您的位置:360文档中心› DB11_T1344-2016信息安全等级保护检查规范

DB11_T1344-2016信息安全等级保护检查规范

DB11_T1344-2016信息安全等级保护检查规范
DB11_T1344-2016信息安全等级保护检查规范

ICS13.310

A 90 DB11 北京市地方标准

DB11/T 1344—2016

信息安全等级保护检查规范

Examination specification for information security classified

protection

2016-08-10发布2016-12-01实施

目次

前言............................................................................. II

1 范围 (1)

2 规范性引用文件 (1)

3 术语和定义 (1)

4 检查流程 (1)

5 一级信息系统检查 (2)

6 二级信息系统检查 (7)

7 三级信息系统检查 (16)

8 四级信息系统检查 (27)

前言

本标准按照GB/T 1.1—2009给出的规则起草。

本标准由北京市公安局提出并归口。

本标准由北京市公安局组织实施。

本标准主要起草单位:北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、北京中软华泰信息技术有限责任公司。

本标准主要起草人:叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷、赵永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。

信息安全等级保护检查规范

1 范围

本标准规定了对信息安全等级保护状况进行检查的流程和内容要求,其中内容要求包括对信息安全等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。

本标准适用于信息安全等级保护检查工作。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 5271.8 信息技术词汇第8部分:安全

GB 17859 计算机信息系统安全保护等级划分准则

GB/T 22239 信息安全技术信息系统安全等级保护基本要求

GB/T 25069 信息安全技术术语

GB/T 25070 信息安全技术信息系统等级保护安全设计技术要求

3 术语和定义

GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069和GB/T 25070界定的以及下列术语和定义适用于本文件。

3.1

访谈 interview

检查人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助检查人员理解、分析或取得证据的过程。

3.2

查验 check

检查人员通过对被检查对象(如制度文档、各类设备、安全配置等)进行观察、查阅、核查以帮助检查人员理解、分析或取得证据的过程。

3.3

测试 test

检查人员使用预定的方法/工具使被检查对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。

4 检查流程

DB11/T 1344—2016

4.1 前期准备

前期准备包括的内容:

——调阅被检查单位信息系统的备案材料;

——了解被检查单位情况;

——成立检查小组;

——准备必要的检查材料和检查工具;

——制定检查组工作计划,计划内容应包括检查对象、检查人员、检查各个阶段的工作安排等。

4.2 现场检查

现场检查是通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地查验,并调阅自查、总结或等级测评报告等资料,对被检查单位信息安全保护现状进行检查,取得检查总结活动所需的资料。现场检查不应影响系统的正常运行。

4.3 检查总结

检查总结是根据现场检查结果和本标准的相关要求,列举并分析被检查单位信息系统存在的问题,针对被检查单位信息系统安全保护能力出具书面结果材料。

5 一级信息系统检查

5.1 物理安全要求

5.1.1 物理访问控制

5.1.1.1 检查内容

检查内容如下:

应检查物理访问控制措施。

5.1.1.2 检查方法

检查方法如下:

查验是否有进出机房的人员登记记录。

5.1.1.3 检查结果判定

检查结果判定如下:

若机房出入口没有进出机房的人员登记记录,则检查结果为不符合。

5.1.2 支撑设施保障

5.1.2.1 检查内容

检查内容如下:

a)应检查防水措施;

b)应检查防火措施;

c)应检查温湿度控制措施;

d)应检查稳压设备。

DB11/T 1344—2016 5.1.2.2 检查方法

检查方法如下:

a)查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行

情况进行记录;

b)查验机房是否配备符合要求的灭火设备,灭火设备摆放是否合理,有效期是否合格;

c)查验温湿度自动调节设施是否能够正常运行,查验温湿度控制是否合理;

d)查验机房内是否有稳压设备。

5.1.2.3 检查结果判定

检查结果判定如下:

a)若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果

及除湿装置运行记录缺失,则5.1.2.2 a)检查结果为不符合;

b)若机房内没有配备符合要求的灭火设备,灭火设备摆放不合理或已过期,则5.1.2.2 b)检查

结果为不符合;

c)若机房内没有配备温湿度自动调节设施,或当前温湿度不合理,则5.1.2.2 c)检查结果为不

符合;

d)若机房内没有设置稳压器,则5.1.2.2 d)检查结果为不符合。

5.2 安全技术要求

5.2.1 网络结构安全

5.2.1.1 检查内容

检查内容如下:

应检查网络拓扑图。

5.2.1.2 检查方法

检查方法如下:

查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位。

5.2.1.3 检查结果判定

检查结果判定如下:

若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备,则5.2.1.2检查结果为不符合。

5.2.2 边界安全防护

5.2.2.1 检查内容

检查内容如下:

应检查网络边界入侵检测措施。

5.2.2.2 检查方法

检查方法如下:

a)查验网络边界设备是否采取技术手段防止地址欺骗;

