信息安全等级保护管理办法(国家)4.doc
信息安全等级保护管理办法(国家)4
中华人民共和国计算机信息系统安全保护条例
中华人民共和国国务院令第147号现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。总理李鹏1994年2月18日。
基本信息
(1994年2月18日中华人民共和国国务院令第147号发布根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
目录
第一章总则
第二章安全保护制度
第三章安全监督
第四章法律责任
第五章附则
条例内容
第一章
总则
第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。[2]
安全保护制度
第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
第十四条对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
第十五条对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。
第十六条国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。
安全监督
第十七条公安机关对计算机信息系统安全保护工作行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保护工作;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)履行计算机信息系统安全保护工作的其他监督职责。
第十八条公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。
第十九条公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。[1]
第四章
法律责任
第二十条违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:
(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按照规定时间报告计算机信息系统中发生的案件
的;
(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
(五)有危害计算机信息系统安全的其他行为的。
第二十一条计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理。
第二十二条运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。
第二十三条故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以1 5万元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。
第二十四条违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚法》的有关规定处罚;构成犯罪的,依法追究刑事责任。
第二十五条任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
第二十六条当事人对公安机关依照本条例所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。
第二十七条执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
第五章
附则
第二十八条本条例下列用语的含义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第二十九条军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第三十条公安部可以根据本条例制定实施办法。
第三十一条本条例自发布之日起施行。
信息系统等级保护建设方案
边界接入平台终端安全保护系统 建设方案 2009年6月5日
文件修改记录
目录
1项目建设的必要性 1.1政策必要性 随着全球信息化进程的不断推进,我国政府及各行各业也在进行大量的信息系统的建设,这些信息系统已经成为国家重要的基础设施,因此,信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度,已引起党和国家领导以及社会各界的关注。随着政府上网、电子商务、电子军事等信息化建设和发展,作为现代信息社会重要基础设施的信息系统,其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源,保护信息化进程健康、有序、可持续发展,直接关乎国家安危,关乎民族兴亡,是国家民族的头等大事。没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,没有完整意义上的国家安全。 随着国家信息化的不断推进与当前电子政务的大力建设,信息已经成为最能代表综合国力的战略资源,因此,信息资源的保护、信息化进程的健康是关乎国家安危、民族兴旺的大事;信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。对信息系统实行等级保护是我国的法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。 1.2整体安全需要 信息安全遵循“木桶原理”,任何一个不完善的环节都可能成为危及整个系统安全的“短板”。在信息通信网边界接入平台中数据交换业务前置机和社区警务室终端是边界接入平台的重要组成部分,终端的安全将直接影响整个信息系统的安全。终端既可能是安全事件的源头,又可能是安全事件的目标。从有关安全权威单位得知,绝大多数的攻击事件都是从终端发起的,也就是说安全事件往往都是终端体系结构和操作系统的不安全所引起的。因此,必须从终端操作系统平台实施安全防范,将不安全因素从终端源头被控制,只有这样才能保证信息系统的整体安全。 1.3合规性需要
信息安全技术 信息系统安全等级保护测评要求.doc
信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施范围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下: (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要网站和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件) 《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件) 《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件) 《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》
1.3定级工作流程 信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? …… ? 管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? …… ? 业务信息分析? 系统服务分析? 综合分析? 确定等级? …… ? 编写定级报告? …… ? 协助评审审批? 形成最终报告? 协助定级备案 图 1-1信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
信息安全等级保护制度
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息安全等级保护工作实施细则.doc
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
国家信息安全等级第二级保护制度
国家信息安全等级保护制度 (二级) 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 (1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案; (2)应批准进入机房的来访人员,限制和监控其活动范围。 1.3 防盗窃和防破坏 (1)应将主要设备放置在物理受限的范围内; (2)应对设备或主要部件进行固定,并设置明显的不易除去的标记; (3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等; (4)应对介质分类标识,存储在介质库或档案室中; (5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。 1.4 防雷击 (1)机房建筑应设置避雷装置; (2)应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 (1)水管安装,不得穿过屋顶和活动地板下; (2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管; (3)应采取措施防止雨水通过屋顶和墙壁渗透; (4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 (1)计算机系统供电应与其他供电分开;
(2)应设置稳压器和过电压防护设备; (3)应提供短期的备用电力供应(如UPS设备)。 1.10 电磁防护 (1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; (2)电源线和通信线缆应隔离,避免互相干扰。 2、网络安全 2.1结构安全与网段划分 (1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要; (2)应设计和绘制与当前运行情况相符的网络拓扑结构图; (3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽; (4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径; (5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; (6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。 2.2 访问控制 (1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。 (2)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户; (3)应限制具有拨号访问权限的用户数量。 2.3 安全审计 (1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录; (2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息 2.4 边界完整性检查
公安机关信息安全等级保护检查工作规范
公安机关信息安全等级保护检查工作规范 (试行) 第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。 第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。 第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。 第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。 第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。 第六条检查的主要内容:
