信息系统等级保护安全管理规定
XXXXX单位
信息系统安全等级保护管理规定
第一章总则
第一条为加强XXXXX单位信息系统(以下简称“信息系统”)安全管理,确保XXXXX单位信息安全,按照国家信息安全等级保护制度和相关标准要求,结合工作实际,制定本规定。
第二条信息系统安全管理遵循“确保安全、注重防范、分工负责、规范管理”原则,以确保信息安全为中心,以抓好安全防范为重点,分工负责,相互配合,认真遵守有关信息安全的法律法规和制度规定,共同做好信息系统的安全管理工作。
第三条本规定适用于信息系统的安全管理。
第四条本规定所指信息系统是由XXXXX单位规划和建设内的计算机信息系统,包括所有非涉密信息系统。
第二章组织领导和工作机制
第五条在XXXXX单位信息化工作领导小组(以下简称“领导小组”)领导下,XXXXX单位信息化工作领导小组办公室负责信息系统的统一规划、建设和管理,按照“谁建设谁管理、谁使用谁负责”的原则,由XXXXX单位网络信息中心负责信息系统安全的使用管理和运行维护。
第六条网络信息中心是单位信息化工作安全管理和运行维护的部门,负责指定信息系统的系统管理员、安全管理员
和安全审计员。系统管理员主要负责系统的日常运行维护,安全管理员主要负责系统的日常安全管理工作,安全审计员主要负责对系统管理员和安全管理员的操作进行审计和评估。安全管理员和安全审计员不得为同一人。
第七条应结合XXXXX单位工作具体情况,制定有关信息系统安全管理的相关制度,建立健全保障信息安全的工作机制,采取切实措施落实有关安全要求,确保信息系统与信息的安全。
第三章规划建设和测评审批
第八条信息系统按照国家信息安全系统等级保护要求确定保护等级,进行规划、设计、建设和运行维护管理,并采取相应安全保护措施。
第九条信息系统按照其受到破坏时所侵害的客体和对客体造成侵害的程度,分为二级和三级,并分别采取相应的保护措施。XXXXX单位网络信息中心统一负责信息系统的定级工作,并报山东省公安厅备案。
第十条信息系统应根据其等保定级、行政级别、地域分布、连接范围等合理划分安全域,安全域之间应采取有效的隔离措施。XXXXX单位内部办公系统应当与互联网及其它公共网络进行物理隔离。
第十一条信息系统安全体系的规划、建设由XXXXX单位网络信息中心负责,统一采用防火墙、防病毒系统、入侵防御系统等安全措施。安全体系的建设应与信息系统建设同步进行。
第十二条信息系统的设计、建设须选择具有相应信息系统集成资质的单位承担设计、开发、建设和运行维护任务。信息系统建设工程的监理、检测工作应选择具有相应信息系统工程监理、检测资质的单位承担。
第十三条重要信息系统投入使用前有关风险评估、安全方案设计、论证和等级保护测评等所需经费,系统建设使用单位应在系统规划时按照一定比例统一纳入系统建设经费预算予以解决。
第十四条信息系统中使用的安全设备、系统软件、应用软件须采用国家主管部门认定或认可的产品和设备,优先选用国产设备和系统。
第十五条信息系统设计方案通过论证方可实施。XXXXX 单位网络信息中心参与设计方案的论证、审查。设计方案中涉及密码技术产品的,须报山东省密码管理局审批。
第十六条重要信息系统建成后,选择信息安全等级保护测评机构开展测评。信息安全等级保护测评机构应根据“中国信息安全等级保护网”提供的《全国等级保护测评机构推荐目录》进行选择。测评前应与测评机构签订工作协议和保密协议,对测评机构和测评人员的测评活动进行严格的监督与管理。信息系统通过测评后方可投入使用。
第十七条信息系统不再使用时,XXXXX单位网络信息中心负责废止管理工作。密码设备退装、销毁等必须符合密码设备管理的有关规定。
第十八条 XXXXX单位内计算机连接互联网须严格控制。确有工作需要的,经中心有关领导审批同意后,由网络信息中心实施互联网接入。连接互联网的计算机应做到专机专用,确保其与内部信息系统物理隔离,并不得处理、存储内部工作信息。