DB11/T 1344—2016

b)查验网络入侵检测设备是否能检测以下攻击行为:端口扫描、漏洞扫描、缓冲区溢出攻击、拒

绝服务攻击等,查看其规则库是否为最新。

5.2.2.3 检查结果判定

检查结果判定如下:

a)若重要地址没有采用IP/MAC绑定等手段防止地址欺骗,则5.2.2.2 a)检查结果为不符合;

b)若没有部署入侵检测设备或入侵检测设备的特征库未及时更新,则5.2.2.2 b)检查结果为不

符合。

5.2.3 用户身份鉴别

5.2.3.1 检查内容

检查内容如下:

应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施。

5.2.3.2 检查方法

检查方法如下:

查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启。

5.2.3.3 检查结果判定

检查结果判定如下:

若主要网络设备、服务器操作系统、主要数据库管理系统和应用系统无需身份鉴别,则5.2.3.2检查结果为不符合。

5.2.4 访问控制

5.2.4.1 检查内容

检查内容如下:

应检查操作系统、数据库管理系统的默认账户权限。

5.2.4.2 检查方法

检查方法如下:

查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权限,是否重命名系统默认账户名并修改默认账户的默认口令。

5.2.4.3 检查结果判定

检查结果判定如下:

a)操作系统和数据库管理系统默认账户名未重命名,默认口令未修改,则5.2.4.2检查结果为不

符合;

b)Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户(如daemon、bin、sys、

adm等),则5.2.4.2检查结果为不符合;

c)其他操作系统存在未重命名的默认系统用户,则5.2.4.2检查结果为不符合。

5.2.5 系统数据保护

DB11/T 1344—2016 5.2.5.1 检查内容

检查内容如下:

应检查应用系统数据备份介质。

5.2.5.2 检查方法

检查方法如下:

查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份。

5.2.5.3 检查结果判定

检查结果判定如下:

若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质,则

5.2.5.2检查结果为不符合。

5.3 安全管理要求

5.3.1 安全管理机构

5.3.1.1 检查内容

检查内容如下:

应检查安全岗位人员配备情况。

5.3.1.2 检查方法

检查方法如下:

查验系统、网络、安全方面的管理规定,记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名。

5.3.1.3 检查结果判定

检查结果判定如下:

若信息安全管理制度(网络、主机、密码、审计等制度)中没有明确角色和职责定义,没有信息安全管理岗位人员名单,则5.3.1.2检查结果为不符合。

5.3.2 安全管理制度

5.3.2.1 检查内容

检查内容如下:

应检查信息安全工作日常安全管理制度。

5.3.2.2 检查方法

检查方法如下:

查验是否制定日常信息安全管理制度,如机房管理制度等。

5.3.2.3 检查结果判定

检查结果判定如下:

若没有制定日常信息安全管理制度,如机房管理制度等,则5.3.2.2检查结果为不符合。

DB11/T 1344—2016

5.3.3 系统人员安全

5.3.3.1 检查内容

检查内容如下:

应检查关键岗位人员劳动合同和人员离岗记录。

5.3.3.2 检查方法

检查方法如下:

a)查验关键岗位人员的劳动合同,记录负责人员录用的部门名称或人员姓名;

b)查验离岗人员办理过的调离手续记录,记录离岗员工被终止的访问权限内容。

5.3.3.3 检查结果判定

检查结果判定如下:

a)若无法提供信息安全相关岗位人员劳动合同,则5.3.3.2 a)检查结果为不符合;

b)若对离岗人员未及时终止访问权限,则5.3.3.2 b)检查结果为不符合。

5.3.4 系统安全生命周期

5.3.4.1 检查内容

检查内容如下:

应检查系统设计、系统实施、系统验收、系统运维等生命周期各阶段的安全管理制度和相应记录保存情况。

5.3.4.2 检查方法

检查方法如下:

a)查验定级报告,记录定级报告名称和盖章批准的部门名称;

b)查验安全设计方案,记录安全设计方案的名称;

c)查验安全产品的销售许可证副本;

d)查验负责工程实施过程管理的部门名称或人员姓名;

e)查验安全性验收测试方案和测试验收报告,记录报告的名称;

f)查验机房安全管理制度,记录制度文档名称,核对是否规定机房物理访问、物品带入带出等;

g)查验与信息系统相关的资产清单,记录资产清单名称,核对清单是否至少包括资产名称、资产

位置、资产责任部门或责任人等;

h)查验设备管理的部门名称或人员姓名,记录部门名称或人员姓名,查验设备维护记录;

i)查验网络管理的部门名称或人员姓名,查验网络管理的日常监控记录,核对记录是否至少包括

监控时间、监控内容、监控人员等;

j)查验系统漏洞扫描报告,记录扫描报告的名称,核对记录是否至少包括扫描时间、扫描范围、发现的漏洞、处理措施等;

k)查验和记录员工所用杀毒软件的名称和版本;

l)查验安全事件报告和处置管理制度,是否规定安全事件的现场处理、事件报告和后期恢复的管理职责。

5.3.4.3 检查结果判定

检查结果判定如下:

DB11/T 1344—2016

a)若无法提供系统定级报告书,无单位信息安全领导(小组)的批准盖章,则5.3.4.2 a)检查

结果为不符合;

b)若无法提供安全设计方案,则5.3.4.2 b)检查结果为不符合;

c)若无法提供安全产品销售许可证副本,则5.3.4.2 c)检查结果为不符合;

d)若无法提供负责工程实施过程管理的部门名称或人员姓名,则5.3.4.2 d)检查结果为不符合;

e)若无法提供安全验收测试方案和测试报告,则5.3.4.2 e)检查结果为不符合;

f)若无法提供机房安全管理制度,对机房环境、重要区域的访问、人员和物品的出入未进行规定,

则5.3.4.2 f)检查结果为不符合;

g)若无法提供与信息系统相关的资产清单,清单未包括资产名称、资产位置、资产责任部门或责

任人等,则5.3.4.2 g)检查结果为不符合;

h)若无法提供设备管理的部门名称或人员姓名及设备维护记录,则5.3.4.2 h)检查结果为不符

合;

i)若无法提供网络管理的部门名称或人员姓名,网络管理的日常监控记录中未包括监控时间、监

控内容、监控人员,则5.3.4.2 i)检查结果为不符合;

j)若无法提供系统漏洞扫描报告,记录中未包括扫描时间、扫描范围、发现的漏洞、处理措施等,则5.3.4.2 j)检查结果为不符合;

k)若员工未使用杀毒软件或病毒库未及时更新,则5.3.4.2 k)检查结果为不符合;

l)若无法提供安全事件报告和处置管理制度,或内容未覆盖事件处理、报告和后期恢复的管理职责,则5.3.4.2 l)检查结果为不符合。

6 二级信息系统检查

6.1 物理安全要求

6.1.1 物理位置选择

6.1.1.1 检查内容

检查内容如下:

应检查机房的选址和所在建筑物的防护能力。

6.1.1.2 检查方法

检查方法如下:

查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力。

6.1.1.3 检查结果判定

检查结果判定如下:

若无法提供机房所在建筑物楼宇的验收报告,或未采取防风和防雨等措施,则6.1.1.2检查结果为不符合。

6.1.2 物理访问控制

6.1.2.1 检查内容

检查内容如下:

应检查物理访问控制措施。

DB11/T 1344—2016

6.1.2.2 检查方法

检查方法如下:

a)查验机房所有出入口是否有值守记录以及进出机房的人员登记记录;

b)查验是否有来访人员进入机房的审批记录,查验审批记录是否包括来访人员的访问范围。

6.1.2.3 检查结果判定

检查结果判定如下:

a)若机房任何一个出入口没有值守记录和进出人员登记记录,则6.1.2.2 a)检查结果为不符合;

b)若不具有来访人员进入机房的审批记录,或审批记录中不具备来访人员的访问范围、所进行的

操作等审批项,则6.1.2.2 b)检查结果为不符合。

6.1.3 支撑设施保障

6.1.3.1 检查内容

检查内容如下:

a)应检查防水措施;

b)应检查防火措施;

c)应检查温湿度控制措施;

d)应检查防静电措施;

e)应检查短期备用电源设备。

6.1.3.2 检查方法

检查方法如下:

a)查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行

情况进行记录;

b)查验机房是否设置了自动消防系统,是否有人负责维护该系统的运行;查验自动消防系统是否

正常工作,查看是否有运行记录、报警记录、定期检查和维修记录;

c)查验温湿度自动调节设施是否能够正常运行,查验是否有温湿度记录、运行记录和维护记录;

d)访谈物理安全负责人,询问机房主要设备是否采取必要的接地防静电措施;

e)查验计算机系统的短期备用电源设备是否正常运行,查验是否有短期备用电源设备的检查和维

护记录。

6.1.3.3 检查结果判定

检查结果判定如下:

a)若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果

及除湿装置运行记录缺失,则6.1.3.2 a)检查结果为不符合;

b)若机房内没有设置自动检测火情、自动报警、自动灭火的自动消防系统,或自动消防系统无法

正常工作,运行记录、报警记录、定期检查和维修记录缺失,则6.1.3.2 b)检查结果为不符合;

c)若机房内没有配备温湿度自动调节设施,或温湿度记录、运行记录和维护记录缺失,则6.1.3.2

c)检查结果为不符合;

d)若机房内没有设置静电接地,则6.1.3.2 d)检查结果为不符合;

