(供参考)等级保护备案表填写说明
等级保护备案表填写说明(供参考)
1.填表范围:
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成:表一为单位信息,每个备案单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写,并在完成系统建设、整改、测评等工作,投入运行后30日内向受理备案公安机关提交;表二、表三、表四可以复印使用,在使用过程中注意信息系统编号,如某单位共有6个信息系统,则填写过程中要遵循表二(1/6)、表二(2/6)……表二(6/6)的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(2/6),则相对应的表四的编号也应当是表四(2/6)。
2.保存方式:
本表一式二份,由备案单位和受理备案的公安机关分别盖章
—9 —
后,一份由备案单位保存,一份交受理备案公安机关存档。
3.《备案表》中有选择的地方请在选项左侧划“√”,如选择“其他”,请在其后的横线中注明详细内容,需要填写数字代码的地方,请在“0”中直接填写。
4.备案表编号:
封面中的“备案表编号”由两组共11位数字组成,第一组6位,代表受理备案的公安机关代码前六位(可参照行标GA380-2002);第二组5位,为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。
5.备案单位:
本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。
6.受理备案单位:
本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。此项由受理备案的公安机关负责填写。
7.行政区划代码:
表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码,该代码需与《中华人民共和国行政区划代码》(GB 2260-1995)一致。以北京市举例,标准6位地址码的构成如下: 110000 北京市,110105 朝阳区……。—10 —
8.单位负责人:
表一中的“单位负责人”是指负责本单位信息安全的领导。
9.责任部门:
表一中的“责任部门”是指单位内负责信息系统安全的部门。如果单位内的信息系统分别由不同的责任部门管理,则可以统一填写在表一的责任部门一栏中,或分别填写表一。
10.责任部门联系人:
表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任部门联系人有多个,则可以分别填写表一或均填写在表一责任部门联系人一栏中。
11.隶属关系:
表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位,按照国家标准《单位隶属关系代码》(GB/T12404-1997)分为:中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。
(1)各级政府(中央、省、地、县、乡、镇)、党委、人大、政协等机关的隶属关系填写本级。如:省政府的隶属关系填“省”。
(2)中央:包括人大常委会、政协常委会、中共中央、国务院直属机构和办事机构、各部委及其直属机构等。中央与地方双重领导的单位,以领导为主的一方来划分中央属或地方
—11 —
属。隶属于“中央”的单位所属的集体企业,隶属关系选“其他”,并在其后填写所隶属的单位名称;省属以下的企业(单位)所属的企业(单位),其隶属关系与企业(单位)本身的隶属关系一致。
(3)省:包括自治区、直辖市直属的行政管理单位;
(4)地区:包括自治州、盟、省辖市和直辖区直属的行政管理单位;
(5)县:包括地、州、盟辖市、省辖市辖区、自治县、自治旗、县级市直属的行政管理单位;
(6)街道:指经国务院批准设置的建制市的市区街道办事处等管理单位;
(7)镇:指经省、自治区、直辖市人民政府批准设置的建制镇政府所辖行政管理单位;
(8)乡:指乡一级政府及直属行政管理单位;
(9)其他:不隶属上述各级的企业(单位)选本栏。例如:无主管部门的单位、本省(自治区、直辖市)在外省(自治区、直辖市)的办事机构所开办的第三产业等单位等。
12.单位类型:
党委机关是指隶属于各级中国共产党委员会及其所属专门部门。政府机关是指隶属于各级人民政府的部门或单位。
13.行业类别:
—12 —
该项为单选项。以单位主要从事的业务为依据进行选择,如公安院校,则应选择教育而非公安。
14.信息系统总数:
是指本单位内所拥有的信息系统个数,包括第一级信息系统。
15.系统名称:
表二中“系统名称”是指信息系统进行立项建设或有明文规定的全称。
16.系统编号:
由备案单位给出的本单位备案信息系统的编号。备案单位所属信息系统编号不能重复;
17.系统承载业务情况:
(1)业务类型:该项为单选项。是指信息系统所承载的主要业务。其中1生产作业是指:主要为完成本单位生产直接提供服务的。2指挥调度是指:主要用于本单位内进行指挥、调度等工作的。3管理控制是指:主要进行管理工作的。4内部办公是指:主要为单位内部办公提供服务的。5公众服务是指:主要为社会公众提供服务的。
(2)业务描述:
是指系统所承载业务的具体描述,主要包括系统所承载的业务信息包括哪些,信息系统的主要功能等。
18.系统服务情况:
—13 —
(1)服务范围:该项为单选项。如果信息系统跨全国的所有省,则选择10全国,如果没有跨全国所有省,则选择11跨省,同时填写具体的跨省数。跨地(市、区)类似。
(2)服务对象:该项为单选项。单位内部人员:是指仅为本单位内部人员服务。社会公众人员:是指为社会大众提供服务。两者均包括:是指既包括单位内部人员也包括社会公众人员。如果仅为某些特定人群服务,请选择其它,并填写具体服务的对象名称。
19.系统网络平台:
(1)覆盖范围:该项为单选项。1局域网:信息系统所依托的网络结构是在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等;2城域网:是指该信息系统所依托的网络是一种大型的局域网,通常使用与局域网相似的技术。它可以覆盖一组邻近的公司办公室和一个城市,既可能是私有的也可能是公用的。比较常见的一个城市的政府公务网、教育城域网等;3广域网:是指信息系统所依托的网络是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市,甚至一个国家;如上述三个选项均不是,请选择其他,并在其后的横线中填写具体的网络覆盖范围类型名称。
