icp备案4.2信息安全评估制度

第一章总则第一条为了加强公司信息安全管理工作，确保公司信息系统安全、稳定、高效运行，根据《中华人民共和国网络安全法》等相关法律法规，结合公司实际情况，制定本制度。

第二条本制度适用于公司内部所有信息系统，包括但不限于网络、主机、数据库、应用系统等。

第三条信息安全评估工作应遵循以下原则：（一）全面性：对信息系统进行全面的安全评估，覆盖所有安全领域；（二）客观性：评估过程应客观、公正，避免主观因素的影响；（三）动态性：根据信息系统变化和外部环境变化，定期进行安全评估；（四）针对性：针对不同信息系统，制定相应的评估方案和措施。

第二章组织机构与职责第四条成立公司信息安全评估领导小组，负责信息安全评估工作的组织、协调和监督。

第五条信息安全评估领导小组职责：（一）制定信息安全评估管理制度；（二）确定信息安全评估范围和内容；（三）审批信息安全评估方案；（四）监督信息安全评估工作的实施；（五）对公司信息安全评估工作进行总结和评估。

第六条信息安全评估小组负责具体实施信息安全评估工作，其职责如下：（一）制定信息安全评估方案；（二）组织开展信息安全评估；（三）分析评估结果，提出改进措施；（四）跟踪整改情况，确保整改措施落实到位。

第三章评估范围与内容第七条信息安全评估范围包括：（一）公司内部网络；（二）主机系统；（三）数据库系统；（四）应用系统；（五）外部接入系统；（六）其他涉及信息安全的系统。

第八条信息安全评估内容主要包括：（一）物理安全：包括设备安全、环境安全、人员安全等；（二）网络安全：包括网络设备安全、网络拓扑安全、网络访问控制等；（三）主机安全：包括操作系统安全、应用软件安全、安全策略等；（四）数据库安全：包括数据库访问控制、数据备份与恢复、数据加密等；（五）应用系统安全：包括应用程序安全、业务逻辑安全、数据安全等；（六）其他安全：包括密码学、安全审计、安全意识培训等。

第四章评估方法与程序第九条信息安全评估方法包括：（一）文档审查：审查相关制度、流程、配置等文档；（二）现场检查：实地检查信息系统安全设施、设备、操作等；（三）技术检测：使用专业工具检测系统安全漏洞；（四）访谈：与相关人员交流，了解信息系统安全状况。

网络信息安全评估管理制度一、总则随着网络的普及和信息技术的快速发展，网络信息安全已成为各个行业和企业面临的重要问题。

为了确保网络信息安全，保护企业和个人的信息资源，制定网络信息安全评估管理制度是必不可少的。

本制度旨在规范企业网络信息安全评估管理工作，保障企业信息安全。

二、适用范围本制度适用于所有拥有网络信息系统的企业和单位，包括企业内网、外网以及云端信息系统等。

三、网络信息安全评估的定义网络信息安全评估是指通过对企业网络信息系统的安全性进行全面、系统的评估，以发现潜在的安全风险，提出改进措施，确保网络信息系统的安全运行。

