公安机关信息安全等级保护检查工作规范
公安机关信息安全等级保护检查工作规范
(试行)
第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条检查的主要内容:
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;
(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;
(四)信息安全设施建设情况和信息安全整改情况;
(五)信息安全管理制度建设和落实情况;
(六)信息安全保护技术措施建设和落实情况;
(七)选择使用信息安全产品情况;
(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
(九)自行定期开展自查情况;
(十)开展信息安全知识和技能培训情况。
第七条检查项目:
(一)等级保护工作部署和组织实施情况
1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。
(二)信息系统安全等级保护定级备案情况
1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。
2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。
3.补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。
4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。
5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况。
(三)信息安全设施建设情况和信息安全整改情况
1.部署和组织开展信息安全建设整改工作。
2.制定信息安全建设规划、信息系统安全建设整改方案。
3.按照国家标准或行业标准建设安全设施,落实安全措施。
(四)信息安全管理制度建立和落实情况
1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管
理等制度。
2.建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。
3.建立安全审计管理制度、岗位和人员管理制度。
4.建立技术测评管理制度,信息安全产品采购、使用管理制度。
5.建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。
6.建立教育培训制度,定期开展信息安全知识和技能培训。
(五)信息安全产品选择和使用情况
1.按照《管理办法》要求的条件选择使用信息安全产品。
2.要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。
3.采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况
1.按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。
2.按照《管理办法》规定的条件选择技术测评机构。
3.要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。
4.与测评机构签订保密协议。
5.要求测评机构制定技术检测方案。
6.对技术检测过程进行监督,采取了哪些监督措施。
7.出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。
8.根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改。
(七)定期自查情况
1.定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。
2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改。
第八条各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是:
对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。
对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。
第九条对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门。因故无法会同的,公安机关可以自行开展检查。
第十条公安机关开展检查前,应当提前通知被检查单位,并发送《信息安全等级保护监督检查通知书》(见附件1)。
第十一条检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件。
第十二条检查中应当填写《信息系统安全等级保护监督检查记录》(以下简称《监督检查记录》,见附件2)。检查完毕后,《监督检查记录》应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。《监督检查记录》应当存档备查。
第十三条检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》(以下简称《整改通知》,见附件3)。逾期不改正的,给予警告,并向其上级主管部门通报(通报书见附件4):(一)未按照《管理办法》开展信息系统定级工作的;
(二)信息系统安全保护等级定级不准确的;
(三)未按《管理办法》规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案登
记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并重新备案的;
(七)未按《管理办法》规定落实安全管理制度、技术措施的;
(八)未按《管理办法》规定开展安全建设整改和安全技术测评的;
(九)未按《管理办法》规定选择使用信息安全产品和测评机构的;
(十)未定期开展自查的;
(十一)违反《管理办法》其他规定的。
第十四条检查发现需要限期整改的,应当出具《整改通知》,自检查完毕之日起10个工作日内送达被检查单位。
第十五条信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。
第十六条公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查。
第十七条受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导。
第十八条公安机关进行安全检查时不得收取任何费用。
第十九条本规范所称“以上”包含本数(级)。
第二十条本规范自发布之日起实施。
附件1
存根
一式两份,一份交被通知单位,一份附卷。
附件2
此记录由公安机关存档
信息安全等级保护监督检查记录单
此记录由公安机关存档
(公安机关印章)
年月日被检查单位主管人员(签名)
附件3
一式两份,一份交被检查单位,一份附卷。
附件4
存根
一式两份,一份交被检查单位,一份附卷。
信息安全等级保护工作实施细则.doc
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
信息安全技术 信息系统安全等级保护测评要求.doc
信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施范围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下: (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要网站和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件) 《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件) 《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件) 《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》
1.3定级工作流程 信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? …… ? 管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? …… ? 业务信息分析? 系统服务分析? 综合分析? 确定等级? …… ? 编写定级报告? …… ? 协助评审审批? 形成最终报告? 协助定级备案 图 1-1信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
信息安全等级保护工作汇报
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
国家信息安全等级第二级保护制度
国家信息安全等级保护制度 (二级) 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 (1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案; (2)应批准进入机房的来访人员,限制和监控其活动范围。 1.3 防盗窃和防破坏 (1)应将主要设备放置在物理受限的范围内; (2)应对设备或主要部件进行固定,并设置明显的不易除去的标记; (3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等; (4)应对介质分类标识,存储在介质库或档案室中; (5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。 1.4 防雷击 (1)机房建筑应设置避雷装置; (2)应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 (1)水管安装,不得穿过屋顶和活动地板下; (2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管; (3)应采取措施防止雨水通过屋顶和墙壁渗透; (4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 (1)计算机系统供电应与其他供电分开;
