信息安全等级保护测评体系建设与测评工作规范性文件.

陕西省交通运输厅关于进一步开展全省交通运输行业信息安全等级保护工作的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------陕西省交通运输厅关于进一步开展全省交通运输行业信息安全等级保护工作的通知（陕交函[2012]517号）厅直各单位：为贯彻落实交通运输部《关于进一步开展交通运输行业信息安全等级保护工作的通知》（厅科技字〔2012〕120号）的文件精神，认真做好2012年我省交通运输行业信息系统安全等级保护定级、备案、测评及建设整改工作，按照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）和《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）等文件要求，结合我省交通运输行业实际，现就开展信息安全等级保护有关事宜通知如下：一、信息系统摸底调查请各单位认真填写本单位所有信息系统信息安全等级保护情况统计表（见附件1），并于2012年7月20日前报送厅信息中心。

二、信息系统定级备案请各单位对照“厅机关及厅直单位已定级信息系统统计表”（附件3）的内容，填报你单位已运行但尚未定级的重要信息系统，以及新建、扩建和升级改造信息系统的定级报告及备案登记表（见附件2），并于2012年7月20日前报送至厅信息中心。

厅信息中心审核汇总后将统一到公安部门进行登记备案。

三、等级保护安全建设整改各单位应对照《信息安全技术信息系统安全等级保护基本要求》等标准规范，开展往年已定级信息系统和本年度新定级信息系统安全保护现状评估，分析查找存在的安全隐患和差距，制定信息系统安全等级保护建设整改方案并组织实施。

2012年9月底前，完成第三级以上（含第三级）已定级信息系统的安全建设和整改工作，并向厅信息中心送交建设整改情况报告。

关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安303)1关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知公信安[2010]303号各省、自治区、直辖市公安厅、局网络安全保卫（公共信息网络安全监察、网络警察）总队（处）、新疆生产建设兵团公安局公共信息网络安全监察处：为进一步贯彻落实公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）精神，加快信息安全等级保护测评体系建设，提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行，满足信息安全等级保护工作的迫切需要，决定在全国部署开展信息安全等级保护测评体系建设和等级测评工作。

现将有关事项通知如下：一、工作目标（一）通过广泛宣传和正确引导，鼓励更多的有关企事业单位从事信息安全等级保护测评工作，满足信息安全等级保护测评工作的迫切需要。

（二）通过对测评机构进行统一的能力评估和严格审核，保证测评机构的水平和能力达到有关标准规范要求。

（三）加强对测评机构的安全监督，规范其测评活动，保证为备案单位提供客观、公正和安全的测评服务。

（四）督促备案单位开展等级测评工作，为开展等级保护安全建设整改工作奠定基础，使信息系统安全保护状况逐步达到等级保护要求。

二、工作内容各地要按照《关于开展信息安全等级保护安全建设整改工作的指导意见》要求，结合本地实际组织开展以下工作：（一）统筹规划，正确引导，积极稳妥地推动等级测评机构建设。

结合本地已定级备案信息系统数量和分布情况，从满足等级测评工作的实际需要出发，统筹规划、合理布局测评机构的规模和数量，积极引导本地符合规定条件、有良好信誉的企事业单位从事等级测评工作，按照成熟一个发展一个的原则，有计划、积极稳妥地推动测评机构建设。

（二）规范流程，严格把关，确保测评机构的水平和能力符合测评工作要求。

依据《信息安全等级保护测评工作管理规范（试行）》（见附件一），对申请成为测评机构的单位严格把关，按照申请受理、测评能力评估、审核、推荐的流程，认真开展测评机构评审和推荐工作。