(2)网络性质:
—14 —
1业务专网:是指信息系统所依托的网络是单位为开展某项业务专门架设或租用专门线路构成的;2互联网:是指承载信息系统的网络是完全依托互联网(Internet)的。
20.系统互联情况:
该项为多选项。1与其它行业系统连接:是指该信息系统与本行业以外的其他行业的信息系统进行连接或共享数据。2与本行业其他单位系统连接:是指该信息系统与行业内其他单位的信息系统进行连接或共享数据。3与本单位其他系统连接:是指该信息系统与本单位内的其他信息系统进行连接。如果上述选项均不是,则选择其它,并在其后的横线中注明具体的互联情况。
21.关键产品使用情况:
(1)产品类型:是指信息系统(包括网络)中使用的信息技术产品的类型,其中安全专用产品:是指根据《计算机信息系统安全专用产品检测和销售许可证管理办法》规定,用于保护计算机信息系统安全的专用硬件和软件产品,主要包括:扫描类产品(包括入侵检测、防御等产品),防雷产品,防火墙,数据完整类(包括身份认证、访问控制、签章、指纹识别等),网络安全(包括网吧安全管理、审计产品等),病毒产品等。网络产品:是指除上述安全产品外的其它网络产品,主管包括:路由器、网关、网闸等。操作系统:是指管理计
—15 —
算机系统全部硬件、软件资源及数据资源,控制程序运行,改善人机界面,为其它应用软件提供支持等的,使计算机系统所有资源最大限度地发挥作用,为用户提供方便的、有效的、友善的服务界面的专用软件,常见的操作系统有Windows 系列,Linux系列,Unix系列等;数据库:是指帮助用户依照某种数据模型组织起来并存放数据的软件,这里主要指数据库软件。常见的数据库软件有Oracle、Sybase、DB2、SQL server 、Access、MySQL、BD2等;服务器:又叫主机。主要是为信息系统集中提供各种类型服务的主机。
(2)数量:软件产品的数量按购买的套数算,不以实际安装的台数计算。硬件产品的数量以购买的台(件)数计算,如果没有则数量填0。
(3)使用国产品率:是指信息系统中使用国产的某类信息技术产品数量占使用该类信息技术产品总数量的比例。全部使用,是指该信息系统中使用的该类信息技术产品全都是国产品(品牌、型号等可以不同)。全部未使用,是指该信息系统中使用的该类信息技术产品全都不是国产品。部分使用率,是指当某类产品部分使用国产品时,国产品的使用率。以某类操作系统为例,如某信息系统的主机(服务器)上共使用了3套操作系统,其中微软操作系统2套,红旗操作系统1套,则该信息系统中使用操作系统的国产品率就是33%(1/3),—16 —
再如某信息系统中共使用了20个路由器,其中10个国内产品,10个国外产品,此外还使用了20个网关,其中15个国内产品,5个国外产品,则该信息系统中使用网络产品的国产品率就是62.5%(10+15/20+20)。国产品是指该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权。
22.系统采用服务情况:
是指信息系统在规划、设计、建设、运维、终止等生命周期的各个阶段采用的由供应商、组织机构或人员所执行的一系列的安全过程或任务。
(1)服务类型。等级测评:是指依据等级保护测评标准对相应等级信息系统开展的标准符合性测评,测评完成后出具符合相应等级要求(符合《基本要求》)的测评报告,报公安机关备案;风险评估:是指信息安全风险评估;灾难恢复:是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程;应急响应:是指对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的服务恢复正常运行的过程;系统集成:是指系统集成商使用硬件和软件资源来满足用户的特定
—17 —
需求的过程;安全咨询:是指为开展信息系统安全工作,由信息系统运营使用或主管部门发起的咨询工作;安全培训:是指为开展安全工作对相应人员进行的培训;如果在上述服务外还采用了其他服务,可以选其它,并在其后的横线中标明具体的内容。
(2)服务责任方类型:是指提供服务的服务单位是属于本行业的,还是属于国内其他行业(单位),还是国外服务商。国内服务商是指服务机构在我国境内注册成立,由中国公民、法人或国家投资的企事业单位。
23.等级测评单位名称:
是指开展等级测评工作的测评单位的全称。
24.何时投入运行使用:
是指信息系统正式投入运行使用的时间。试运行时间不算在内。
25.系统是否是分系统:
分系统是指大系统分支应用的信息系统或完成大系统部分功能的信息系统。
26.上级系统名称:
如果该信息系统是分系统,则需要填写该项。上级系统是指分系统所隶属或归属的信息系统。
27.确定业务信息安全保护等级:
—18 —
是指根据《定级指南》确定信息系统业务信息安全等级。28.确定系统服务安全保护等级:
是指根据《定级指南》确定信息系统服务安全等级。
29.信息系统安全保护等级:
是指根据《定级指南》,信息系统最终的安全保护等级由业务信息安全等级和系统服务安全等级两个较高者确定。
30.专家评审情况:
是指请专家对信息系统定级情况进行评审的情况。其中第四级以上信息系统须由国家信息安全保护等级专家评审委进行评审。
31.主管部门:
是指本单位信息系统所承载业务的上级主管部门。只有该类主管部门对信息系统定级的准确与否具有发言权。如果业务主管部门不明确,也可以将本单位的上级行政主管部门作为其主管部门。如果业务主管部门和行政主管部门均不明确,则可以不填。一般而言,部委的主管部门就是其自身,省厅的主管部门也是其自身。
32.系统定级报告:
是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。
33.系统拓扑结构及说明:
—19 —
是指信息系统中的服务器、工作站的网络配置和相互间的连接方式图及其说明。
34.系统安全组织机构及管理制度:
是指根据《基本要求》进行系统整改后建立的信息安全组织机构及管理制度。
35.系统安全保护设施设计实施方案或改建实施方案:
是指根据信息系统所定安全保护等级与《基本要求》对相应等级的要求,制定的系统设计实施方案(新建系统)或改建实施方案(已有系统)。
36.系统使用的安全产品清单及认证、销售许可证明:
是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型(功能)产品中该产品的使用率等信息。
37.系统等级测评报告:
是指由符合条件的等级测评单位根据信息系统确定的安全保护等级,依据《基本要求》、《测评准则》等标准对信息系统开展测评后出具的报告,提交公安机关备案的测评报告必须是测评合格的报告。
38.上级主管部门审批意见:
是指上级主管部门对信息系统定级情况的审批意见。
—20 —
39.解释:
本表由公安部公共信息网络安全监察局负责解释,非经允许任何单位和个人不得对本表进行改动。
—21 —
信息安全技术 信息系统安全等级保护测评要求.doc
信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。
信息系统等级保护备案表(样表)(20210227064219)
(备注:具体编号由网监部门编写) 信息系统安全等级保护 备案表 备案单位:广东X 网公司佛山XX 局(盖章) 备案日期: 2011-7-25 _______________ 受理备案单位:佛 ________ 受理日期:2011-7-28 ___________________________ 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”填写;本表由四张 表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信 息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一~ 张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“”划“V”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位, 为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404-1997 )填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立 (港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部 门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位 和个人不得对本表进行改动。
国家信息安全等级保护制度第三级要求
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运
信息系统安全等级保护备案表
信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 备案表编号:
中华人民共和国公安部监制 填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“”划“√”,如选择“其他”,请在其后的横线中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:共5位,前两位为受理备案的年份的后两位;如2016年的后两位为16。后三位是备案单位自行编写的单位内信息系统的编号。 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息
基于网络安全法的等级保护规划
基于网络安全法的等级保护规划 摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解和掌握的内容。文章从定级备案、整改建设和等级测评3个层面,结合网络安全法相关要求进行了解读说明。 关键词:等级保护;网络安全法;信息安全
目录 1. 定级备案 (3) 2. 建设整改 (4) 3. 等级测评 (7) 4. 结语 (8)
2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评3个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作 要求。 1.定级备案 系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)(以下简称《定级指南》)分析业务信息和系统服务遭到破坏后,所 侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出,关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益。根据《定级指南》,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在3级及以上。所以,作为关键信息基础设施,其安全保护 等级不得低于3级。 网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后,所侵害的客体以及对相应客体的侵害程度,准确定级[1]。网络运营者在初步确定网络安全保护等级后,应 当及时组织相关专家对定级结果的合理性进行评审,避免出现所定级别过低或过高的现象,并及时向主管部门报批系统定级结果。
信息系统安全等级保护备案表精选版
信息系统安全等级保护 备案表 Company number【1089WT-1898YT-1W8CB-9UUT-92108】
信息系统安全等级保护 备案表 备案单位:(盖章) 备案日期: 受理备案单位:(盖章) 受理日期: 中华人民共和国公安部监制 填 表 说 明 一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43 号)之规定,制作本表; 二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门 (以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案 公安机关存档; 四、 本表中有选择的地方请在选项左侧“”划“√”,如选择“其 他”,请在其后的横线中注明详细内容; 五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部 分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全 监察部门名称。此项由受理备案的公安机关负责填写并盖章; 八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行 政区划代码; 九、 表一05单位负责人:是指主管本单位信息安全工作的领导; 十、 表一06责任部门:是指单位内负责信息系统安全工作的部门; 备案表编号:
国家信息安全等级第二级保护制度
国家信息安全等级保护制度 (二级) 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 (1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案; (2)应批准进入机房的来访人员,限制和监控其活动范围。 1.3 防盗窃和防破坏 (1)应将主要设备放置在物理受限的范围内; (2)应对设备或主要部件进行固定,并设置明显的不易除去的标记; (3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等; (4)应对介质分类标识,存储在介质库或档案室中; (5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。 1.4 防雷击 (1)机房建筑应设置避雷装置; (2)应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 (1)水管安装,不得穿过屋顶和活动地板下; (2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管; (3)应采取措施防止雨水通过屋顶和墙壁渗透; (4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 (1)计算机系统供电应与其他供电分开;
(2)应设置稳压器和过电压防护设备; (3)应提供短期的备用电力供应(如UPS设备)。 1.10 电磁防护 (1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; (2)电源线和通信线缆应隔离,避免互相干扰。 2、网络安全 2.1结构安全与网段划分 (1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要; (2)应设计和绘制与当前运行情况相符的网络拓扑结构图; (3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽; (4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径; (5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; (6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。 2.2 访问控制 (1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。 (2)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户; (3)应限制具有拨号访问权限的用户数量。 2.3 安全审计 (1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录; (2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息 2.4 边界完整性检查
《信息系统安全等级保护备案表》模板
专业.资料.整理 信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单 位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张; 表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。 专业.资料.整理
信息安全等级保护各级对比表
目录 1概述 (2) 1.1 背景介绍 (2) 1.2 主要作用及特点 (2) 1.3 与其他标准的关系 (3) 1.4 框架结构 (3) 2描述模型 (4) 2.1 总体描述 (4) 2.2 保护对象 (5) 2.3 安全保护能力 (5) 2.4 安全要求 (7) 3逐级增强的特点 (8) 3.1 增强原则 (8) 3.2 总体描述 (9) 3.3 控制点增加 (10) 3.4 要求项增加 (10) 3.5 控制强度增强 (11) 4各级安全要求 (12) 4.1 技术要求 (12) 4.1.1 物理安全 (12) 4.1.2 网络安全 (18) 4.1.3 主机安全 (23) 4.1.4 应用安全 (28) 4.1.5 数据安全及备份恢复 (34) 4.2 管理要求 (37) 4.2.1 安全管理制度 (37) 4.2.2 安全管理机构 (39) 4.2.3 人员安全管理 (42) 4.2.4 系统建设管理 (46) 4.2.5 系统运维管理 (51)
本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。 1概述 1.1背景介绍 2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求,《基本要求》列入了首批需完成的6个标准之一。 1.2主要作用及特点 1.主要作用 《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求,根据使用对象不同,其主要作用分为三种: a)为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后,《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。 b)为测评机构提供评估依据 《基本要求》为信息系统主管部门,信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。 c)为职能监管部门提供监督检查依据 《基本要求》为监管部门的监督检查提供依据,用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。 2.主要特点 《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力,但反过来说,系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时,《基本要求》强调的是“要求”,而不是具体实施方案