四、网络信息安全评估管理制度的目的1. 确保企业网络信息系统的安全运行。

2. 防范网络信息泄露、数据丢失等安全风险。

3. 提升企业网络信息系统的安全能力。

4. 建立完善的安全管理制度和流程。

五、网络信息安全评估管理流程1. 确定网络信息安全评估的对象：包括企业内外网系统、服务器、数据库等。

2. 制定网络信息安全评估方案：明确评估的目的、范围、内容和方法。

3. 开展网络信息安全评估：由专业的安全评估团队对系统进行全面的安全评估。

4. 总结评估结果：对评估结果进行归纳、整理和分析，形成评估报告。

5. 提出改进建议：根据评估结果，提出相应的改进建议和措施。

6. 实施改进措施：对提出的改进建议和措施进行落实和跟踪。

7. 定期回顾评估：定期进行网络信息安全评估，不断完善安全管理制度。

六、网络信息安全评估的内容1. 系统安全性评估：包括网络拓扑结构、安全访问控制、身份认证、数据加密等方面的评估。

2. 安全漏洞扫描：对系统进行漏洞扫描和安全漏洞修复。

3. 数据备份和恢复评估：对数据备份和恢复策略的有效性进行评估。

4. 审计日志管理评估：对系统的审计日志记录和管理情况进行评估。

5. 安全意识培训评估：评估员工的安全意识和培训情况。

七、网络信息安全评估责任1. 企业领导：负责确定网络信息安全评估的重要性和必要性，提供相应的资源支持。

XXXXXX网风险评估报告一、网络单元概况XXXXXX网核心服务器和网络接入由阿里云提供。

用户和管理员可通过PC、手机经互联网用https协议访问网站内容。

硬件设备使用一台1核2G阿里云服务器，服务器位置位于阿里云计算有限公司浙江杭州机房。

服务器操作系统为CentOS8，网站基础软件采用Nginx+php7.2+mysql8架构，网站短信服务由阿里云短信平台提供。

网站网络边界使用阿里云安全防护预警防火墙提供保护。

网站数据实施了本地和异地定期备份。

本网站网络拓扑如下图。

二、风险评估测试内容包括所开展的漏扫、渗透等评估过程简要描述1、端口开放情况。

防火墙一共开放5个tcp端口，分别用于https、http、ssh、数据库、服务器后台管理，其余端口全部关闭。

2、系统漏洞扫描情况。

•禁止SSH空密码登录：无风险•系统后门用户检测：无风险•CVE-2021-4034 polkit pkexec 本地提权漏洞检测：无风险•检测MySQL root用户是否具备数据库备份权限：无风险•Docker API 未授权访问：无风险•检测已启用的FTP服务弱口令：无风险•Mysql 弱口令检测：无风险•检测MySQL root用户是否具备数据库备份权限：无风险•PHP未禁用危险函数：无风险•PHP存在版本泄露：无风险•检测当前Redis密码是否安全：无风险•检测当前Redis是否安全：无风险•检测所有已部署安全证书的网站是否过期：无风险•SSH 最大连接数检测：无风险•SSH过期提前警告天数：无风险•/etc/profile用户缺省权限检查：无风险•/etc/bashrc用户缺省权限检查：无风险•/etc/csh.cshrc用户缺省权限检查：无风险•检测文件回收站是否开启：无风险•检测是否开启系统防火墙：无风险•开启地址空间布局随机化：无风险•检测当前Memcached是否安全：无风险•检测当前服务器的MySQL端口是否安全：无风险•Nginx 版本泄露：无风险•检测所有网站是否部署安全证书：无风险•检测是否安装WAF防火墙：无风险•检测所有网站日志保存周期是否合规：无风险•SSH 空闲超时时间检测：低风险•SSH密码复杂度检查：低风险•检查SSH密码失效时间：低风险•检查SSH密码修改最小间隔：低风险•SSH密码长度度检查：低风险•检测是否禁止ICMP协议访问服务器：低风险3、渗透测试情况。

ICP-网络与信息安全保障措施-2：信息安全管理责任制ICP-网络与信息安全保障措施-2：信息安全管理责任制1、背景和目的1.1 背景随着互联网的迅速发展，网络安全问题日益凸显，信息泄露、数据损害等安全事件频繁发生，给公司和用户带来了巨大的损失和风险。

为了保障公司及用户的信息安全，并履行法律法规的要求，制定信息安全管理责任制，确保公司的信息安全和业务的可持续发展。

1.2 目的本文档的目的是明确公司信息安全管理责任的范围和具体职责，确保信息安全责任的落实以及在信息安全领域的工作进行监督和管理。

2、责任范围2.1 高层管理者责任高层管理者应确立和推动信息安全工作的重要性，并制定和完善公司的信息安全管理制度，明确信息安全目标，并向全体员工传达信息安全意识。

2.2 部门经理责任部门经理应负责本部门的信息安全管理工作，包括但不限于制定信息安全制度和流程、组织信息安全培训、监督员工信息安全行为等。

2.3 员工责任每个员工都应对自己的信息安全行为负责，遵守公司的信息安全制度和规定，不得以任何形式泄露、篡改、窃取公司的信息和客户的个人信息。

3、具体职责3.1 高层管理者职责3.1.1 制定公司的信息安全策略和目标，并确保其落实。

3.1.2 指定信息安全管理责任人，明确责任分工。

3.1.3 分配资源，确保信息安全管理工作的顺利推进。

3.1.4 定期对信息安全工作进行评估和审查，确保制度和流程的有效性。

3.2 部门经理职责3.2.1 确保部门内部的信息安全制度和流程的制定和执行，并进行必要的修订。

3.2.2 组织部门内的信息安全培训，提高员工的信息安全意识。

3.2.3 监督部门员工的信息安全行为，及时发现和纠正存在的问题。

3.2.4 向高层管理者汇报部门的信息安全工作情况，及时通报重大安全事件。

3.3 员工职责3.3.1 遵守公司的信息安全制度和规定，妥善保管个人账号和密码。

3.3.2 完成信息安全培训并提高信息安全意识。

网络信息安全评估标准
网络信息安全评估标准是一套用于评估和测量信息系统及其相关组件的安全性的标准。

这些标准旨在确保信息系统的机密性、完整性和可用性，并帮助组织识别和管理潜在的网络安全风险。

以下是一些常见的网络信息安全评估标准：
1. ISO 27001：国际标准化组织（ISO）的标准，用于评估和管理信息安全风险。

2. NIST SP 800-53：美国国家标准与技术研究院（NIST）发布的框架，用于评估和测量联邦信息系统的安全性。

3. PCI DSS：支付卡行业安全标准委员会（PCI SSC）制定的
标准，用于评估和保护存储、处理和传输支付卡数据的系统的安全性。

4. COBIT：控制目标与信息技术相关的最佳实践（COBIT）框架，旨在评估和管理企业的信息系统风险。

5. CIS基准：由国际安全公司（CIS）发布的一系列安全配置
建议，用于评估和改进信息系统的安全性。

6. CSA CCM：云安全联盟（CSA）制定的云计算控制矩阵（CCM），用于评估云计算服务提供商的安全性。

7. SOC 2：由美国注册会计师协会（AICPA）发布的安全、可
用性和机密性（SOC）报告，用于评估服务组织的信息系统安全性。

这些标准提供了评估、测量和改进信息系统安全性的指南，帮助组织建立一个稳健的网络安全框架，以保护其信息资产免受潜在威胁的影响。

同时，它们也为组织提供了一个在安全方面达到最佳实践的标准，帮助识别和纠正潜在的安全漏洞和风险。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

