网络安全等级保护(安全通用要求)建设实施方案

网络安全等级保护建设案

（安全通用要求）

北京启明星辰信息安全技术有限公司

Beijing Venustech Information Security Technology Co., Ltd.

二零一九年五月

目录

1.项目概述 (4)

1.1.项目概述 (4)

1.2.项目建设背景 (4)

1.2.1.法律依据 (4)

1.2.2.政策依据 (5)

1.3.项目建设目标及容 (6)

1.3.1.建设目标 (6)

1.3.2.建设容 (7)

1.4.等级保护对象分析与介绍 (8)

2.案设计说明 (8)

2.1.设计依据 (8)

2.2.设计原则 (9)

2.2.1.分区分域防护原则 (9)

2.2.2.均衡性保护原则 (9)

2.2.3.技管并重原则 (9)

2.2.4.动态调整原则 (9)

2.2.5.三同步原则 (10)

2.3.设计思路 (10)

2.4.设计框架 (12)

3.安全现状及需求分析 (12)

3.1.安全现状概述 (12)

3.2.安全需求分析 (13)

3.2.1.物理环境安全需求 (13)

3.2.2.通信网络安全需求 (14)

3.2.3.区域边界安全需求 (15)

3.2.4.计算环境安全需求 (17)

3.2.5.安全管理中心安全需求 (18)

3.2.6.安全管理制度需求 (18)

3.2.7.安全管理机构需求 (19)

3.2.8.安全管理人员需求 (19)

3.2.9.安全建设管理需求 (20)

3.2.10.安全运维管理需求 (21)

3.3.合规差距分析 (22)

4.技术体系设计案 (22)

4.1.技术体系设计目标 (22)

4.2.技术体系设计框架 (23)

4.3.安全技术防护体系设计 (23)

4.3.1.安全计算环境防护设计 (23)

4.3.2.安全区域边界防护设计 (28)

4.3.3.安全通信网络防护设计 (31)

4.3.4.安全管理中心设计 (34)

5.管理体系设计案 (35)

5.1.管理体系设计目标 (35)

5.2.管理体系设计框架 (35)

5.3.安全管理防护体系设计 (35)

5.3.1.安全管理制度设计 (36)

5.3.2.安全管理机构设计 (36)

5.3.3.安全管理人员设计 (37)

5.3.4.安全建设管理设计 (38)

5.3.5.安全运维管理设计 (39)

6.产品选型与投资概算 (47)

7.部署示意及合规性分析 (48)

7.1.部署示意及描述 (48)

7.2.合规性分析 (48)

7.2.1.技术层面 (48)

7.2.2.管理层面 (50)

1.项目概述

1.1.项目概述

根据实际项目情况编写、完善。

1.2.项目建设背景

1.2.1.法律依据

1994年《中华人民国计算机信息系统安全保护条例》（国务院令第147号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2017年《网络安全法》第二十一条明确规定实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第三十一条规定，关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。

《网络安全法》的颁布实施，标志着从1994年的国务院条例（国务院令第147号）上升到了法律的层面，标志着实施十余年的信息安全等级保护制度进入2.0阶段，同时也标志着以保护关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。

1.2.2.政策依据

2003年，《信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）明确指出，“实行信息安全等级保护。要重点保护基础信息网络和关系安全、经济命脉、社会稳定等面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”，标志着等级保护从计算机信息系统安全保护的一项制度提升到信息安全保障工作的基本制度。

2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)指出，信息安全等级保护制度是国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

自2007年《信息安全等级保护管理办法》(公通字〔2007〕43号)颁布以来，一直是层面推动网络安全工作的重要抓手。2012年，《国务院关于推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）规定，“落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”。

除此之外，下列政策文件也对等级保护相关工作提出了要求:

