录。

35、应对员工进行基本恶意代码防范意识的教育， 如告知应及时升级软件版本 （对员工的恶意代码防

39、

40、 应具有变更方案评审记录和变更过程记录文档。 41、 重要系统的变更申请书，应具有主管领导的批准

42、 系统管理员、 数据库管理员和网络管理员应识别需定期备份的业务信息、 系统数据及软件系统 （备

43、 应定期执行恢复程序，检查和测试备份介质的有效性

44、

45、 应对安全事件记录分析文档 46、 应具有不同事件的应急预案

47、

信息安全等级保护介绍

国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

信息安全等级保护操作的指南和操作流程图

信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施范围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下： （一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统。 （四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。 注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27 号文件） 《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文件） 《电子政务信息系统安全等级保护实施指南（试行）》（国信办【2005】25 号文件） 《信息安全等级保护管理办法》（公通字【2007】43 号文件）《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》

1.3定级工作流程 信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? …… ? 管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? …… ? 业务信息分析? 系统服务分析? 综合分析? 确定等级? …… ? 编写定级报告? …… ? 协助评审审批? 形成最终报告? 协助定级备案 图 1-1信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时，通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据，保证定级结果的客观、合理和准确。

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

国家信息安全等级第二级保护制度

国家信息安全等级保护制度 （二级） 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 （1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； （2）应批准进入机房的来访人员，限制和监控其活动范围。 1.3 防盗窃和防破坏 （1）应将主要设备放置在物理受限的范围内； （2）应对设备或主要部件进行固定，并设置明显的不易除去的标记； （3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； （4）应对介质分类标识，存储在介质库或档案室中； （5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1.4 防雷击 （1）机房建筑应设置避雷装置; （2）应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 （1）水管安装，不得穿过屋顶和活动地板下； （2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管； （3）应采取措施防止雨水通过屋顶和墙壁渗透； （4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 （1）计算机系统供电应与其他供电分开；

（2）应设置稳压器和过电压防护设备； （3）应提供短期的备用电力供应（如UPS设备）。 1.10 电磁防护 （1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； （2）电源线和通信线缆应隔离，避免互相干扰。 2、网络安全 2.1结构安全与网段划分 （1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要； （2）应设计和绘制与当前运行情况相符的网络拓扑结构图； （3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽； （4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径； （5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； （6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。 2.2 访问控制 （1）应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。 （2）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户； （3）应限制具有拨号访问权限的用户数量。 2.3 安全审计 （1）应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录； （2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息 2.4 边界完整性检查

信息安全等级保护管理办法公通字

信息安全等级保护管理办法（公通字[2007]43号） 作者 : 来源 : 公安部、国家保密局、国家密码管理局、 字体：大中小国务院信息工作办公室时间：2007-06-22 第一章总则 第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息安全等级保护工作流程介绍

信息安全等级保护工作流程介绍 导语 信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。 解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为： 一是定级。信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级，但是也得根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的根据定级指南来，总之一句话合理定级，该是几级就是几级，不要定的高也不要定的低。 二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到

省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。备案的时候带上定级资料去网安部门，一般两份纸质文档，一份电子档，纸质的首页加盖单位公章。 三是系统安全建设。信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。 四是等级测评。信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结论分为：不符合、基本符合、符合。当然符合基本是不可能的，那是理想状态。 五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运

信息安全等级保护各级对比表

目录 1概述 (2) 1.1 背景介绍 (2) 1.2 主要作用及特点 (2) 1.3 与其他标准的关系 (3) 1.4 框架结构 (3) 2描述模型 (4) 2.1 总体描述 (4) 2.2 保护对象 (5) 2.3 安全保护能力 (5) 2.4 安全要求 (7) 3逐级增强的特点 (8) 3.1 增强原则 (8) 3.2 总体描述 (9) 3.3 控制点增加 (10) 3.4 要求项增加 (10) 3.5 控制强度增强 (11) 4各级安全要求 (12) 4.1 技术要求 (12) 4.1.1 物理安全 (12) 4.1.2 网络安全 (18) 4.1.3 主机安全 (23) 4.1.4 应用安全 (28) 4.1.5 数据安全及备份恢复 (34) 4.2 管理要求 (37) 4.2.1 安全管理制度 (37) 4.2.2 安全管理机构 (39) 4.2.3 人员安全管理 (42) 4.2.4 系统建设管理 (46) 4.2.5 系统运维管理 (51)