第四章使用管理与运行维护
第十九条信息系统应具备文档化的系统安全管理策略,每六个月对系统安全管理策略进行审核,如果系统、环境等发生较大变化时,应及时更新安全管理策略。
第二十条信息系统应当处于安全可控环境中,其机房建设应符合与信息安全等级相对应的标准要求,具有防火、防水、防雷、防静电、防盗监控和供电、温控保障设施。计算机和设备应放置在安全可控的区域。
第二十一条接入内部办公网的服务器、计算机和设备不得再接入互联网使用,也不得使用无线网卡、无线键盘、无线鼠标、蓝牙设备等无线设备。
第二十二条应当建立计算机(包括服务器、用户终端)、网络设备、外部设备等信息设备台帐,并按重要性和用途进行标识。
第二十三条传递或携带核心信息系统中使用的移动设备外出应履行审批、登记手续,选择可靠的交通工具,确保设备处于携带人的有效控制之下。不得带设备到与工作无关场所。
第二十四条应对信息系统所有计算机及时升级病毒库,进行病毒查杀;及时安装操作系统、数据库和应用系统补丁程序。
第二十五条信息系统应当采取身份鉴别、访问控制、安全审计、违规外联监控等技术保护措施。审计日志记录需长期保存。
第二十六条通过信息系统发布信息,按照“谁发布、谁负责”的原则进行严格审批,建立审批程序,明确责任单位和责任人,做好发布信息的记录工作。
第二十七条严格限制从互联网向核心信息系统复制信息,确需复制的应采取严格的技术防护措施,防止病毒、木马等的导入传播。
第二十八条在信息系统中,对用户的授权应按照最小授权原则,只授予其满足开展工作所需的最小访问权限,不得随意扩大用户的访问范围或提高权限等级。安全审计员应做好对授权管理和访问控制策略的监督、审核工作。
第二十九条应建立信息系统应急安全响应制度,制定应急处理预案,建立系统备份与恢复策略,对关键系统、关键设备和关键数据每三个月进行全量备份,及时发现、处理网络攻击和异常行为等。发生信息安全事件和网络破坏事件,应迅速采取措施控制事态发展,同时及时报告信息化领导小组办公室。
第三十条高等级的信息不得在低等级的信息系统中发布、处理、存储和传输。敏感信息不得在互联网上发布、处理、
存储和传输。
第五章安全检查
第三十一条信息化工作安全检查是安全检查的重要内容。XXXXX单位网络信息中心结合不同时期的工作需要,组织开展本地信息化工作专项安全检查(以下简称“专项安全检查”)。
第三十二条 XXXXX单位网络信息中心负责提出专项安全检查的计划和方案,报经XXXXX单位信息化工作领导小组审批后实施。专项安全检查既可对XXXXX单位信息系统进行全面的安全检查,也可针对信息系统的某一方面或部分信息系统,进行专门的安全检查。
第三十三条 XXXXX单位网络信息中心根据需要组织对信息系统进行安全检测。二级信息系统原则上每年进行一次安全检测;三级信息系统原则上每年进行二次安全检测。
第三十四条信息系统专项安全检查和安全检测技术措施及人员由XXXXX单位网络信息中心协调解决。
第三十五条在信息系统安全检查或检测中发现问题的,由XXXXX单位网络信息中心向有关建设、运行维护或使用单位指出,并提出改进意见,责令相关部门采取切实措施,堵塞漏洞、消除隐患。
第六章安全保密教育与培训
第三十六条 XXXXX单位网络信息中心通过多种形式在本
地范围内开展信息化工作安全知识培训和安全形势教育,不断增强本地工作人员信息化安全防护意识。本地信息化工作安全教育注重发挥内部网络的传播媒介作用,利用内部网络传播信息化安全知识和要求规定等。
第三十七条信息系统安全管理人员包括系统管理员、安全管理员及安全审计员,须进行安全培训,经考核合格后方可上岗。
第三十八条信息系统安全管理人员定期参加XXXXX单位网络信息中心组织的专业培训,了解安全形势,学习最新信息化安全知识,不断提高安全防护意识,增强做好信息化安全工作的能力。
第七章奖励与惩戒
第三十九条对在信息系统安全管理工作中成绩突出的单位和个人,给予表彰。