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况; (二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况; (三)信息系统定级备案情况,信息系统变化及定级备案变动情况; (四)信息安全设施建设情况和信息安全整改情况; (五)信息安全管理制度建设和落实情况; (六)信息安全保护技术措施建设和落实情况; (七)选择使用信息安全产品情况; (八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况; (九)自行定期开展自查情况; (十)开展信息安全知识和技能培训情况。 第七条检查项目: (一)等级保护工作部署和组织实施情况 1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。 2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。 3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
信息安全等级保护标准规范
部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负
责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。 四、信息安全等级保护等级划分和监管方式 (一)信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
信息安全等级保护管理规定公通字文件定稿版
信息安全等级保护管理 规定公通字文件精编 W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
信息安全等级保护管理办法(公通字[2007]43号) 作者 : 来源 : 公安部、国家保密局、国家密码 管理局、国务院信息工作办公室时间:2007- 字体:大中小 06-22 第一章?总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全等级保护制度介绍
信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
信息安全等级保护建设方案
信息安全等级保护(二级)建设方案 2016年3月 目录 1.?项目概述 ............................................................................................................................................................. 41.1.?项目建设目标?4 1.2.?项目参考标准 (4) 1.3.?方案设计原则 ............................................................................................................................................... 6
2.系统现状分析7? 2.1.系统定级情况说明..................................................................................................................................... 72.2.?业务系统说明 .............................................................................................................. 错误!未定义书签。 2.3.?网络结构说明 (7) 3.1.?物理安全需求分析8? 3.?安全需求分析 (8) 3.2.?网络安全需求分析?错误!未定义书签。 3.3.主机安全需求分析?错误!未定义书签。 3.4.应用安全需求分析9? 3.5.数据安全需求分析9? 3.6.安全管理制度需求分析9? 4.?总体方案设计 ............................................................................................................................................................ 9 4.1.总体设计目标 ............................................................................................................................................ 94.3.?总体网络架构设计 .. (12) 4.2.?总体安全体系设计10? 4.4.?安全域划分说明?12 5.?详细方案设计技术部分?13 5.1.物理安全13? 5.2.?网络安全 .................................................................................................................................................. 13 5.2.1.?安全域边界隔离技术 (13) 5.2.2.?入侵防范技术13? 5.2.3.网页防篡改技术14? 5.2.4.链路负载均衡技术14? 5.2.5.?网络安全审计 .......................................................................................................................................... 14 5.3.?主机安全 (15) 5.3.1.数据库安全审计................................................................................................................................... 15 5.3.2.?运维堡垒主机?15 5.4.?应用安全 ..................................................................................................................................................... 16 5.3.3.?主机防病毒技术1?6 6.详细方案设计管理部分 (16) 6.1.总体安全方针与安全策略 (17) 6.2.信息安全管理制度18? 6.3.安全管理机构 (18) 6.4.?人员安全管理 .......................................................................................................................................... 18 6.5.系统建设管理19? 6.6.?系统运维管理1?9 6.7.安全管理制度汇总21? 7.?咨询服务和系统测评 (22) 7.1.系统定级服务22? 7.2.风险评估和安全加固服务?22 7.2.1.?漏洞扫描2?2 7.2.2.渗透测试2?2 7.2.3.配置核查....................................................................................................................................... 22 7.2.4.?安全加固?22 7.2.5.安全管理制度编写 (24)
信息安全等级保护答案
一、单选题(题数:32,共64.0 分)1 信息安全等级保护工作直接作用的具体的信息和信息系统称为(2.0分) 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2.0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2.0分) A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2.0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D
5 对国家安全造成特别严重损害,定义为几级(2.0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2.0分) A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。(2.0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2.0分) A、7 B、8 C、 6 D、 5
信息安全等级保护管理办法
信息安全等级保护管理办法(试行) 第一章总则 第一条为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 第三条信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。 第四条信息系统的安全保护等级分为以下五级: (一)第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。 (二)第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。 (三)第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。
(四)第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。 (五)第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。 第五条信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。 (一)第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。 (二)第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。 (四)第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。 (五)第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。 第六条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。 涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。