《信息系统安全等级保护备案表》(完整资料).doc
精品范文下载后可编辑 信息系统安全等级保护 备案表 备 案 单 位: (盖章) 备 案 日 期: 受理备案单位: (盖章) 受 理 日 期: 中华人民共和国公安部监制 备案表编号:
填表说明 一、制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作 本表; 二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单 位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张; 表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。 精品范文下载后可编辑
如何结合网络安全法开展等级保护工作
如何结合网络安全法开展等级保护工作 摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解掌握的内容,本文从定级备案、整改建设和等级测评三个层面,结合网络安全法相关要求进行解读说明。 2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。 1. 定级备案 系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》 (GB/T22240-2008)(以下简称“定级指南”)分析业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益,通过查看定级指南,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在三级及以上,所以作为关键信息基础设施,其安全保护等级不得低于三级。
网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。 根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下: 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面
《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全 2集成等业务; (十)应具备的其他条件。 第七条申请时,申请单位应向等保办提交以下材料:(一)《信息安全等级保护测评机构申请表》; (二)从事信息系统安全相关工作情况; (三)检测评估工作所需软硬件及其他服务保障设施配备情况; (四)有关管理制度建设情况; (五)申请单位及其测评人员基本情况; (六)应提交的其他材料。 等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
等级保护定级备案模板
附件1:《信息系统安全等级保护定级报告》模版 《信息系统安全等级保护定级报告》 一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。 二、XXX信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 —9 —
3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服—10 —
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
(供参考)等级保护备案表填写说明
1.填表范围: 本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成:表一为单位信息,每个备案单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写,并在完成系统建设、整改、测评等工作,投入运行后30日内向受理备案公安机关提交;表 二、表三、表四可以复印使用,在使用过程中注意信息系统编号,如某单位共有6个信息系统,则填写过程中要遵循表二()、表二()……表二()的编号和命名规则。 如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(),则相对应的表四的编号也应当是表四()。 2.保存方式: 本表一式二份,由备案单位和受理备案的公安机关分别盖章 —9—后,一份由备案单位保存,一份交受理备案公安机关存档。 3.《备案表》中有选择的地方请在选项左侧划“√”,如选择“其他”,请在其后的横线中注明详细内容,需要填写数字代码的地方,请在“0”中直接填写。 4.备案表编号: 封面中的“备案表编号”由两组共11位数字组成,第一组6位,代表受理备案的公安机关代码前六位(可参照行标GA380-2002);第二组5位,为受理备案的公安机关给出的备案单位的受理顺序号。此项内容统一由受理备案的公安机关填写。 5.备案单位:
本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。 6.受理备案单位: 本表封面中的“受理备案单位”填写受理备案的公安机关网监部门名称。此项由受理备案的公安机关负责填写。 7.行政区划代码: 表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码,该代码需与《中华人民共和国行政区划代码》(GB 2260-1995)一致。以北京市举例,标准6位地址码的构成如下:110000北京市,110105朝阳区……。 —10— 8.单位负责人: 表一中的“单位负责人”是指负责本单位信息安全的领导。 9.责任部门: 表一中的“责任部门”是指单位内负责信息系统安全的部门。 如果单位内的信息系统分别由不同的责任部门管理,则可以统一填写在表一的责任部门一栏中,或分别填写表一。 10.责任部门联系人: 表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任部门联系人有多个,则可以分别填写表一或均填写在表一责任部门联系人一栏中。 11.隶属关系: 表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位,按照国家标准《单位隶属关系代码》(GB/T12404-1997)分为:中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。