安全备案与安全施工评价管理制度范本一、前言为了保障施工项目的安全施工和落地的安全管理工作，制定本《安全备案与安全施工评价管理制度》，明确安全备案和安全评价的要求、程序和责任，提高项目管理层和参建单位对安全管理的重视，加强安全施工管理水平，确保施工安全和质量。

二、安全备案管理1. 安全备案的目的1.1 确保施工项目安全施工和施工期间的安全管理。

2. 安全备案的内容2.1 施工单位的基本情况，包括企业名称、地址、法定代表人、注册资本等信息。

2.2 施工单位的安全管理体系，包括安全生产管理制度、安全生产责任制、安全教育培训等内容。

2.3 施工单位的安全施工组织设计和安全措施，包括工程施工方案、应急预案、监督管理措施等。

2.4 施工单位的安全标志和安全设施，包括安全标志牌、防护网、警示牌等。

3. 安全备案的程序3.1 施工单位填写《安全备案登记表》并附上相关材料，提交给监理单位或建设单位。

3.2 监理单位或建设单位对施工单位的安全备案材料进行审核，如符合要求，则予以备案。

3.3 安全备案材料由监理单位或建设单位进行归档，施工单位保留备案材料的副本。

4. 安全备案的责任4.1 施工单位负责填写《安全备案登记表》和准备相关材料。

4.2 监理单位或建设单位负责审核和归档安全备案材料。

三、安全施工评价管理1. 安全施工评价的目的1.1 对参建单位的安全施工能力进行评估和监督，确保施工项目的安全施工。

2. 安全施工评价的内容2.1 参建单位的安全生产能力，包括组织架构、安全管理体系、安全教育和培训等。

2.2 参建单位的安全施工措施，包括施工方案、安全标志、防护设施等。

2.3 参建单位的安全管理记录，包括事故记录、事故报告、事故处理等。

3. 安全施工评价的程序3.1 监理单位或建设单位对参建单位的安全施工能力进行评估，根据评估结果确定参建单位的安全等级。

3.2 根据参建单位的安全等级，制定相应的安全监督措施，包括提出整改要求、加强监督等。

安全备案与安全施工评价管理制度范文为贯彻落实“安全第一、预防为主、综合治理”的方针，促进施工现场的安全管理工作，使公司生产文明施工纳入规范化，标准化和制度化管理，进一步提高项目管理水平特制定本制度。

1、建筑工程管理备案以下简称安全备案是指工程开工前对保证安全生产所必须具备的基本安全条件完成情况的登记管理。

建筑工程施工安全评价以下简称安全评价是指依据建筑施工安全检查标准(JGJ59—99)以下简称《标准》对建筑工程的施工过程安全生产状况的总体评价结论。

2、需要备案、评价的工程范围：指在市区范围内并购买工程职工意外保险的新建、改建、扩建和各类房屋和市政基础的设施、工业技改项目及其附属设施的建造和其配套线路、管网、机电设备安装、大型钢结构主体安装等工程。

3、安全备案的内容与程序：3.1、工程开工前，应具备并完善以下工程安全生产所必须的基本保证条件：3.1.1、建设单位为施工企业提供了与施工现场相关的水文地质、地下管线设施及毗邻的建筑物、构筑物和特殊作业环境的准确资料。

3.1.2、建设单位依据工程特点、规模和技术要求有关安全为施工企业提供了安全技术措施费。

3.1.3、施工单位成立了由项目经理为组长，项目主要施工管理人员组成的工程项目安全生产领导小组，项目经理负责工程安全生产的领导、组织、实施工作；3.1.3.1、建立健全了以工程项目安全第一责任人为核心，各级负责的安全生产责任制；有分包单位的签订明确了安全责任的分包合同；3.1.3.2、建立了工程项目施工安全保证体系，制定了包括安全生产职业病防治责任制、危险源点的防范、预防火灾、控制和处理施工现场各种粉尘、“三废”以及振动噪声、应急救援预案等各项安全管理措施；3.1.3.3、工程项目部按规定配备了专职安全员，工程项目安全生产领导小组成员均持证上岗，现场特种作业人员操作资格证书上岗；3.1.4、有包含根据工程特点制定的安全施工措施、文明施工措施的施工组织设计或专项安全施工方案并经所属企业技术负责人的批准；3.1.5、工程项目部按有关规定为施工人员办理了施工现场职工意外伤害责任保险；3.1.6、工程项目的建设单位和监理单位安全管理机构齐全；3.2、工程项目部的各项安全基本条件完善后，经建设、监理、施工单位审查，具备达到安全开工条件后，经安全管理部、质量技术部，主管经理签字后，送达市建设局安监站进行备案。