林地保护等级分级及保护管理措施
林地保护等级分级及保护管理措施
保护等级分级
Ⅰ级保护林地是我国重要生态功能区内予以特殊保护和严格控制生产活动的区域,以保护生物多样性、特有自然景观为主要目的。包括流程1000公里以上江河干流及其一级支流的源头汇水区、自然保护区的核心区和缓冲区、世界自然遗产地、重要水源涵养地、森林分布上限与高山植被上限之间的林地。
Ⅱ级保护林地是我国重要生态调节功能区内予以保护和限制经营利用的区域,以生态修复、生态治理、构建生态屏障为主要目的。包括除Ⅰ级保护林地外的国家级公益林地、军事禁区、自然保护区实验区、国家森林公园、沙化土地封禁保护区和沿海防护基干林带内的林地。Ⅲ级保护林地是维护区域生态平衡和保障主要林产品生产基地建设的重要区域。包括除Ⅰ、Ⅱ级保护林地以外的地方公益林地,以及国家、地方规划建设的丰产优质用材林、木本粮油林、生物质能源林培育基地。
Ⅳ级保护林地是需要予以保护并引导合理、适度利用的区域,包括未纳入上述Ⅰ、Ⅱ、Ⅲ级保护范围的各类林地。
保护管理措施
Ⅰ级保护林地管理措施
实行全面封禁保护禁止生产性经营活动,禁止改变林地用途。
Ⅱ级保护林地管理措施
实施局部封禁管护,鼓励和引导抚育性管理,改善林分质量和森林健
康状况,禁止商业
性采伐。除必需的工程建设占用外,不得以其他任何方式改变林地用途,禁止建设工程占用森林,其他地类严格控制。
Ⅲ级保护林地管理措施
严格控制征占用森林。适度保障能源、交通、水利等基础设施和城乡建设用地,从严控制商业性经营设施建设用地,限制勘查、开采矿藏和其他项目用地。重点商品林地实行集约经营、定向培育。公益林地在确保生态系统健康和活力不受威胁或损害下,允许适度经营和更新采伐。
Ⅳ级保护林地管理措施
严格控制林地非法转用和逆转限制采石取土等用地。推行集约经营、农林复合经营,在法律允许的范围内合理安排各类生产活动,最大限度地挖掘林地生产力。
《服务器管理规范》-等级保护安全管理制度
XXX系统 管理平台 --服务器管理规范--
目录 第一章总则 (3) 第二章指导原则 (3) 第三章服务器管理规范 (3) 第四章服务器保密制度 (4) 第五章相关记录 (5) 第六章相关文件 (5) 第七章附则 (5)
第一章总则 第一条为科学有效地管理服务器,保障XXX系统平台安全的应用、高效运行,特制定本规章制度,请遵照执行。 第二条本细则适用于XXX系统平台。 第二章指导原则 第三条严格落实安全责任有效增强防范措施 积极完善应急机制确保可靠稳定运行 第四条机房管理人员依据此规范进行对服务器操作,并记录好相应记录。 第三章服务器管理规范 第五条服务器、路由器和交换机以及通信设备是网络的关键设备,须放置在机房内,不得自行配置或更换,更不能挪作它用。 第六条服务器机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),除系统维护时间外,要保障服务器24小时正常运行。 第七条依据《机房管理制度》,严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 第八条不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需 要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、 更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。第九条服务器系统必须及时升级安装安全补丁,弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒库。 第十条管理员对超级账户口令应严格保密、定期修改,以保证系统安全,防止对系统的非法入侵。同时可对服务器上的管理权限、进行更新设置,防止恶意破译。 第十一条建立机房登记制度,对本地局域网的运行建立档案。未发生故障或故障隐患时当
等级保护与分级保护的区别
关于信息安全制度中等级保护与分级保 护的异同 时间:2013-04-15 11:41:06 来源:作者: 等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢?那些系统需要进行等级保护?那些系统又需要进行分级保护?涉密信息系统如何分级?这都是时常困扰我 们的问题,在此和大家一起探讨一个等保和分保的问题。 一、等保的全称是信息安全等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。 2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级 应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社 会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等 级分为五级。 第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。 第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会 秩序和公共利益造成损害但不损害国家安全。 第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。 第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成 严重损害。 第五级信息系统受到破坏后会对国家安全造成特别严重损害。 二、分保的全称是涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。 中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提 出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信 息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。 涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级 和机密级(增强)、绝密级三个等级: 秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三 级的要求,并且还必须符合分级保护的保密技术要求。 机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四 级的要求,还必须符合分级保护的保密技术要求。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五 级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
等级保护与分级保护
For pers onal use only in study and research; not for commercial use 等级保护与分级保护 一、信息系统等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别: 第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
(管理制度)信息安全等级保护管理办法(全文)
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下: 第壹章总则 第壹条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统壹的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及关联标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其关联标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分和保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统于国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后
对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第壹级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条信息系统运营、使用单位依据本办法和关联技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第壹级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