DB11/T 1344—2016

e)若机房内没有设置短期备用电源设备(如UPS),或短期备用电源设备的检查和维护记录缺失,

则6.1.3.2 e)检查结果为不符合。

6.2 安全技术要求

6.2.1 网络结构安全

6.2.1.1 检查内容

检查内容如下:

应检查网络拓扑图和重要网段划分情况。

6.2.1.2 检查方法

检查方法如下:

a)查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位;

b)访谈网络管理员,询问网段划分情况以及划分的原则。

6.2.1.3 检查结果判定

检查结果判定如下:

a)若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备,则6.2.1.2 a)

检查结果为不符合;

b)若网络没有划分子网,则6.2.1.2 b)检查结果为不符合。

6.2.2 边界安全防护

6.2.2.1 检查内容

检查内容如下:

应检查网络边界访问控制、网络入侵检测措施。

6.2.2.2 检查方法

检查方法如下:

a)查验防火墙等边界安全设备是否配置网段级的访问控制策略;

b)查验网络边界设备是否采取技术手段防止地址欺骗;

c)查验网络入侵检测设备是否能检测以下攻击行为:端口扫描、漏洞扫描、缓冲区溢出攻击、拒

绝服务攻击等,查看其规则库是否为最新;

d)查验边界完整性检查设备是否设置了对非法连接到外网的行为进行监控并有效阻断的配置。

6.2.2.3 检查结果判定

检查结果判定如下:

a)若没有在网络边界部署防火墙等访问控制设备或访问控制策略没有到网段级,则6.2.2.2 a)

检查结果为不符合;

b)若重要地址没有采用IP/MAC绑定等手段防止地址欺骗,则6.2.2.2 b)检查结果为不符合;

c)若没有部署入侵检测设备或入侵检测设备的特征库未及时更新,则6.2.2.2 c)检查结果为不

符合;

d)若没有相应的手段监控和阻止内部用户非法连接到外网,则6.2.2.2 d)检查结果为不符合。

DB11/T 1344—2016

6.2.3 用户身份鉴别

6.2.3.1 检查内容

检查内容如下:

应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施和口令策略。

6.2.3.2 检查方法

检查方法如下:

a)查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启,口令

的复杂度情况;

b)查验操作系统、应用系统是否具备登录失败账户锁定功能。

6.2.3.3 检查结果判定

检查结果判定如下:

a)若主要网络设备、服务器操作系统、数据库管理系统和应用系统无需身份鉴别,或出现弱口令、

默认口令、空口令,设置少于8位且仅由数字或字母组成的口令,则6.2.3.2 a)检查结果为不符合;

b)未设置连续登录失败账户锁定功能,则6.2.3.2 b)检查结果为不符合。

6.2.4 访问控制

6.2.4.1 检查内容

检查内容如下:

应检查操作系统、数据库管理系统和应用该系统的默认账户和系统账户的权限分配情况。

6.2.4.2 检查方法

检查方法如下:

a)查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权

限,是否重命名系统默认账户名并修改默认账户的默认口令;

b)通过访谈询问应用系统的访问控制策略及粒度;以不同权限的用户登录应用系统,查看其拥有

的权限是否与系统赋予的权限一致,验证应用系统访问控制功能是否有效。

6.2.4.3 检查结果判定

检查结果判定如下:

a)操作系统和数据库管理系统默认账户名未重命名,默认口令未修改,则6.2.4.2 a)检查结果

为不符合;

b)Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户(如daemon、bin、sys、

adm等),则6.2.4.2 a)检查结果为不符合;

c)其他操作系统存在未重命名的默认系统用户,则6.2.4.2 a)检查结果为不符合;

d)应用系统普通用户登录后具备系统管理等管理员同样的权限,则6.2.4.2 b)检查结果为不符

合;

e)权限之间未形成相互制约,如未做到管理权限和审计权限的分离,则6.2.4.2 b)检查结果为

不符合。

DB11/T 1344—2016 6.2.5 审计日志管理

6.2.5.1 检查内容

检查内容如下:

应检查网络设备的日志、操作系统日志、数据库日志、应用系统日志的保存情况。

6.2.5.2 检查方法

检查方法如下:

a)查验网络设备、操作系统、数据库和应用系统是否具备了审计日志;

b)查验是否通过日志覆盖周期、覆盖方式、日志文件/空间大小、日志文件操作权限等设置,实

现对审计记录的保护。

6.2.5.3 检查结果判定

检查结果判定如下:

a)不具备网络设备、操作系统、数据库和应用系统的审计日志,则6.2.5.2 a)检查结果为不符

合;

b)未合理配置网络设备日志缓冲区大小,则6.2.5.2 b)检查结果为不符合;

c)未对各层面的审计日志设定覆盖周期、覆盖方式、读写权限等,则6.2.5.2 b)检查结果为不

符合;

d)未对各层面的审计日志进行备份,则6.2.5.2 b)检查结果为不符合;

