重要信息系统定级工作实施方案及说明
宜昌市人民政府办公室关于印发全市重要信息系统和基础网络安全等级保护管理专项活动方案的通知
宜昌市人民政府办公室关于印发全市重要信息系统和基础网络安全等级保护管理专项活动方案的通知文章属性•【制定机关】宜昌市人民政府•【公布日期】2012.07.04•【字号】宜府办文[2012]35号•【施行日期】2012.07.04•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文宜昌市人民政府办公室关于印发全市重要信息系统和基础网络安全等级保护管理专项活动方案的通知(宜府办文〔2012〕35号)各县市区人民政府,市政府各部门,宜昌开发区管委会:《全市重要信息系统和基础信息网络安全等级保护管理专项活动方案》已经市人民政府同意,现予印发,请结合实际认真组织实施。
二○一二年七月四日全市重要信息系统和基础网络安全等级保护管理专项活动方案信息安全等级保护工作(以下简称“等级保护”)关系国家安全、社会稳定和公共利益,我国已将信息安全等级保护制度确定为国家信息安全保障工作的基本制度和基本国策。
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)和《信息安全等级保护管理办法》(公通字〔2007〕43号,以下简称《管理办法》)精神,加强信息安全等级保护管理工作的监督、检查、指导,努力提高全市基础信息网络和重要信息系统的信息安全保护能力和水平,确保党的十八大顺利召开,根据全国全省重要信息系统安全等级保护工作的统一部署,市政府决定在全市范围内集中组织开展重要信息系统和基础信息网络安全等级保护管理专项活动(以下简称“专项活动”)。
具体方案如下:一、活动目标通过开展专项活动,对全市重要信息系统和基础信息网络进行准确定级和审核备案,组织等级测评和风险评估,开展监督检查和建设整改,落实管理制度和安全责任,健全工作机制,努力实现信息安全等级保护工作规范化、制度化、常态化管理目标,不断增强重要信息系统和基础信息网络的安全防范能力和应急处置能力,为党的十八大顺利召开创造良好网络环境。
重要信息系统定级工作实施方案及说明-中国信息安全认证中心
编号:产品范围有关指标参数说明材料产品名称: 型号: 版本号: 申请方名称(盖章): 申请日期:中国网络安全审查技术与认证中心制填表说明一、本文档适用于认证申请单位或者获证单位对安全认证产品的范围相关技术指标等情况进行说明。
其中,范围指标及参数要求根据《网络关键设备和网络安全专用产品目录(第一批)》拟定,具体要求参见本文档附件2。
二、申请方在填写申请书的时候,不能对申请书现有文字进行任何修改,如表格栏目填写空间不足,可自行添加附页。
三、封面中的“申请方名称”是指进行认证申请单位或获证单位的法人单位全称。
四、本表中有选择的地方请将选中的选项前的“ ”加黑或勾选。
五、“产品情况”表中“产品范围”项仅保留申请安全认证产品对应的类别所在行,其他行删除。
六、申请方需提交纸版资料1份,电子版1份。
七、申请方需提供本文档中填写的技术指标有关证明材料(如测试报告等)的复印件,并加盖公章。
注:产品未获得认证证书的申请方此页删除。
申请方声明我方遵守《中华人民共和国网络安全法》、《中华人民共和国认证认可条例》及相关法律法规的规定,严格履行认证过程中的各项要求,并承诺:1.遵守中国网络安全审查技术与认证中心的有关程序和规定。
2.为开展认证提供必要、及时的配合。
3.确保提交资料中所有内容的真实性、有效性和准确性。
法定代表人(签字)申请方公章年月日申请方基本情况产品情况附件1产品范围参数有关证明材料清单申请方代表:(签字)附件2网络关键设备和网络安全专用产品范围指标参数要求。
教育行业信息系统安全等级保护定级工作指南
教育行业信息系统安全等级保护定级工作指南一、引言信息系统安全等级保护是指根据信息系统的重要性和对等级保护目标的需求,对信息系统进行等级划分,并按照相应的保护措施和技术要求进行安全防护的工作。
教育行业的信息系统对于学生和学校来说是非常重要的,因此需要制定相应的安全等级保护定级工作指南,以保障教育信息系统的安全性和可靠性。
二、安全等级保护定级的原则和目标1.原则:依据国家有关信息系统等级保护的相关法律法规和标准,结合教育行业的特点,确定教育信息系统的安全等级。
2.目标:确保教育行业的信息系统按照相应的安全等级规范进行设计、建设和运维,提高信息系统的安全性和可用性。
三、安全等级划分原则1.教育信息系统的等级划分应综合考虑信息系统的重要性和对教育教学工作的支撑程度。
2.根据信息系统的功能、安全威胁、设备数量、技术复杂度等要素进行评估和划分。
3.对于涉密信息系统,需按照国家有关法律法规的要求进行专门的安全等级划分。
四、安全等级保护定级的程序1.收集信息:收集教育信息系统的技术文件、系统配置信息、安全管理措施等相关资料。
2.确定安全等级:根据信息系统的重要性和对等级保护目标的需求,结合信息系统等级保护标准,确定信息系统的安全等级。
3.制定安全保护方案:根据信息系统的安全等级,制定相应的安全保护方案,包括防护措施、技术要求、安全管理制度等。
4.实施方案:根据安全保护方案,实施相应的安全措施,包括加密、防火墙设置、访问控制等。
5.审查和评估:对已实施的安全措施进行审查和评估,确保其符合安全等级的要求。
6.定期检测和评估:对教育信息系统的安全状态进行定期检测和评估,及时发现和解决安全问题。
五、安全等级保护定级的技术要求1.信息系统的网络安全防护:包括网络设备的安全配置、网络防火墙的设置、入侵检测系统的部署等。