信息安全等级保护管理办法(正式)
编订:__________________ 单位:__________________ 时间:__________________ 信息安全等级保护管理办 法(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-2156-61 信息安全等级保护管理办法(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 第一章总则 第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检
查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (3) 1.1.1.5 防火(G3) (3) 1.1.1.6 防水和防潮(G3) (4) 1.1.1.7 防静电(G3) (4) 1.1.1.8 温湿度控制(G3) (4) 1.1.1.9 电力供应(A3) (4) 1.1.1.10 电磁防护(S3) (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (4) 1.1.2.3 安全审计(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (5) 1.1.2.7 网络设备防护(G3) (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.3.5 入侵防范(G3) (7) 1.1.3.6 恶意代码防范(G3) (7) 1.1.3.7 资源控制(A3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (8) 1.1.4.3 安全审计(G3) (8) 1.1.4.4 剩余信息保护(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信保密性(S3) (8) 1.1.4.7 抗抵赖(G3) (8) 1.1.4.8 软件容错(A3) (8) 1.1.4.9 资源控制(A3) (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据保密性(S3) (9)
三级等保,安全管理制度,信息安全管理体系文件控制管理规定
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理体系文件控制管理规定V0.1 XXX-XXX-XX-02001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部、技术开发部
目录 第一章总则 (1) 第二章细则 (1) 第三章附则 (9) 附件: (10)
第一章总则 第一条为规范XXXXX信息安全管理体系文件的审批、发布、分发、更改、保管和作废等活动,根据《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012),结合XXXXX实际,制定本规定。 第二条本规定适用于XXXXX信息安全管理体系文件控制 过程和活动。 第三条信息安全管理体系文件是确保XXXXX信息系统正 常运转形成的文书,用于阐述需保护的资产、风险管理的方法、控制目标及方式和所需的保护程度。 第四条网络与信息安全工作领导小组办公室负责组织XXXXX信息安全管理体系各级文件的编写、审核和归档;负责组织体系各级文件的宣传推广。 第二章细则 第五条体系文件的类别 信息安全管理体系文件可分为以下四级: (一)一级文件:管理策略; (二)二级文件:管理规定; (三)三级文件:管理规范、实施细则、操作手册等; (四)四级文件:运行记录、表单、工单、记录模板等。 第六条体系文件的编写
新版等级保护分级保护.pdf
等级保护/分级保护
目录 1等级保护FAQ (3) 1.1什么是等级保护、有什么用? (3) 1.2信息安全等级保护制度的意义与作用? (3) 1.3等级保护与分级保护各分为几个等级,对应关系是什么? (3) 1.4等级保护的重要信息系统(8+2)有哪些? (4) 1.5等级保护的主管部门是谁? (4) 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么? (4) 1.7等级保护的政策依据是哪个文件? (4) 1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案? (5) 1.9等级保护是否是强制性的,可以不做吗? (5) 1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准? (5) 1.11哪些单位可以做等级保护的测评? (6) 1.12做了等级测评之后,是否会给发合格证书? (6) 1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? (6) 1.14等级保护检查的责任单位是谁? (7) 2分级保护FAQ (7) 2.1分级保护是什么? (7) 2.2分级保护的主管部门是谁? (7) 2.3分级保护定级到哪里备案? (7) 2.4分级保护的政策依据是哪个文件? (7) 2.5分级保护与等级保护的适用对象分别是什么? (7) 2.6分级保护有关信息安全的标准相互关系是什么? (8) 2.7分级保护与等级保护的定级依据有何区别? (8) 2.8分级保护的建设依据、方案设计、测评分别依据哪些标准? (8) 2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批? (8) 2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批? (8) 2.11分级保护系统测评的作用是什么,是否必须做? (9) 2.12哪些单位可以做分级保护的测评,有什么资质要求? (9) 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? (9) 2.14涉密系统分级保护多长时间需进行一次安全保密检查? (9) 2.15各级保密局与各单位保密办的关系是什么? (10) 2.16分级保护的系统集成对厂商的资质有什么要求? (10) 2.17分级保护的安全建设是否必须监理,对监理资质有什么要求? (10) 2.18分级保护的哪些具体工作对厂商有单项资质的要求? (10) 3综合问题 (11) 3.1等保与分保的本质区别是什么? (11) 3.2等保与分保各有几种级别? (11) 3.3等级保护/分级保护什么区别哪些部门在管理,怎么做? (11) 3.4企业出现泄密事件上报那些单位? (11) 3.5等保定级备案是依据单位还是系统? (12) 3.6风险评估和等级保护的关系? (12) 3.7方案设计阶段及实施前是否需要报批? (12) 3.8对于等保中产品使用及密码产品是否有要求? (12)
信息安全等级保护管理办法(公通字〔2007〕43号)
信息安全等级保护管理办法(公通字[2007]43号) 作者 : 来源 : 公安部、国家保密局、国家密码管理局、 字体:大中小国务院信息工作办公室时间:2007-06-22 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级保护与分级保护的区别修订稿
等级保护与分级保护的 区别 集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]
关于信息安全制度中等级保护与分级保护 的异同 时间:2013-04-15 11:41:06来源:作者: 等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢那些系统需要进行等级保护那些系统又需要进行分级保护涉密信息系统如何分级这都是时常困扰我们的问题,在此和大家一起探讨一个等保和分保的问题。 一、等保的全称是信息安全等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) 提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级。 第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。 第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害但不损害国家安全。 第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。 第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害。 第五级信息系统受到破坏后会对国家安全造成特别严重损害。 二、分保的全称是涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。 涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级: 秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。 机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。 三、等级保护和分级保护之间的关系 其实从名字中我们就可以看出,涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