?《关于开展信息系统安全等级保护基础调查工作的通知》（公信安〔2005〕1431号）

?《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

?《关于加强电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号）

?《发展改革委关于进一步加强电子政务工程建设项目管理工作的通知》（发改高技〔2008〕2544号）

?《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安〔2009〕1429号)》

?《关于进一步推动中央企业信息安全等级保护工作的通知》（公通字〔2010〕70号）

?《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安〔2010〕303号）

?《关于进一步加强电子政务网络建设和应用工作的通知》（发改高技〔2012〕1986号）

?《全国人民代表大会常务委员会关于加强网络信息保护的决定》（2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通

过）

?《网络安全等级保护条例(征求意见稿)》（2018年6月）

1.3.项目建设目标及容

1.3.1.建设目标

网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作，使网络系统可以按照保护等级的要求进行设计、规划和实施，并且达到相应等级的基本保护水平和保护能力。

依据网络安全等级保护相关标准和指导规，对XXXX单位XXXX系统按照“整

体保护、综合防控”的原则进行安全建设案的设计，按照等级保护三级的要求进行安全建设规划，对安全建设进行统一规划和设备选型，实现案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。

依据网络安全等级保护三级标准，按照“统一规划、重点明确、合理建设”的基本原则，在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等面进行安全规划与建设，确保“网络建设合规、安全防护到位”。

最终使XXXXX系统达到安全等级保护第三级要求。经过建设后，使整个网络形成一套完善的安全防护体系，提升整体网络安全防护能力。

对于三级网络，经过安全建设整改，网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力，抵抗较为重的自然灾害的能力，以及防计算机病毒和恶意代码危害的能力；具有检测、发现、报警及记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的网络，应该能够快速恢复正常运行状态；具有对网络资源、用户、安全机制等进行集中控管的能力。

1.3.

2.建设容

本项目以XXX单位XXXXX系统等级保护建设为主线，以让相关信息系统达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段，建立全网的安全防控管理服务体系，从而全面提高XXXX单位的安全防护能力。

建设容包括安全产品采购部署、安全加固整改、安全管理制度编写等。

信息安全管理制度..

信息工作管理制度 第一章总则 第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。 第二条本制度适用范围为信息与监控中心，其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 （一）系统管理员 系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 （二）业务管理员（业务联系人） 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络管理员

信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1 概述 1.1 任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》

（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。 1.3 与其他标准的关系 图1 等级保护标准相互关系 从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）（简称“《定级指南》”）确定等级保护对象的安全保护等级，然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施，随后利用《信息安全技术信息系统安全等级保护实施指南》（简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作，此后利用《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-20XX）（简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。同时，等级保护整个实施过程又是由《实施指南》来指导的。 在等级保护的相关标准中，《测评要求》系列标准是《基本要求》系列标准的姊妹篇，《测评要求》针对《基本要求》中各要求项，提供了具体测评方法、步

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

信息安全管理制度19215

信息安全管理制度 目录 1.安全管理制度要求 1.1总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。 1.1.1建立文件化的安全管理制度，安全管理制度文件应包括： a)安全岗位管理制度； b)系统操作权限管理； c)安全培训制度； d)用户管理制度； e)新服务、新功能安全评估； f)用户投诉举报处理； g)信息发布审核、合法资质查验和公共信息巡查； h)个人电子信息安全保护； i)安全事件的监测、报告和应急处置制度； j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准，并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行，包括： 1.个人身份核查： 2.个人履历的核查： 3.学历、学位、专业资质证明： 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括： 1.上岗前的培训； 2.安全制度及其修订后的培训； 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程： a)及时终止离岗员工的所有访问权限； b)关键岗位人员须承诺调离后的保密义务后方可离开； c)配合公安机关工作的人员变动应通报公安机关。

如何做网络安全等级保护

一、网络安全等级保护制度是什么 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 2017年6月1日颁布的《中华人民共和国网络安全法》确认并更新了等级保护制度的内容。并且随着网络安全法的发布，信息安全建设已经逐渐提升到国家安全战略的层面，后期哪个单位未落实等级保护制度，一旦出现问题将会受到主管部门的严厉处罚。 二、哪些单位需要做等级保护 《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢？ （一）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等； （二）金融行业：金融监管机构、各大银行、证券、保险公司等； （三）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等； （四）能源行业：电力公司、石油公司、烟草公司； （五）企业单位：大中型企业、央企、上市公司等； （六）其它有信息系统定级需求的行业与单位。