GB/T XXX--200XICS 35.040L80信息安全技术信息系统安全等级保护测评要求Information security technology- Testing and evaluation requirement for classified protection of information system 中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T XXXX –XXXX目次前言 ........................................................................................................................................... ........................... III 引言 ........................................................................................................................................... ........................... I V 1范围. (12规范性引用文件 (13术语和定义 (14总则 (14.1测评原则 (14.2测评内容 (14.3测评力度 (24.4结果重用 (24.5使用方法 (25第一级信息系统单元测评 (35.1安全技术测评 (35.1.1物理安全 (35.1.2网络安全 (55.1.3主机安全 (65.1.4应用安全 (75.1.5数据安全及备份恢复 (85.2安全管理测评 (95.2.1安全管理制度 (95.2.2安全管理机构 (95.2.3人员安全管理 (105.2.4系统建设管理 (125.2.5系统运维管理 (146第二级信息系统单元测评 (17 6.1安全技术测评 (176.1.1物理安全 (176.1.2网络安全 (206.1.3主机安全 (226.1.4应用安全 (246.1.5数据安全及备份恢复 (27 6.2安全管理测评 (286.2.1安全管理制度 (286.2.2安全管理机构 (296.2.3人员安全管理 (306.2.4系统建设管理 (326.2.5系统运维管理 (35IGB/T XXXX –XXXX7第三级信息系统单元测评 (39 7.1安全技术测评 (397.1.1物理安全 (397.1.2网络安全 (447.1.3主机安全 (477.1.4应用安全 (497.1.5数据安全及备份恢复 (53 7.2安全管理测评 (557.2.1安全管理制度 (557.2.2安全管理机构 (567.2.3人员安全管理 (597.2.4系统建设管理 (617.2.5系统运维管理 (658第四级信息系统单元测评 (71 8.1安全技术测评 (718.1.1物理安全 (718.1.2网络安全 (768.1.3主机安全 (798.1.4应用安全 (828.1.5数据安全及备份恢复 (878.2安全管理测评 (898.2.1安全管理制度 (898.2.2安全管理机构 (908.2.3人员安全管理 (938.2.4系统建设管理 (958.2.5系统运维管理 (999第五级信息系统单元测评 (106 10信息系统整体测评 (10610.1概述 (10610.2安全控制点间测评 (10610.3层面间测评 (10610.4区域间测评 (10710.5系统结构安全测评 (10711等级测评结论 (10711.1各层面的测评结论 (10711.2整体保护能力的测评结论 (107 附录A(资料性附录测评力度 (109 A.1测评方法的测评力度描述 (109A.2信息系统测评力度 (109IIGB/T XXXX –XXXX前言(略III引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号和《信息安全等级保护管理办法》(公通字[2007]43号等有关文件要求,制定本标准。

关于信息安全等级保护工作的实施意见【颁布单位】公安部国家保密局国家密码管理委员会办公室国务院信息化工作办公室【颁布日期】 20040915【实施日期】 20040917【文号】公通字[2004]66号【名称】关于信息安全等级保护工作的实施意见信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

为了进一步提高信息安全的保障能力和防护水平，维护国家安全、公共利益和社会稳定，保障和促进信息化建设的健康发展，1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

一、开展信息安全等级保护工作的重要意义近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。

但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：信息安全意识和安全防范能力薄弱，信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准，监管措施有待到位，监管体系尚待完善。

卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知文章属性•【制定机关】卫生部(已撤销)•【公布日期】2011.12.07•【文号】卫办综函[2011]1126号•【施行日期】2011.12.07•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】卫生医药、计划生育综合规定正文卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函〔2011〕1126号）各省、自治区、直辖市卫生厅局，新疆生产建设兵团及计划单列市卫生局，部直属各单位，部机关各司局：为贯彻落实国家信息安全等级保护制度和卫生部关于《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号，以下简称《指导意见》），全面提高卫生行业信息安全保障能力和水平，保障和促进卫生信息化健康发展，我部决定全面开展信息安全等级保护工作。

现将有关事项通知如下：一、具体内容（一）建立健全工作机制。

各省级卫生行政部门要尽快确定信息安全等级保护工作联络员，建立健全信息安全技术专家委员会，并分别于2011年12月30日前和2012年4月30日前将联络员名单和专家委员会成员名单报送我部。

（二）限时报送备案情况。

各省级卫生行政部门要于2011年12月30日前将本地区已定级备案的卫生信息系统情况报送我部。

（三）完成定级备案工作。

卫生行业各单位要于2012年5月30日前完成本单位信息系统的定级备案工作。

（四）开展安全建设整改工作。

卫生行业各单位要根据信息系统定级备案情况开展等级测评工作，查找安全差距和风险隐患，并结合自身安全需求，制订安全建设整改方案。

要于2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。

二、相关要求（一）卫生行业各单位要按照“遵循标准、重点保护，行业指导、属地管理，同步建设、动态完善”的原则，建立信息安全等级保护工作长效机制。

（二）各省级卫生行政部门要督促本地区卫生行业各单位按照《指导意见》要求，开展信息安全等级保护工作。

信息安全等级保护体系建设方案目录第1章.项目概述 (3)1.1.项目背景 (3)1.2.项目依据 (4)1.3.项目建设内容 (4)第2章.安全管理体系建设 (5)2.1.总体安全体系建设 (5)2.2.安全管理层面 (6)2.2.1.安全管理制度 (6)2.2.2.安全管理机构 (7)2.2.3.人员安全管理 (8)2.2.4.系统建设管理 (8)2.2.5.系统运维管理 (8)第3章.项目规划建设 (9)3.1.总体工作计划 (9)3.2.系统差距评估 (10)第4章.安全建设清单及预算 (16)第1章.项目概述1.1. 项目背景省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。