电子政务外网安全等级保护基本要求(试行)
附件 2: 国家电子政务外网 安全等级保护基本要求(试行) Baseline for classified protection of National E-Government Network
国家电子政务外网管理中心二○一一年十二月 目次 前 言 .............................................................................................................................................................. (1) 引言 (2) 适用范围 (3) 2. 规范性引用文件 (3) 3. 术语和定 义 (3) 4. 政务外网资产、威胁分析和脆弱 性 (5) 4.1. 资产分析 (5) 4.2. 威胁分析 (6) 4.3. 脆弱性分析 (7)
5. 政务外网安全等级保护概述 (8) 5.1. 政务外网安全保护等 级 (8) 5.2. 不同等级的安全保护能 力 (8) 6. 第二级基本要求 (9) 6.1. IP 承载网9 6.1.1. 广域 网 (9) 6.1.2. 城域 网 (9) 6.1.3. 用户局域 网 (10) 6.2. 业务区域网 络 (10) 6.2.1. 公用网络 区 (10) 6.2.2. 互联网接入 区 (10) 6.3. 管理区域网 络 (11) 6.3.1. 网络管理 区 (11) 6.3.2. 安全管理 区 (11) 7. 第三级基本要求 (11) 7.1. IP 承载网11 7.1.1. 广域 网 (11) I 7.1.2. 城域
公安机关信息安全等级保护检查工作规范
公安机关信息安全等级保护检查工作规范 (试行) 第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。 第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。 第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。 第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。 第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。 第六条检查的主要内容:
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况; (二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况; (三)信息系统定级备案情况,信息系统变化及定级备案变动情况; (四)信息安全设施建设情况和信息安全整改情况; (五)信息安全管理制度建设和落实情况; (六)信息安全保护技术措施建设和落实情况; (七)选择使用信息安全产品情况; (八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况; (九)自行定期开展自查情况; (十)开展信息安全知识和技能培训情况。 第七条检查项目: (一)等级保护工作部署和组织实施情况 1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。 2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。 3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全 2集成等业务; (十)应具备的其他条件。 第七条申请时,申请单位应向等保办提交以下材料:(一)《信息安全等级保护测评机构申请表》; (二)从事信息系统安全相关工作情况; (三)检测评估工作所需软硬件及其他服务保障设施配备情况; (四)有关管理制度建设情况; (五)申请单位及其测评人员基本情况; (六)应提交的其他材料。 等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
等级保护基本要求-管理要求学习资料
1.1管理要求 1.1.1安全管理制度 1.1.1.1管理制度(G3) 本项要求包括: a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b) 应对安全管理活动中的各类管理内容建立安全管理制度; c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程; d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 1.1.1.2制定和发布(G3) 本项要求包括: a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 安全管理制度应具有统一的格式,并进行版本控制; c) 应组织相关人员对制定的安全管理制度进行论证和审定; d) 安全管理制度应通过正式、有效的方式发布; e) 安全管理制度应注明发布范围,并对收发文进行登记。 1.1.1.3评审和修订(G3) 本项要求包括: a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定; b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。 1.1.2安全管理机构 1.1. 2.1岗位设置(G3) 本项要求包括: a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责; c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权; d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
信息安全等级保护管理制度
信息安全等级保护 管理制度 1
?更多资料请访问.(.....) ?更多资料请访问.(.....) 2
关于开展保险业信息系统安全等级保护定级工作的通知 保监厅发〔〕45号 各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照<关于开展全国重要信息系统安全等级保护定级工作的通知>(公信安〔〕861号)要求,中国保监会将在保险行业 3
内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式 各单位应按照”准确定级、严格审批、及时备案、认真整改、科学测评”的要求和”自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。 保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。 各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。 各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。 二、定级工作安排及定级范围 (一)定级工作安排 为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。 保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 4
网络安全等级保护测评机构管理办法
网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。 第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。 测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规