系统信息安全保护制度

系统信息安全保护制度 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击，保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能，对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置

相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员权限。 二、信息安全保密管理制度 1、网站信息内容更新全部由网站工作人员完成或管理。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息，一经发现，立即删除。 2、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清理整治工作，对违法犯罪案件，报告并协助公安机关查处。 3、所有信息都及时做备份。按照国家有关规定，网站将保存6个月内系统运行日志和用户使用日志记录。 4、制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息或网页。 三、系统账号管理制度 1、服务器和数据库的管理账号密码，由系统管理员和数据库管理员设定并持有，实行定期修改制度，最长有效期不超过90天。 2、更换服务器与数据库密码时必须报备上级领导，以防遗失密码。如发现密码及口令有泄密迹象，管理员要立刻报告主管领导，严查泄露源头，同时更换密码。

网络安全等级保护管理制度模板

网络安全等级保护管理制度

目录 一．信息安全管理机构及人员职责设置制度 (4) 一、信息安全管理机构及职责 (4) 二、信息安全人员岗位及职责 (4) 三、机构之间的沟通与合作 (5) 二．信息安全岗位人员管理制度 (7) 三．计算机机房日常管理制度 (9) 一、机房区域访问规定 (9) 二、机房环境卫生规定 (9) 三、物品进出管理规定 (10) 四、机房空调管理规定 (10) 五、机房环境监控规定 (10) 四．办公环境安全管理制度 (12) 五．存储介质安全管理制度 (14) 一、介质的存放 (14) 二、介质的使用 (14) 三、介质的带出与维修 (15) 四、介质的报废或销毁 (15) 六．信息化资产安全管理制度 (16) 七．系统建设安全管理制度 (18) 一、系统定级及系统安全方案设计 (18) 二、安全产品采购和使用 (18) 三、自行软件开发 (18) 四、外包软件开发 (19) 五、工程实施 (20) 六、测试验收 (20) 七、系统交付 (20) 八、安全服务商选择 (20) 八．网络安全管理制度 (22)

九．系统运维安全管理制度 (24) 十．计算机和服务器防病毒管理制度 (27) 十一. 安全保密和密码管理制度 (28) 十二. 备份和恢复管理制度 (29) 十三. 安全事件分类及处理流程 (30) 十四. 信息安全应急预案管理制度 (32) 十五. 信息安全知识培训管理制度 (33)

一．信息安全管理机构及人员职责设置制度 一、信息安全管理机构及职责 （该单位）信息安全管理工作由局信息安全工作领导小组负责，领导小组下设办公室，设在规划科技处，规划科技处负责有关信息安全工作的组织协调，技术中心承担具体工作。 (一)领导小组职责 在局党组领导下，负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划；审议信息安全的标准规范、规章制度等；审议信息化建设方案中关于信息安全相关内容；审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题；督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。 (二)领导小组办公室职责 贯彻落实局信息安全工作领导小组的决策；研究制定信息安全各项政策、技术标准和管理制度；研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见；研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议；承办领导小组交办的具体工作。 二、信息安全人员岗位及职责 （该单位）根据信息化建设及维护工作实际，设置系统管理员、网络管理员、安全管理员、机房管理员等岗位，安全管理员不能兼任网络管理员、系统管理员、机房管理员等，关键岗位应配备多人共同管理，

网络安全等级保护(安全通用要求)建设方案

网络安全等级保护建设方案 （安全通用要求） 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月

目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)

3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)