第四十条对违反有关规定,造成信息安全隐患的部门,应责令其限期整改;情节严重的,要按照有关规定执行。
第八章附则
第四十一条本规定由XXXXX单位网络信息中心负责解释。
第四十二条本规定自发布之日起施行。
浮点自控BitFloating
信息系统安全管理办法(通用版)
企业信息管理系统管理办法 第一章总则 第一条为保证公司信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本办法。 第二条公司信息系统的安全与管理,由公司信息部负责。 第三条本办法适用于公司各部门。 第二章信息部安全职责 第四条信息部负责公司信息系统及业务数据的安全管理。明确信息部主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件软件的安全运行; (二)负责银行卡刷卡系统服务器的安全运行与终端刷卡器的正常使用; (三)保证业务软件进销调存数据的准确获取与运用; (四)负责公司办公网络与通信的正常运行与安全维护; (五)负责公司杀毒软件的安装与应用维护; (六)负责公司财务软件与协同办公系统的维护。 第五条及时向总经理汇报信息安全事件、事故。 第三章信息部安全管理内容 第六条信息部负责管理公司各计算机管理员用户名与密码,不得外泄。
第七条定期监测检查各计算机运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向总经理汇报,提出应急解决方案。 第八条信息部在做系统需求更新测试时,需先进入备份数据库中测试成功后,方可对正式系统进行更新操作。 第九条业务软件系统是公司数据信息的核心部位,也是各项数据的最原始存储位置,信息部必须做好设备的监测与记录工作,如遇异常及时汇报。 第十条信息部负责收银机的安装与调试维护,收银网络的规划与实施。 第十一条信息部负责公司办公网络与收银机(POS)IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 第十二条公司IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息部主管领导的批准下分配IP进行办公。 第十三条用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息部报告。 第十四条信息部负责公司办公网络与通信网络的规划与实施,任何个人或部门不得擅自挪动或关闭部门内存放的信息设备。 第十五条办公电脑安全操作管理
系统信息安全保护制度
系统信息安全保护制度 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置
相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 二、信息安全保密管理制度 1、网站信息内容更新全部由网站工作人员完成或管理。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息,一经发现,立即删除。 2、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 3、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统运行日志和用户使用日志记录。 4、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 三、系统账号管理制度 1、服务器和数据库的管理账号密码,由系统管理员和数据库管理员设定并持有,实行定期修改制度,最长有效期不超过90天。 2、更换服务器与数据库密码时必须报备上级领导,以防遗失密码。如发现密码及口令有泄密迹象,管理员要立刻报告主管领导,严查泄露源头,同时更换密码。
信息系统安全等级保护测评准则.