2.用户身份认证与授权管理:确保用户身份的合法性,限制用户权限,防止非法操作。
3.数据加密与传输安全:对敏感数据进行加密处理,确保数据传输的安全性。
重要信息系统及网站安全检查实施方案
重要信息系统及网站安全检查实施方案一、检查目的依据国家信息安全有关政策规定,对校属各单位的网络信息系统进行检查,发现存在的主要问题和薄弱环节,即查即改,进一步健全网络信息安全管理制度,完善网络信息安全技术措施,提高网络信息安全防护能力,保障我校网络信息化的健康发展。
二、检查原则坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
检查工作以各部门自查为主,南阳师范学院校园计算机网络信息系统安全工作领导小组(以下简称领导小组)会同有关部门统一组织检查。
三、检查范围网络信息系统安全检查的范围是为各部门履行职能提供支撑的网络信息系统,包括自行运行维护管理以及委托其他部门运行维护管理的办公系统、各业务系统、网站系统等。
四、检查内容(一)网络信息安全组织管理1.网络信息安全管理机构及其工作开展情况。
(1)组织制定并落实网络信息安全管理规章制度情况;(2)组织制定网络信息安全工作计划或工作方案情况,需要查阅该单位网络安全工作议事或例会制度等文档材料。
(3)组织开展网络信息安全教育培训和督促检查工作情况。
2.网络信息安全人员及其工作开展情况。
(1)各单位网络信息安全员(专干)指定情况;(2)网络信息安全员开展督促、检查和指导等日常工作情况。
需要查阅该单位网络安全工作责任分工和岗位职责等文档材料。
以上要求有文字材料或原始记录。
(二)日常网络信息安全管理1.人员管理。
查验相关文档、文件、记录等,重点检查:(1)岗位网络信息安全和保密责任制落实,特别是重要岗位网络信息安全和保密协议签订情况;(2)人员离岗离职网络信息系统交接的安全管理情况;(3)外部人员访问网络信息系统管理模块的管理情况;(4)违反制度规定造成网络信息安全事件的责任查处情况等;(5)岗位责任制落实情况,需要查阅该单位网络安全规划和策略等文档材料。
2.网络信息技术外包服务安全管理。
针对当前校内有部分网络信息系统开发或管理外包服务安全风险突出的现状,重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理:(1)服务机构性质与背景情况;(2)服务合同及安全保密协议签订情况,安全责任是否清晰;(3)人员现场服务记录情况,是否有现场服务监管措施;(4)系统维护方式情况,重点排查远程在线服务带来的安全风险。
教育行业信息系统安全等级保护定级工作指南
定级工作展望
完善定级工作流程和方法 提高定级工作的准确性和科学性 加强与其他行业的交流与合作 推动定级工作向更高水平发展
THANK YOU
汇报人:
安全等级划分:根据信息系统的重要性、涉密程度、业务影响等因素,将信息系统划分为不 同的安全等级
确定流程:按照国家相关标准,进行信息系统安全等级的确定工作,包括初步定级、专家评 审、最终确定等步骤
注意事项:在确定信息系统安全等级时,需充分考虑各种因素,确保定级的准确性和合理性
确定信息系统安全保护等级
定级工作注意事项
避免主观性和片面性
客观评估:确保评估过程不受主观因素干扰,依据客观标准进行定级 全面考虑:综合考虑信息系统的重要性、涉密程度、业务影响等因素 专家参与:邀请专家参与定级工作,提供专业意见,避免片面性 持续改进:定期对定级工作进行审查和调整,确保其准确性和适应性
充分考虑业务需求和实际环境
明确业务需求:在定级工作开始前,需要充分了解业务需求,明确信息系统在业务中的角 色和重要性。
评估实际环境:对信息系统的实际环境进行全面评估,包括系统架构、网络环境、设备情 况等,确保定级工作的准确性。
综合考虑:在考虑业务需求和实际环境的基础上,对信息系统进行综合分析,确定合理的 定级结果。
及时调整:随着业务需求和实际环境的变化,定级结果可能需要进行调整。因此,在定级 工作完成后,还需要定期进行复查和调整。
教育行业信息系统安全等级保护依据
《中华人民共和国 网络安全法》
《信息安全技术 信息系统安全等级 保护定级指南》
《教育行业信息系 统安全等级保护定 级工作指南》
其他相关法规和标 准
定级工作实施要求
组织与人员要求
成立定级工作小组
系统定级流程
系统定级流程
系统定级的流程一般包括以下步骤:
1. 确定定级对象:首先需要明确需要进行等级保护的对象,如某个特定的信息系统或网络。
2. 初步确定等级:根据等级保护相关管理文件,确定等级保护对象的安全保护等级。
等级保护对象的级别由两个定级要素决定,包括受侵害的客体和对客体的侵害程度。
对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
3. 专家评审:邀请专家对初步确定的等级进行评审,确保定级结果的准确性和合理性。
4. 主管部门审批:将初步确定的等级报送主管部门进行审批,确保定级结果符合相关法律法规和政策要求。
5. 公安机构备案审查:将最终确定的级别报送公安机构进行备案审查,确保定级结果符合国家网络安全标准。
6. 最终确定的级别:经过上述流程后,最终确定系统或网络的定级结果,为后续的安全保护工作提供依据。
需要注意的是,不同行业的系统定级标准可能存在差异,因此在具体操作时应根据相关法律法规和政策要求进行操作。
同时,为了确保定级结果的准确性和合理性,建议在定级过程中邀请专业的网络安全机构或专家进行协助。