网络安全等级保护工作流程【最新版】

网络安全等级保护工作流程 2017年6月1日《网络安全法》正式实施，网络安全等级保护进入有法可依的2.0时代，网路安全等级保护系列标准于2019年5月陆续发布，12月1日起正式实施，标志着等级保护正式迈入2.0时代。 网络安全等级保护2.0时代，落实等级保护制度的五个规定基本动作仍然是：定级、备案、建设整改、等级测评、监督检查。 本文全面介绍网络安全等级保护工作流程。 网络安全等级保护基本概述 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护，对网络中使用的安全技术和管理制度实行按等级管理，对网络中发生的信息安全事件分等级响应、处置。 为开展网络安全等级保护工作，国家制定了一系列等级保护相关标准，其中主要的标准有：

计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术网络安全等级保护定级指南(GB/T22240-2020) 信息安全技术网络安全等级保护实施指南(GB/T25058-2019) 信息安全技术网络安全等级保护基本要求(GB/T22239-2019) 信息安全技术网络安全等级保护设计技术要求(GB/T25070-2019) 信息安全技术网络安全等级保护测评要求(GB/T28448-2019) 信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018) 开展网络安全等级保护工作的原因 开展网络安全等级保护的原因大致可以概括为下列三点： 合规要求：落实网络安全等级保护制度，满足国家法律法规要求。

网络安全法第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 网络安全法第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 网络安全等级保护基本对各行业进行全覆盖，主要行业有：政府机关、金融行业、卫生医疗、教育行业、运营商、能源电力、企业单位及其他行业等。 安全需求：基于等级保护构建安全防护体系，推动安全保障建设，合理规避风险。 网络安全等级保护是信息系统安全领域实施的基本国策，是是国家信息安全保障工作的基本制度、基本方法。 网络运营者依据国家网络安全等级保护政策和标准，开展组织管

信息系统安全等级保护第三级基本要求

7第三级基本要求 7.1技术要求 7.1.1物理安全 7.1.1.1物理位置的选择（G3） 本项要求包括： a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 7.1.1.2物理访问控制（G3） 本项要求包括： a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c) 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域； d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 7.1.1.3防盗窃和防破坏（G3） 本项要求包括： a) 应将主要设备放置在机房内； b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或档案室中； e) 应利用光、电等技术设置机房防盗报警系统； f) 应对机房设置监控报警系统。 7.1.1.4防雷击（G3） 本项要求包括： a) 机房建筑应设置避雷装置； b) 应设置防雷保安器，防止感应雷； c) 机房应设置交流电源地线。 7.1.1.5防火（G3） 本项要求包括： a) 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c) 机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 7.1.1.6防水和防潮（G3） 本项要求包括： a) 水管安装，不得穿过机房屋顶和活动地板下； b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透； d) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 7.1.1.7防静电（G3） 本项要求包括： a) 主要设备应采用必要的接地防静电措施； b) 机房应采用防静电地板。 7.1.1.8温湿度控制（G3）

信息安全等级保护工作流程图

信息安全等级保护工作流程

一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等 第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统：适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 （一）管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 （二）中央在京单位。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。

信息安全制度

信息安全制度 1总则 第1条为规范信息安全管理工作，加强过程管理和基础设施管理的风险分析及防范，建立安全责任制，健全安全内控制度，保证信息系统的机密性、完整性、可用性，特制定本规定。 2适用范围 第2条本规定适用于。 3管理对象 第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括：人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。

4第四章术语定义 DMZ：用于隔离内网和外网的区域，此区域不属于可信任的内网，也不是完全开放给因特网。 容量：分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度：与信息安全相关的制度文档，包括安全管理办法、标准、指引和程序等。 安全边界：用以明确划分安全区域，如围墙、大厦接待处、网段等。 恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期：根据备份管理办法制定的备份循环的周期，一个备份周期的内容相当于一个完整的全备份。 系统工具：能够更改系统及应用配臵的程序被定义为系统工具，如系统管理、维护工具、调试程序等。 消息验证：一种检查传输的电子消息是否有非法变更或破坏的技术，它可以在硬件或软件上实施。 数字签名：一种保护电子文档真实性和完整性的方法。例如，在电子商务中可以使用它验证谁签署电子文档，并检查已签署文档的内容是否被更改。 信息处理设备：泛指处理信息的所有设备和信息系统，包括网络、