定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。 省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位; (二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录; (三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力; (四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;
等级保护分级保护
等级保护/分级保护 ?目录 1?等级保护FAQ .................................................................................................................................................. 错误!未定义书签。 1、1?什么就是等级保护、有什么用??错误!未定义书签。 1、2信息安全等级保护制度得意义与作用? ........................................................................................... 错误!未定义书签。 1、3等级保护与分级保护各分为几个等级,对应关系就是什么? ........................................................... 错误!未定义书签。 1、4等级保护得重要信息系统(8+2)有哪些? .......................................................................................... 错误!未定义书签。 1、5?等级保护得主管部门就是谁? ........................................................................................................... 错误!未定义书签。 1、6国家密码管理部门在等级保护/分级保护工作中得职责就是什么? ............................................... 错误!未定义书签。 1、7等级保护得政策依据就是哪个文件??错误!未定义书签。 1、8?公安机关对等级保护得管理模式就是什么,等级保护定级到哪里备案??错误!未定义书签。 1、9?等级保护就是否就是强制性得,可以不做吗? ................................................................................... 错误!未定义书签。 1、10?等级保护得主要标准有哪些,就是否已发布为正式得国家标准?................................................. 错误!未定义书签。 1、11哪些单位可以做等级保护得测评??错误!未定义书签。 1、12做了等级测评之后,就是否会给发合格证书? ........................................................................... 错误!未定义书签。 1、13就是否只就是在政府行业实行?企业就是否也在等级保护与分级保护范畴之内??错误!未定义书签。 1、14等级保护检查得责任单位就是谁?............................................................................................. 错误!未定义书签。2?分级保护FAQ?错误!未定义书签。 2、1?分级保护就是什么? ........................................................................................................................... 错误!未定义书签。 2、2?分级保护得主管部门就是谁??错误!未定义书签。 2、3?分级保护定级到哪里备案? .............................................................................................................. 错误!未定义书签。 2、4?分级保护得政策依据就是哪个文件?................................................................................................ 错误!未定义书签。 2、5?分级保护与等级保护得适用对象分别就是什么??错误!未定义书签。 2、6?分级保护有关信息安全得标准相互关系就是什么??错误!未定义书签。 2、7分级保护与等级保护得定级依据有何区别? ................................................................................... 错误!未定义书签。 2、8分级保护得建设依据、方案设计、测评分别依据哪些标准??错误!未定义书签。 2、9?分级保护设计方案就是否需要经过评审与审批,谁来评审与审批? ............................................... 错误!未定义书签。 2、10?涉密信息系统投入使用前,就是否需要经过审批,由谁来审批??错误!未定义书签。 2、11分级保护系统测评得作用就是什么,就是否必须做??错误!未定义书签。 2、12哪些单位可以做分级保护得测评,有什么资质要求??错误!未定义书签。 2、13?分级保护对涉密系统中使用得安全保密产品有哪些要求??错误!未定义书签。 2、14?涉密系统分级保护多长时间需进行一次安全保密检查??错误!未定义书签。 2、15各级保密局与各单位保密办得关系就是什么??错误!未定义书签。 2、16分级保护得系统集成对厂商得资质有什么要求??错误!未定义书签。 2、17分级保护得安全建设就是否必须监理,对监理资质有什么要求? ............................................ 错误!未定义书签。 2、18?分级保护得哪些具体工作对厂商有单项资质得要求?................................................................ 错误!未定义书签。3综合问题..................................................................................................................................................... 错误!未定义书签。 3、1等保与分保得本质区别就是什么? ................................................................................................... 错误!未定义书签。 3、2?等保与分保各有几种级别? .............................................................................................................. 错误!未定义书签。 3、3等级保护/分级保护什么区别哪些部门在管理,怎么做? .............................................................. 错误!未定义书签。 3、4企业出现泄密事件上报那些单位? ................................................................................................... 错误!未定义书签。 3、5?等保定级备案就是依据单位还就是系统??错误!未定义书签。 3、6风险评估与等级保护得关系??错误!未定义书签。 3、7方案设计阶段及实施前就是否需要报批??错误!未定义书签。 3、8对于等保中产品使用及密码产品就是否有要求? ........................................................................... 错误!未定义书签。 等级保护/分级保护FAQ