信息系统安全等级保护实施指南介绍
概述-背景(续)
在“66号文”的职责分工和工作要求中指出: 信息和信息系统的运营、使用单位按照等级保护的管理规
范和技术标准,确定其信息和信息系统的安全保护等级
信息和信息系统的运营、使用单位按照等级保护的管理规 范和技术标准对新建、改建、扩建的信息系统进行信息系 统的安全规划设计、安全建设施工
阶段主要活动- 1.安全评估和需求分析
活动目标
通过系统调查和安全评估了解系统目前的安全现 状;
评估系统已经采用的或将要采用的保护措施和等 级保护安全要求之间的差距,这种差距作为系统 的一种安全需求;
了解系统额外的安全需求; 明确系统的完整安全需求。
主要参考标准
《信息系统安全等级保护基本要求》 《信息系统安全等级保护测评准则》 GB/T xxxxx-2019 信息系统安全通用技术要求 《信息安全风险评估指南》
阶段主要活动- 2.安全总体设计
主要活动过程
系统等级化模型处理 总体安全策略设计 各级系统安全技术措施设计 单位整体安全管理策略设计 设计结果文档化
阶段主要活动- 2.安全总体设计
系统等级化模型处理
输入
过程的工作内容
输出
系统详细描述文件 符合性评估结果 风险评估结果 特殊安全要求
信息和信息系统的运营、使用单位及其主管部门按照与信 息系统安全保护等级相对应的管理规范和技术标准的要求, 定期进行安全状况检测评估
国家指定信息安全监管职能部门按照等级保护的管理规范 和技术标准的要求,对信息和信息系统的安全等级保护状 况进行监督检查
概述-背景(续)
管理规范和技术标准的作用
主管部门
阶段主要活动- 2.安全总体设计
各级系统安全技术措施设计
重要信息系统安全等级保护定级工作实施方案
关于印发《大连市重要信息系统安全等级保护定级工作实施方案》的通知各有关单位:现将《大连市重要信息系统安全等级保护定级工作实施方案》印发给你们,请认真遵照执行。
二OO七年八月二十日大连市重要信息系统安全等级保护定级工作实施方案为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(以下简称《管理办法》)、《关于开展全国信息系统安全等级保护定级工作的通知》精神,提高我市基础信息网络和重要信息系统的信息安全保护能力和水平,做好我市重要信息系统安全等级保护定级工作,制定本方案。
一、工作目标以科学发展观为指导,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成各基础信息网络和重要信息系统等级保护的定级、备案、整改、测评等工作。
建立安全保护制度,落实安全责任,有效保护我市基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,提高信息安全保障工作的整体水平。
二、定级范围(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市级党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
三、工作步骤(一)动员部署,开展培训。
认真组织相关部门、单位及人员学习和掌握等级保护有关政策、规范和相关标准。
市信息安全等级保护领导小组办公室负责市直属部门、全市各行业主管部门的定级工作,组织召开定级工作会议,分阶段组织相关培训。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
— 1 —
信息系统安全等级保护
备案表
备 案 单 位: (盖章) 备 案 日 期:
受理备案单位: (盖章) 受 理 日 期:
中华人民共和国公安部监制
备案表编号:
填表说明
一、制表依据。
根据《浙江省信息安全等级保护管理办法》(省政府令223号)之规定,制
作本表;
二、填表范围。
本表由信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;
本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为信息系统需要同时提交的附加材料内容,由每个信息系统填写一张,01-05项所提材料随同表一、表二、表三一并向受理备案公安机关提交,06-12项所提材料在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线
中注明详细内容;
五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部
分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此
项由受理备案的公安机关负责填写并盖章;
八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
九、表一05单位负责人:是指主管本单位信息安全工作的领导;
十、表一06责任部门:是指单位内负责信息系统安全工作的部门;
十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。
部级单位此项可不填;
十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
—2 —
表一单位基本情况
—3 —
表二( / )信息系统情况
表三( / )信息系统定级情况
备案审核民警:审核日期:年月日
—5 —
表四( / )信息系统提交附件材料情况
—6 —。