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。 第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。 测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。 省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位; （二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录； （三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力； （四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

信息安全管理制度

信息安全管理制度 第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查，防止和控制非法、有害的信息通过本委的信息网络（内部信息平台）系统传播，避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室（下属单位）在向委网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载； 2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；

3、各信息应用科室（单位）对本单位所负责的信息必须作好备份； 4、各科室（单位）应对本部门的信息进行审查，网站各栏目信息的负责科室（单位）必须对发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性；如发现被删改，应及时向信息安全协调科报告； 5、涉及国家秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行； 6、涉及国家秘密信息，未经委信息安全分管领导批准不得在网络上发布和明码传输； 7、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。 第四条信息加密 1、涉及国家秘密的信息，其电子文档资料应当在涉密介质中加密单独存储； 2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储； 3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储；； 4、涉及国家秘密、国家与部门利益和社会安定的秘密信

网络安全等级保护2.0—北京在信国通科技有限公司

等级保护2.0－北京在信国通科技有限公司 Q1：什么是等级保护？ 答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 Q2：什么是等级保护2.0？ 答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以2019年12月1日，网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3：“等保”与“分保”有什么区别？ 答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。 适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。 等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。 Q4：“等保”与“关保”有什么区别？ 答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中，相关试点工作已启动。 Q5：什么是等级保护测评？ 答：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6：等级保护是否是强制性的,可以不做吗？ 答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建 筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

网络及信息安全管理制度汇编

中心机房管理制度 计算机机房属机密重地。为做到严格管理，保证安全，特制订如下制度： 第一条中心机房的管理由系统管理员负责，非机房工作人员未经允许不准进入，机房门口明显位置应张贴告示：“机房重地，非请莫入”。 第二条机房内应保持整洁，严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房，未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作，落实专人收集、保管，信息载体必须安全存放并严密保管，防止丢失或失效。机房资料外借必须经批准并履行手续，方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态，保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告，并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。

第七条机房设备应由专业人员操作、使用，禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修，以免影响工作。 第八条外单位人员因工作需要进入机房时，必须报经局领导审批后方可进入，进入机房后须听从工作人员的指挥，未经许可，不得触及机房内设施。 第九条外来人员参观机房，须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询；对参观人员不合理要求，陪同人员应婉拒，其他人员不得擅自操作。 第十条中心机房处理秘密事务时，不得接待参观人员或靠近观看。

网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定，确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络，若因工作需要，上网查询信息，允许访问与工作相关的网站，但须报告计算机管理部门，并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统，禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告，并采取措施及时解决。 第五条局域网要采取安全管理措施，保障计算机网络设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论，不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络

网络安全等级保护第三级基本要求

1 第三级基本要求（共290小项） 1.1 技术要求（共136小项） 1.1.1 物理安全（共32小项） 1.1.1.1 物理位置的选择（G3） 本项要求包括： a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内； b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制（G3） 本项要求包括： a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设 置交付或安装等过渡区域； d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏（G3） 本项要求包括： a)应将主要设备放置在机房内； b)应将设备或主要部件进行固定，并设置明显的不易除去的标记； c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d)应对介质分类标识，存储在介质库或档案室中； e)应利用光、电等技术设置机房防盗报警系统； f)应对机房设置监控报警系统。 1.1.1.4 防雷击（G3） 本项要求包括： a)机房建筑应设置避雷装置； b)应设置防雷保安器，防止感应雷； c)机房应设置交流电源地线。 1.1.1.5 防火（G3） 本项要求包括： a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮（G3） 本项要求包括： a)水管安装，不得穿过机房屋顶和活动地板下； b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

国家信息安全等级保护制度介绍

信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业