目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)
7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A(资料性附录)测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B(资料性附录)关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)
信息系统安全管理规定
信息系统安全管理规定 1 信息系统安全管理的基本要求 1.1 信息系统安全管理原则 信息系统安全管理按照“三同步”原则进行,即同步设计、同步建设、同步运行。 1.2 信息系统安全的管控方式 信息系统安全管理工作由公司信息化委员会统一领导,信息系统管理部归口管理,信息管理部门负责,相关业务部门密切配合。 2 各级管理部门职责 2.1 公司信息系统管理部负责公司信息系统安全工作的归口管理,负责全局性信息系统安全统一规划、统一建设、统一部署、统一协调和监督检查;负责公司层面信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;指导企业信息系统安全工作。 2.2 公司信息管理部门负责公司信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;接受信息系统管理部信息安全管理。 2.3 业务部门负责本部门相关业务信息系统应用和数据安全,配合信息管理部门做好日常信息系统安全工作。 3 信息系统安全管理内容与方法 3.1组织和人员安全管理 3.1.1 公司信息化委员会下设信息系统安全工作组,由信息系统管理部牵头,负责各部门间的信息系统安全协调工作和紧急事件的应急指挥,为信息化委员会提供信息系统安全管理方面的建
议。 3.1.2 设备工程部设立信息系统安全管理岗位,对公司信息系统安全实施统一管理。依据不相容原则,信息系统设置安全管理员,负责落实信息系统安全管理制度的有关要求,检查信息系统安全管理日常工作,负责对系统管理员、应用管理员等人员操作的审查,检查信息安全设备和软件配置情况,协助处理安全威胁、违例行为和其他信息安全突发事件。 3.1.3 建立信息系统关键岗位制度。对信息系统设计、建设、运维和应用中直接接触或使用重要、敏感信息的关键岗位进行管理,关键岗位包括安全管理员、应用管理员、系统管理员、数据库管理员、开发人员等有关信息技术岗位和业务岗位。涉及业务的关键岗位由业务部门具体负责并报信息管理部门备案。 3.1.4 设备工程部和业务部门分别对公司信息系统关键岗位人员的资格、职责、权限、培训、考核、监督进行管理,并报人事部门备案。设备工程部每年向公司信息系统管理部上报本单位信息系统关键岗位的设置和人员情况。 3.1.5 设备工程部负责对公司信息系统建设、运行、维护的第三方单位相关资格进行审查,签署信息安全协议书,并对执行情况进行检查。 3.1.6 设备工程部协助人事部门组织信息系统安全教育和培训,将信息系统安全培训纳入公司年度培训计划。 3.2 信息系统安全等级保护 3.2.1 信息系统安全保护等级划分是在国家信息系统安全保护等级基础上,结合公司实际情况,定为五个级别,分为Ⅰ级、Ⅱ级(A、B)、Ⅲ级(A、B)、Ⅳ级、Ⅴ级:
2020年档案信息系统安全保护制度精品
2020年档案信息系统安全保护制度精品
档案信息系统安全管理制度 目录 背景 (1) 总则 (1) 第一章信息系统人员岗位职责 (2) 第二章信息系统人员工作管理制度 (3) 第三章系统管理员工作细则 (5) 第一节系统主机管理维护办法 (5) 第二节信息系统维护管理办法 (7) 第三节档案信息系统数据库管理办法 (8) 第四章网络管理员工作细则 (10) 第一节网络系统维护管理办法 (10) 第二节终端电脑维护管理办法 (11) 第三节网络入侵防范管理办法 (12) 第五章安全管理员工作细则 (13) 第一节网络信息安全策略管理办法 (13) 第二节网络信息系统安全检查管理办法 (14) 第三节涉密计算机终端管理办法 (14) 第四节安全审计管理办法 (15) 第五节违规联接管理办法 (16) 第六节密钥管理办法 (17) 第六章机房安全管理制度 (17) 第七章安全事件报告及处置管理制度 (19) 第一节安全事件确定及等级划分 (19) 第二节安全事件报告及处置办法 (21) 第八章档案信息系统应急预案 (22) 第九章附则 (23)
背景 随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的防护能力和水平,已经成为加强档案信息安全管理,促进档案事业健康发展的一项重要内容。为了保障档案信息系统的安全,防止网络安全突发事件,保证敏感时期的信息安全问题及时响应,根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》《档案信息系统安全等级保护定级工作指南》等文件精神,结合我局馆实际,制定本管理制度。 总则 第一条严格遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用档案信息系统从事危害国家安全、泄露 国家秘密等违法犯罪活动,不得利用档案信息系统制作、 复制和传播破坏国家稳定,扰乱社会秩序,损害公民利 益的信息; 第二条与时俱进,根据新形势,不断加强信息安全系统建设,完善信息安全管理机制,坚决防止档案信息系统遭到侵 入和破坏;坚持积极防范、突出重点,既保守国家秘密 安全又有利于档案信息化健康发展的方针。