e)应用系统为用户提供日志单条删除功能,则6.2.5.2 b)检查结果为不符合。

6.2.6 系统数据保护

6.2.6.1 检查内容

检查内容如下:

a)应检查网络设备、应用系统中的口令加密情况;

b)应检查应用系统数据备份介质。

6.2.6.2 检查方法

检查方法如下:

a)查验网络设备的配置文件中用户口令是否加密存储;

b)查验应用系统存储用户信息的数据表中用户口令字段是否加密存储;

c)查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份,

备份介质是否场外存放。

6.2.6.3 检查结果判定

检查结果判定如下:

a)若网络设备配置文件中存储了明文用户口令,则6.2.6.2 a)检查结果为不符合;

b)若应用系统的数据库中存储了明文用户口令,则6.2.6.2 b)检查结果为不符合;

c)若缺乏主要网络设备、主要数据库管理系统和主要应用系统重要信息的备份,则6.2.6.2 c)

检查结果为不符合;

d)备份介质若无场外存放,则6.2.6.2 c)检查结果为不符合。

DB11/T 1344—2016

6.3 安全管理要求

6.3.1 安全管理机构

6.3.1.1 检查内容

检查内容如下:

应检查安全岗位人员配备情况和安全制度审批机制建立情况。

6.3.1.2 检查方法

检查方法如下:

a)查验岗位设置管理制度和工作责任书,检查是否有安全主管、安全管理员、系统管理员、网络

管理员等岗位的工作职责描述;

b)查验系统、网络、安全方面的管理规定,记录系统管理员、网络管理员、数据库管理员、安全

管理员的姓名,核对安全管理员是否专职;

c)查验审批流程规定和审批记录,记录审批流程规定和审批记录的名称,核对审批记录是否至少

包括审批时间、申请人、审批内容、审批人;

d)查验外联单位联系列表,核对是否至少包括外联单位名称、合作内容、联系人和联系方式等信

息;

e)查验安全检查制度,记录安全检查制度的名称,查验定期安全检查记录,核对记录是否至少包

括检查时间、检查人员、检查对象、检查结果。

6.3.1.3 检查结果判定

检查结果判定如下:

a)若没有提供岗位设置管理制度和工作责任书,未明确安全主管、安全管理员、系统管理员、网

络管理员等岗位设置和工作职责,则6.3.1.2 a)检查结果为不符合;

b)若信息安全管理制度(网络、主机、密码、审计等制度)中没有明确角色和职责定义,没有信

息安全管理岗位人员名单,未设置专职的信息安全管理员,或安全管理员存在兼任现象,则

6.3.1.2 b)检查结果为不符合;

c)若没有建立对机房及重要区域进出、系统或网络重要操作(系统上线变更、配置变更、加固、

安全管理等)的审批程序,或无法提供相关事件的审批记录,则6.3.1.2 c)检查结果为不符

合;

d)若没有建立外联单位联系列表,或内容不完整,则6.3.1.2 d)检查结果为不符合;

e)若没有制定安全检查工作制度和流程,没有定期进行安全检查活动并保留检查记录,则6.3.1.2

e)检查结果为不符合。

6.3.2 安全管理制度

6.3.2.1 检查内容

检查内容如下:

应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修订情况。

6.3.2.2 检查方法

检查方法如下:

DB11/T 1344—2016

a)查验信息安全管理体系总体方针、安全策略方面的相关文档,记录信息安全工作的总体方针、

抽查的安全策略文档名称等;

b)查验安全管理制度发布到相关人员手中的方式;

c)查验安全管理制度的审定和修订记录,核对评审记录是否至少包括评审时间、评审地点、参与

评审人员和评审结论,修订记录是否至少包括修订时间、修订内容、修订人等信息。

6.3.2.3 检查结果判定

检查结果判定如下:

a)若没有制定信息安全工作的总体方针和安全策略,则6.3.2.2 a)检查结果为不符合;

b)若安全管理制度没有采用文件、邮件或办公网等有效途径发布,则6.3.2.2 b)检查结果为不

符合;

c)若没有定期对安全管理制度进行检查,组织召开评审会,或评审记录内容不完整,则6.3.2.2 c)

检查结果为不符合。

6.3.3 系统人员安全

6.3.3.1 检查内容

检查内容如下:

应检查重要岗位人员劳动合同、人员离岗记录、保密协议、人员培训和考核记录。

6.3.3.2 检查方法

检查方法如下:

a)查验重要岗位人员的劳动合同和保密协议,记录保密协议名称,核对协议内容是否至少包括保

密范围、保密责任、违约责任、协议有效期和责任人签字等;

b)查验重要岗位(如安全管理员)离岗人员办理过的调离手续记录,核对记录是否至少包括人员

姓名、调离岗位、调离时间、收回权限及物品、核对人签字、批准人签字等;

c)查验各岗位人员的安全技能和安全认知考核记录,核对记录是否至少包括考核时间、考核对象、

考核内容、考核结果等;

d)查验安全教育和培训计划,核对计划是否明确了培训方式、培训对象、培训内容、培训时间和

地点等,查验培训记录是否至少包括培训人员、培训内容、培训结果等描述。

6.3.3.3 检查结果判定

检查结果判定如下:

a)若无法提供信息安全相关岗位人员的劳动合同或保密协议,则6.3.3.2 a)检查结果为不符合;

b)若重要岗位人员离岗记录中,未包括人员姓名、调离岗位、调离时间、收回权限及物品、核对

人签字、批准人签字等,则6.3.3.2 b)检查结果为不符合;

c)若无法提供针对不同岗位人员的安全技能和安全意识考核记录,则6.3.3.2 c)检查结果为不

符合;

d)若无法提供安全教育和培训计划,计划或记录内容不完整,则6.3.3.2 d)检查结果为不符合。

6.3.4 系统安全生命周期

6.3.4.1 检查内容

检查内容如下:

DB11/T 1344—2016

应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命周期各阶段的安全管理制度和相应记录保存情况。

6.3.4.2 检查方法

检查方法如下:

a)查验定级报告,记录定级报告名称和盖章批准的部门名称;

b)查验安全设计方案,记录安全设计方案的名称;

c)查验安全产品和密码产品的销售许可证副本;

d)查验软件开发管理制度,记录制度文档名称,核实有无开发过程的控制方法和人员行为准则;

若为外包软件开发,请被检查机构的配合人员提供软件的恶意代码检测记录和报告;

e)查验工程实施方案,记录实施方案名称,核对实施方案是否至少包括背景、目的、内容、进度

安排、实施人员和风险管理等;

f)查验安全性验收测试方案和测试验收报告,记录报告的名称;查验测试验收报告的审定记录,

记录报告签字人姓名等;

g)查验系统交付清单,记录系统交付清单的名称,核对是否包括交接的设备名称及数量、软件名

称及数量、文档名称及数量等;

h)查验机房安全管理制度,记录制度文档名称,核对是否规定机房物理访问、物品带入带出等;

i)查验资产安全管理制度,记录制度文档名称、规定的资产管理责任人或责任部门,核对是否至

少包括资产管理和使用的行为;

j)查验介质安全管理制度,记录制度文档名称,查阅对介质的存放环境、使用、维护和销毁的规范化规定;

k)查验设备安全管理制度,记录制度文档名称,查阅是否有软硬件设备的选型、采购、发放和领用的管理规定;查验信息处理设备带离机房或办公地点的审批记录;

l)查验网络安全管理制度,是否覆盖网络安全配置、安全策略、升级与补丁、授权访问、日志保存时间、口令更新周期等方面内容;

m)通过访谈了解是否定期对系统进行漏洞扫描,记录扫描周期,发现漏洞是否及时修补;查验系统漏洞扫描报告,扫描时间间隔与扫描周期是否一致;查验系统安全管理制度,内容是否覆

盖系统安全策略、安全配置、日志管理和日常操作流程等方面;

n)查验是否有恶意代码防范方面的管理制度,查看其内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面;

o)查验变更管理制度,是否覆盖变更前审批、变更过程记录、变更后通报等方面内容,是否包括变更申报、审批程序,是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面

内容;

p)查验安全事件报告和处置管理制度,是否明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责。

6.3.4.3 检查结果判定

检查结果判定如下:

a)若无法提供系统定级报告书,无单位信息安全领导(小组)的批准盖章,则6.3.4.2 a)检查

结果为不符合;

b)若无法提供安全设计方案,则6.3.4.2 b)检查结果为不符合;

c)若无法提供安全产品和密码产品的销售许可证副本,则6.3.4.2 c)检查结果为不符合;

DB11/T 1344—2016

d)若无法提供软件开发管理制度,若为外包软件开发,无法提供软件的恶意代码扫描记录和检测

报告,则6.3.4.2 d)检查结果为不符合;

e)若无法提供工程实施方案,实施方案未包括背景、目的、内容、进度安排、实施人员和风险管

理等,则6.3.4.2 e)检查结果为不符合;

f)若无法提供安全验收测试方案和测试报告,或无测试报告结果的评审记录,则6.3.4.2 f)检

查结果为不符合;

g)若无法提供详细的系统交付清单,清单中的信息不完整,或各环节无负责人员签字,则6.3.4.2

g)检查结果为不符合;

h)若无法提供机房安全管理制度,对机房环境、重要区域的访问、人员和物品的出入未进行规定,

则6.3.4.2 h)检查结果为不符合;

i)若无法提供资产安全管理制度,未明确资产管理责任部门和人员、管理和使用行为、资产编号

和分类方法、信息存储和保存发放等,则6.3.4.2 i)检查结果为不符合;

j)若无法提供介质安全管理制度,或内容未包含对介质的存放环境、使用、维护和销毁的规范化规定,则6.3.4.2 j)检查结果为不符合;