本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件，围绕信息安全等级工作，介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》（以下简称《基本要求》），描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。通过培训，使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容，以便正确选择合适的安全要求进行信息系统保护。 1概述 1.1背景介绍 2004年，66号文件中指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求，《基本要求》列入了首批需完成的6个标准之一。 1.2主要作用及特点 1.主要作用 《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求，根据使用对象不同，其主要作用分为三种： a)为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后，《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。 b)为测评机构提供评估依据 《基本要求》为信息系统主管部门，信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。 c)为职能监管部门提供监督检查依据 《基本要求》为监管部门的监督检查提供依据，用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。 2.主要特点 《基本要求》是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力，但反过来说，系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时，《基本要求》强调的是“要求”，而不是具体实施方案

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。 根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面

信息安全等级保护安全建设项目方案

信息系统安全等级保护安全建设项目 技术方案

目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)

4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。 第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于10人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁； （九）不涉及信息安全产品开发、销售或信息系统安全 2集成等业务； （十）应具备的其他条件。 第七条申请时，申请单位应向等保办提交以下材料：（一）《信息安全等级保护测评机构申请表》； （二）从事信息系统安全相关工作情况； （三）检测评估工作所需软硬件及其他服务保障设施配备情况； （四）有关管理制度建设情况； （五）申请单位及其测评人员基本情况； （六）应提交的其他材料。 等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

国家信息安全等级保护制度介绍

信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

信息安全等级保护二级

信息安全等级保护(二级) 备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料 具有相应的耐火等级说明、接地防静电措施） 2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系 统运行和维护记录 4、主要设备或设备的主要部件上应设置明显的不易除去的标记 5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告； 机房防盗报警系统的运行记录、定期检查和维护记录； 7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录 8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测； 9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测 报告 10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和 定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品 11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录 12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期 检查和维护记录 13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录 14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护 记录 15、应具有冗余或并行的电力电缆线路（如双路供电方式） 16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录

信息安全等级保护工作流程图

信息安全等级保护工作流程

一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等 第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统：适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 （一）管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 （二）中央在京单位。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。

信息安全等级保护体系设计

信息安全等级保护体系设计 《关于加强信息安全保障工作的意见》指出,实行等级保护是信息安全保障的基本政策,各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施。 通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。 设计思路与原则 信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则: 清晰定义安全模型; 合理划分安全等级; 科学设计防护深度; 确保可实施易评估。 具体来说: 1.清晰定义安全模型 面对的难题:政府或大型企业组织的信息系统结构复杂,难以描述。 政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇,地域辽阔,规模庞大;各地信息化发展程度不一,东西部存在较大差别;前期建设缺乏统一规划,各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此,设计保障体系时也就无的放矢,缺乏针对性,也不具备实用性。

解决方法:针对信息系统的安全属性定义一个清晰的、可描述的安全模型,即信息安全保护对象框架。 在设计信息安全保障体系时,首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来,参照IATF(美国信息安全保障技术框架,通过建立“信息安全保护对象框架”的方法来建立安全模型,从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性,将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。 2.合理划分安全等级 面对的难题:如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。 因为信息系统的差异性,从而其安全要求的属性和强度存在较大差异性;又因为经济性的考虑,需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切,必须考虑差异性和经济性。 解决方法:针对保护对象和保障措施划分安全等级。 首先进行信息系统的等级化: 通过将保护对象进行等级化划分,实现等级化的保护对象框架,来反映等级化的信息系统。其次,设计等级化的保障措施:根据保护对象的等级化,有针对性地设计等级化的安全保障措施,从而通过不同等级的保护对象和保障措施的一一对应,形成整体的等级化安全保障体系。 等级化安全保障体系为用户提供以下价值: 满足大型组织中不同分支机构的个性化安全需求; 可动态地改变保护对象的安全等级,能方便地调整不同阶段的安全目标;

信息安全等级保护制度(精编文档).doc

【最新整理，下载后即可编辑】 第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条 信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护

第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。