(2)应设置稳压器和过电压防护设备; (3)应提供短期的备用电力供应(如UPS设备)。 1.10 电磁防护 (1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; (2)电源线和通信线缆应隔离,避免互相干扰。 2、网络安全 2.1结构安全与网段划分 (1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要; (2)应设计和绘制与当前运行情况相符的网络拓扑结构图; (3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽; (4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径; (5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; (6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。 2.2 访问控制 (1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。 (2)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户; (3)应限制具有拨号访问权限的用户数量。 2.3 安全审计 (1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录; (2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息 2.4 边界完整性检查
信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我
信息安全等级保护制度
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息安全等级保护工作历程
信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试
公安机关信息安全等级保护检查工作规范
公安机关信息安全等级保护检查工作规范 (试行) 第一条为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。 第二条公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。 第三条信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。 第四条公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。 第五条信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。 第六条检查的主要内容:
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况; (二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况; (三)信息系统定级备案情况,信息系统变化及定级备案变动情况; (四)信息安全设施建设情况和信息安全整改情况; (五)信息安全管理制度建设和落实情况; (六)信息安全保护技术措施建设和落实情况; (七)选择使用信息安全产品情况; (八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况; (九)自行定期开展自查情况; (十)开展信息安全知识和技能培训情况。 第七条检查项目: (一)等级保护工作部署和组织实施情况 1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。 2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。 3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
信息安全等级保护标准规范
部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负
责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。 四、信息安全等级保护等级划分和监管方式 (一)信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
信息安全等级保护工作计划
竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务
信息安全等级保护管理规定公通字文件定稿版
信息安全等级保护管理 规定公通字文件精编 W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
信息安全等级保护管理办法(公通字[2007]43号) 作者 : 来源 : 公安部、国家保密局、国家密码 管理局、国务院信息工作办公室时间:2007- 字体:大中小 06-22 第一章?总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全等级保护制度介绍
信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
信息安全等级保护建设方案
信息安全等级保护(二级)建设方案 2016年3月 目录 1.?项目概述 ............................................................................................................................................................. 41.1.?项目建设目标?4 1.2.?项目参考标准 (4) 1.3.?方案设计原则 ............................................................................................................................................... 6
2.系统现状分析7? 2.1.系统定级情况说明..................................................................................................................................... 72.2.?业务系统说明 .............................................................................................................. 错误!未定义书签。 2.3.?网络结构说明 (7) 3.1.?物理安全需求分析8? 3.?安全需求分析 (8) 3.2.?网络安全需求分析?错误!未定义书签。 3.3.主机安全需求分析?错误!未定义书签。 3.4.应用安全需求分析9? 3.5.数据安全需求分析9? 3.6.安全管理制度需求分析9? 4.?总体方案设计 ............................................................................................................................................................ 9 4.1.总体设计目标 ............................................................................................................................................ 94.3.?总体网络架构设计 .. (12) 4.2.?总体安全体系设计10? 4.4.?安全域划分说明?12 5.?详细方案设计技术部分?13 5.1.物理安全13? 5.2.?网络安全 .................................................................................................................................................. 13 5.2.1.?安全域边界隔离技术 (13) 5.2.2.?入侵防范技术13? 5.2.3.网页防篡改技术14? 5.2.4.链路负载均衡技术14? 5.2.5.?网络安全审计 .......................................................................................................................................... 14 5.3.?主机安全 (15) 5.3.1.数据库安全审计................................................................................................................................... 15 5.3.2.?运维堡垒主机?15 5.4.?应用安全 ..................................................................................................................................................... 16 5.3.3.?主机防病毒技术1?6 6.详细方案设计管理部分 (16) 6.1.总体安全方针与安全策略 (17) 6.2.信息安全管理制度18? 6.3.安全管理机构 (18) 6.4.?人员安全管理 .......................................................................................................................................... 18 6.5.系统建设管理19? 6.6.?系统运维管理1?9 6.7.安全管理制度汇总21? 7.?咨询服务和系统测评 (22) 7.1.系统定级服务22? 7.2.风险评估和安全加固服务?22 7.2.1.?漏洞扫描2?2 7.2.2.渗透测试2?2 7.2.3.配置核查....................................................................................................................................... 22 7.2.4.?安全加固?22 7.2.5.安全管理制度编写 (24)