信息安全等级保护制度
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息化系统安全运行管理制度.doc
信息化系统安全运行管理制度 第一章:总则 第一条为确保公司信息化系统的正常运行,有效地保护信息资源,最大程度地防范风险,保障公司经营管理信息安全。根据《国家计算机信息系统安全保护条例》等有关法律、法规,结合公司实际,制订本规定。 第二条本规定所称公司信息化系统,是指公司所使用的“集团管理软件”所覆盖的使用单位、使用人、以及计算机及其网络设备所构成的网络系统。具体有财务管理系统、物资供应管理系统、销售管理系统、地磅系统、资产管理系统、人力资源管理系统、OA办公自动化系统。第三条本规定适用于公司及所属单位所有使用信息系统的操作员和系统管理员。 第二章职责描述 第四条公司企管信息部 1、根据国家和行业的发展制定公司信息化工作的发展规划、年度计划和有关规章制度; 2、负责组织实施公司信息化建设; 3、负责公司信息系统的维护及软件管理; 4、负责对各单位信息系统工作的检查、指导和监督。 第五条公司信息化系统负责人 1、协调公司各种资源,及时处理对系统运行过程中的出现的各种异常
情况及突发事件; 2、负责督促检查本制度的执行; 第六条公司系统管理员 1、负责应用系统及相关数据的正常使用和安全保障; 2、负责解答各所属单位人员的问题咨询,处理日常问题; 第七条各单位系统管理员 1、熟悉掌握系统,能够处理系统应用中的问题; 2、要及时建立问题处理情况汇总表,并定期上报给公司系统管理员,由公司系统管理员汇编成册,定期下发给所有操作人员,以做到最大程度的知识共享; 3、负责本单位新进员工的信息系统技能培训;监督本单位操作人员进行规范操作; 第八条操作员 1、严格按照业务流程和系统运行规定进行操作、不越权操作、不做违规业务; 2、保证自己的密码不泄密,定期更换密码; 第三章内部支持体系管理 第九条为了确保操作人员能够熟练掌握信息系统的运行,问题的提交与处理必须按照逐级处理方式,具体如下: 1、各单位操作人员发现问题填写“日常操作问题记录单”先提交给各自所属单位的系统管理员归集与处理; 2、在各单位系统管理员不能处理的情况下再提交到公司系统管理员处理;
信息系统安全人员管理制度
信息系统安全人员管理制度1信息系统安全人员管理制度汇编 第一章总则 第一条为规范公司信息系统安全人员管理,保障公司信息安全,根据公司相关规章制度汇编整理,制订本制度。 第二条公司所有涉及信息系统安全人员(简称信息安全人员),适用本制度。 第二章录用与入职 第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》 第四条对拟录用信息安全人员应进行详细的背景调查,对其经历背景确认无误后才可办理录用手续。 第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。 第六条对信息安全人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。 第三章信息安全规范 第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。 第八条未经公司同意,信息安全人员不得复制公司资料,不得
将公司机密资料向公众展示、发行,不得向第三方出售公司机密资料或产品。 第九条信息安全人员接受外部邀请进行演讲、交流或授课,应事先 征得公司批准,并就可能涉及的有关公司业务的重要内容征求领导意见。 第十条信息安全人员不得利用职务之便,以盗窃、欺诈、胁 迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务(税)秘密。未经公司许可,不得擅自允许第三方使用公司的技术成果。 第^一条信息安全人员应对各种工作密码保密,不对外提供 和泄露。严禁盗用他人密码。 第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围,不得与无关人员或在公共场所谈论,不得擅自翻印、复制、抄袭或在公开发表的文章中引用。 第十三条需销毁的文件资料由综合办公室统一集中处理。 第十四条从事核心技术岗位的员工,如中途离开公司,自离 开之日起两年之内,不得从事与本行业及本岗位相关的活动。 第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的,在离职后不得向第三方泄漏其所熟知有关公司机密的信息。
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
医院信息系统安全保护制度