k)若无法提供设备安全管理制度,或内容不合理、不完整;无法提供设备带离办公场所或机房的审批记录,则6.3.4.2 k)检查结果为不符合;

l)若无法提供网络安全管理制度,或内容未覆盖网络安全配置、日志保存时间、安全策略、升级与补丁、口令更新周期等方面,则6.3.4.2 l)检查结果为不符合;

m)若无法提供系统安全管理制度,或内容未覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面;无法提供定期对服务器进行漏洞扫描的报告,则6.3.4.2 m)检查结果为不符合;

n)若无法提供恶意代码防范方面的管理制度,其内容未覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面,则6.3.4.2 n)检查结果为不符合;

o)若无法提供变更管理制度,或内容未覆盖系统上线变更、配置变更和其他重要变更等,则

6.3.4.2 o)检查结果为不符合;

p)若无法提供安全事件报告和处置管理制度,或内容未覆盖安全事件类型,事件处理、报告和后期恢复的管理职责,则6.3.4.2 p)检查结果为不符合。

6.3.5 系统连续性保障

6.3.5.1 检查内容

检查内容如下:

应检查业务中断影响分析报告、业务连续性技术环境、备份恢复管理制度和应急响应机制。

6.3.5.2 检查方法

检查方法如下:

a)查验业务中断影响分析报告,是否对业务中断的可能性和造成的影响进行分析;

b)查验网络链路、网络设备、服务器和数据存储设备列表和说明,是否不存在关键节点单点故障;

c)查验备份与恢复方面的管理制度,是否明确了备份方式、备份频度、存储介质和保存期等方面

内容;

d)查验应急预案;通过访谈系统运维负责人了解是否定期对应急预案进行演练并保留演练记录。

6.3.5.3 检查结果判定

检查结果判定如下:

DB11/T 1344—2016

a)若无法提供业务中断影响分析报告,内容未包括业务中断的可能性和造成的影响分析,则

6.3.5.2 a)检查结果为不符合;

b)若无法提供网络链路、网络设备、服务器和数据存储设备列表和说明,关键节点存在单点故障,

则6.3.5.2 b)检查结果为不符合;

c)若无法提供备份与恢复管理相关的安全管理制度,未明确系统和数据备份频率和方式,则

6.3.5.2 c)检查结果为不符合;

d)若未制定应急预案,内容未覆盖应急预案启动的条件、应急处理所需要的人力、物力和流程、

系统恢复流程、事后教育和培训等内容;或未定期开展应急预案演练并未保留记录,则6.3.5.2 d)检查结果为不符合。

7 三级信息系统检查

7.1 物理安全要求

7.1.1 物理位置选择

7.1.1.1 检查内容

检查内容如下:

应检查机房的选址和所在建筑物的防护能力。

7.1.1.2 检查方法

检查方法如下:

a)查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力;

b)查验机房是否在建筑物的顶层或地下室,是否加强防水和防潮措施。

7.1.1.3 检查结果判定

检查结果判定如下:

a)若无法提供机房所在建筑物楼宇的验收报告,或未采取防风和防雨等措施,则7.1.1.2 a)检

查结果为不符合;

b)如果机房选址在地下室或顶层,且未加强防水和防潮措施,则7.1.1.2 b)检查结果为不符合。

7.1.2 物理访问控制

7.1.2.1 检查内容

检查内容如下:

应检查物理访问控制措施。

7.1.2.2 检查方法

检查方法如下:

a)查验机房所有出入口是否有值守记录以及进出机房的人员登记记录;

b)查验是否有来访人员进入机房的审批记录,查验审批记录是否包括来访人员的访问范围;

c)查验机房内的运维区域和设备区域是否有隔离措施;

d)查验电子门禁系统是否能正常工作;查验是否有电子门禁系统的运行和维护记录。

7.1.2.3 检查结果判定

DB11/T 1344—2016

检查结果判定如下:

a)若机房任何一个出入口没有值守记录和进出人员登记记录,则7.1.2.2 a)检查结果为不符合;

b)若没有来访人员进入机房的审批记录,或审批记录中不具备来访人员的访问范围以及所要执行

的操作等审批项,则7.1.2.2 b)检查结果为不符合;

c)若机房内的运维区域和设备区域间没有隔离措施,如玻璃门等,则7.1.2.2 c)检查结果为不

符合;

d)若机房内没有设置电子门禁系统,或者电子门禁系统无法正常工作,或没有电子门禁系统运行

和维护记录,则7.1.2.2 d)检查结果为不符合。

7.1.3 支撑设施保障

7.1.3.1 检查内容

检查内容如下:

a)应检查防水措施;

b)应检查防火措施;

c)应检查温湿度控制措施;

d)应检查防静电措施;