由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

按照《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《信息安全等级保护管理办法》（公通字[2007]43号）等文件要求，某市某单位积极响应等级保护要求，将开展等保定级、等保评估、等级保护整改、差距测评等评估工作，切实将信息发布系统建成“信息公开、在线办事、公众参与”三位一体的业务体系，为企业和社会公众提供“一站式”电子政务公共服务政务目标提供有力保障。

目前，需要对现有的6个系统展开等级保护工作，7个系统分别是：某市某单位OA系统、某市某单位档案系统、某市某单位大道班系统、某市某单位财务系统、某市某单位路政巡查系统、某市某单位网站。

虽然系统各异，但是都在同一个物理地址，故此统一对6个系统进行等级保护安全建设，使之更加安全、稳定。

包头市人民政府办公厅关于进一步加强政府网站信息安全等级保护工作的通知文章属性•【制定机关】包头市人民政府•【公布日期】2014.06.10•【字号】府办发[2014]149号•【施行日期】2014.06.10•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文包头市人民政府办公厅关于进一步加强政府网站信息安全等级保护工作的通知（2014年06月10日包府办发〔2014〕149号）各旗、县、区人民政府，稀土高新区管委会，市直各部门、单位：为贯彻落实《内蒙古自治区计算机信息系统安全保护办法》（自治区人民政府令第183号，以下简称《办法》）和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合制定的《信息安全等级保护管理办法》精神，推进我市信息安全等级保护制度建设，提高重要信息系统和基础信息网络的安全保护水平，近期，市政府将在全市范围内加强政府网站信息系统安全等级保护定级备案和测评整改工作。

现就有关事宜通知如下：一、充分认识开展信息安全等级保护工作的重要性和紧迫性近年来，黑客针对我市政府网站的网络攻击、入侵破坏、发布有害信息等事件逐年增多，信息网络安全（案）事件呈高发态势，导致政府网站信息被篡改，企业和个人信息被盗取等现象的发生，严重危害国家安全、社会稳定和公众利益。

针对这些问题，市信息网络安全工作领导小组组织市公安局、市信息系统安全等级评测中心联合对全市政府类网站进行了远程监测扫描，共监测和扫描政府类网站67个，结果发现所监测扫描的网站均存在漏洞，其中存在高危漏洞的网站48个，占到全部所监测扫描网站的71.6%；存在中危漏洞的网站7个，占到全部所监测扫描网站的10.4%；高、中、低危漏洞都存在的网站37个，占到全部所监测扫描网站的55.2%。

市公安局网安支队于2013年依据检测报告对部分政府类网站下发了责令限期整改通知，但至今仍有部分网站没有完成整改工作，有的网站安全漏洞数量甚至不降反增。

公安部、国务院国有资产监督管理委员会关于进一步推进中央企业信息安全等级保护工作的通知文章属性•【制定机关】公安部,国务院国有资产监督管理委员会•【公布日期】2010.12.26•【文号】公通字[2010]70号•【施行日期】2010.12.26•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文公安部、国务院国有资产监督管理委员会关于进一步推进中央企业信息安全等级保护工作的通知（公通字[2010]70号）各省、自治区、直辖市公安厅（局），新疆生产建设兵团公安局，中央企业：保护中央企业信息系统的安全稳定运行对于促进企业健康发展，维护国家经济安全和社会稳定具有重要意义。

为全面落实国家信息安全等级保护制度，加强中央企业的信息安全工作，保障和促进中央企业的信息化发展，现就进一步推进中央企业信息安全等级保护工作的有关要求通知如下：一、高度重视，切实将信息安全等级保护工作纳入企业信息化工作同步推进近年来，中央企业全面推进信息化建设，企业信息系统数量大幅增加，系统复杂程度大幅提高，业务依赖程度大幅增强，特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展，提高企业核心竞争力的重要载体和主要手段，已成为国家关键基础设施。

各级公安机关、国资监管及有关行业主管（监管）部门要高度重视中央企业的信息安全等级保护工作，特别是各企业要将这项工作摆在重要位置，认真贯彻落实国家信息安全等级保护制度，将信息安全等级保护工作纳入企业信息化工作的整体布局中，将信息安全等级保护工作与信息化工作同步规划、同步实施、同步考核。

二、明确职责，建立分工负责、协作配合的工作机制国资委负责部署中央企业信息安全等级保护工作，其中电力、军工、民航企业和电信运营商的信息安全等级保护工作由相关主管（监管）部门组织部署和落实。

国资委和有关行业主管（监管）部门按照国家信息安全等级保护制度的总体要求和相关管理文件，组织中央企业开展信息安全等级保护各项工作，制定具体实施方案或细则，开展宣传、培训和先进经验推广工作，加强对中央企业信息安全等级保护工作的检查监督、指导和考核。