e)应检查电力保障措施和通信线缆保护措施。

7.1.3.2 检查方法

检查方法如下:

a)查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行

情况进行记录;

b)查验是否设置对水敏感的检测仪表或元件对机房进行防水检测和报警;查验该仪表或元件是否

正常运行,是否有日常状态运行监测记录,是否有人负责其运行管理工作;

c)查验机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统,查验自动消防系统

是否正常工作,是否有运行记录、报警记录、定期检查和维修记录;

d)查验机房及相关的工作房间和辅助房是否采用具有耐火等级的建筑材料;

e)查验温湿度自动调节设施是否能够正常运行,查验是否有温湿度记录、运行记录和维护记录;

f)访谈物理安全负责人,询问机房主要设备是否采取必要的接地防静电措施,查验机房是否采用

了防静电地板;

g)查验是否有短期备用电源设备或备用供电系统及其检查和维护记录,是否有冗余或并行的电力

电缆线路切换记录、备用供电系统运行记录;

h)查验机房是否采取通信线缆与电源线隔离铺设等通信线缆保护措施。

7.1.3.3 检查结果判定

检查结果判定如下:

a)若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果

及除湿装置运行记录缺失,则7.1.3.2 a)检查结果为不符合;

b)若机房内没有设置对水敏感的检测仪表或元件对机房进行防水检测和报警,则7.1.3.2 b)检

查结果为不符合;

信息安全等级保护工作实施细则.doc

内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负

责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

信息安全等级保护答案

一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全

等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

信息安全等级保护工作汇报

XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、

保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是( c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:( A ) A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B )A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是( D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5)

B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部 5.下列说法中不正确的是( A)B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表: access-list 1 permit access-list 2 permit 访问控制列表1和2,所控制的地址范围关系是:( B )A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中,以下( B )命令可以删除整个表中的数据,并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点( C )D A. 生成树可以管理冗余链路,在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

国家信息安全等级第二级保护制度

国家信息安全等级保护制度 (二级) 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 (1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案; (2)应批准进入机房的来访人员,限制和监控其活动范围。 1.3 防盗窃和防破坏 (1)应将主要设备放置在物理受限的范围内; (2)应对设备或主要部件进行固定,并设置明显的不易除去的标记; (3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等; (4)应对介质分类标识,存储在介质库或档案室中; (5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。 1.4 防雷击 (1)机房建筑应设置避雷装置; (2)应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 (1)水管安装,不得穿过屋顶和活动地板下; (2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管; (3)应采取措施防止雨水通过屋顶和墙壁渗透; (4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 (1)计算机系统供电应与其他供电分开;

(2)应设置稳压器和过电压防护设备; (3)应提供短期的备用电力供应(如UPS设备)。 1.10 电磁防护 (1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; (2)电源线和通信线缆应隔离,避免互相干扰。 2、网络安全 2.1结构安全与网段划分 (1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要; (2)应设计和绘制与当前运行情况相符的网络拓扑结构图; (3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽; (4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径; (5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; (6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。 2.2 访问控制 (1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。 (2)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户; (3)应限制具有拨号访问权限的用户数量。 2.3 安全审计 (1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录; (2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息 2.4 边界完整性检查

信息安全等级保护工作计划

篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我

信息安全等级保护工作历程

信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试

公安机关信息安全等级保护检查工作规范

公安机关信息安全等级保护检查工作规范 (试行) 第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。 第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。 第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。 第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。 第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。 第六条检查的主要内容:

(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况; (二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况; (三)信息系统定级备案情况,信息系统变化及定级备案变动情况; (四)信息安全设施建设情况和信息安全整改情况; (五)信息安全管理制度建设和落实情况; (六)信息安全保护技术措施建设和落实情况; (七)选择使用信息安全产品情况; (八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况; (九)自行定期开展自查情况; (十)开展信息安全知识和技能培训情况。 第七条检查项目: (一)等级保护工作部署和组织实施情况 1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。 2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。 3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。

信息安全等级保护培训试题集

信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失

4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。 6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A.二级以上 B.三级以上

信息安全等级保护标准规范

部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负

责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。 四、信息安全等级保护等级划分和监管方式 (一)信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、

信息安全等级保护答案

一、单选题(题数:32,共64.0 分)1 信息安全等级保护工作直接作用的具体的信息和信息系统称为(2.0分) 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2.0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2.0分) A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2.0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2.0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2.0分) A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案:B

7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。(2.0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2.0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级(2.0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2.0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) (2.0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2.0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面

信息安全等级保护工作计划

竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务

信息安全等级保护管理规定公通字文件定稿版

信息安全等级保护管理 规定公通字文件精编 W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】

信息安全等级保护管理办法(公通字[2007]43号) 作者 : 来源 : 公安部、国家保密局、国家密码 管理局、国务院信息工作办公室时间:2007- 字体:大中小 06-22 第一章?总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业

相关主题
相关文档
最新文档