医院信息系统安全保护制度 (一)总则 1.为了保护医院信息系统安全,促进医院信息系统的应用和发展,保障医院信息工程建设的顺利进行,特制定本规则。 2.本规则所称的信息系统,是由计算机及其相关配套的设备、设施构成的,按照系统应用目标和规则对医院信息进行采集、加 工、存储、传输、检索等处理的人机系统(即现在医院建设和应用中的信息工程)。 3.信息系统的安全保护,是保障计算机及配套的设备、设施的安全,运行环境的安全,保障信息的安全,保障医院信息管理系统功能的正常发挥,以维护信息系统的安全运行。 4.信息系统的安全保护,重点是维护信息系统中数据信息和网络上一切设备的安全。 5.医院信息系统内全部上网运行计算机的安全保护都适用本规则。 6.信息中心主管全院信息系统的安全保护工作。 7.任何单位或者个人,不得利用上网计算机从事危害医院利益的活动,不得危害信息系统的安全。 8.各级各类医院根据本规则,结合医院不同的功能任务和医院信息系统规模大小,参照以下内容制定适宜于本医院的运行与应用保障制度。 (二)安全保护制度 1.信息系统的建设和应用,应遵守医院信息系统管理规则、医院行政法规和其他有关规定。
2.信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息中心负责制定和实施。 3.信息中心机房应当符合国家标准和国家规定。 4.在信息系统设施附近营房维修、改造及其他活动,不得危害信息系统的 安全。如无法避免而影响信息系统设施安全的作业,须事先通知信息中心,经中心负责人同意并采取保护措施后,方可实施作业。 5.信息系统的使用单位和个人,都必须遵守计算机安全使用规则,以及有关的操作规程和规定制度。 6.对信息系统中发生的问题,有关使用单位负责人应当立即向信息工程技术人员报告。 7.对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作,由 计算机中心负责处理。 8.对信息系统软件、设备、设施的安装、调试、排除故障等由计算机工程技术人员负责。其他任何单位或个人不得自行拆卸、安装任何软、硬件设施。 9.所有上网计算机绝对禁止进行国际联网或与院外其他公共网络联接。 (三)安全监督 1 .信息管理部门对信息系统安全保护工作行使下列监督职权 2.监督、检查、指导信息系统安全维护工作; 3.查处危害信息系统安全的违章行为;
信息系统安全管理制度
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
信息系统安全等级
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
计算机信息系统安全管理制度
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
(完整版)医院信息安全保护制度
古蔺县人民医院 信息安全保护制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向信息科提出申请。接入互联网的计算机必须安装正版的反病毒软件,并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储
工具。 二、硬件安全管理 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造成的网络连接中断的,应根据其情节轻重予以处罚或赔偿。 3、未经允许,不得中断网络设备及设施的供电线路。因生产原因必须停电的,应提前通知网络管理人员。 4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提前通知网络管理人员,在得到允许后方可实施。 三、软件及信息安全管理 1、计算机及外设所配软件及驱动程序交网络管理人员保管,以便统一维护和管理。 2、管理系统软件由网络管理人员按使用范围进行安装,其他任何人不得安装、复制、传播此类软件。 3、网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以分配,任何人不得擅自超越权限使用网络资源及网络信息。 4、网络的使用人员应妥善保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。
信息系统运行维护及安全管理规定正式样本
文件编号:TP-AR-L4355 There Are Certain Management Mechanisms And Methods In The Management Of Organizations, And The Provisions Are Binding On The Personnel Within The Jurisdiction, Which Should Be Observed By Each Party. (示范文本) 编制:_______________ 审核:_______________ 单位:_______________ 信息系统运行维护及安全管理规定正式样本
信息系统运行维护及安全管理规定 正式样本 使用注意:该管理制度资料可用在组织/机构/单位管理上,形成一定的管理机制和管理原则、管理方法以及管理机构设置的规范,条款对管辖范围内人员具有约束力需各自遵守。材料内容可根据实际情况作相应修改,请在使用时认真阅读。 第一章总则 第一条为了确保总公司信息系统的安全、稳定 和可靠运行,充分发挥信息系统的作用,依据《计算 机信息网络国际联网安全保护管理办法》,结合总 公司实际,特制定本规定。 第二条本规定所称的信息系统,是指由网络传 输介质、网络设备及服务器、计算机终端所构成的, 为正常业务提供应用及服务的硬件、软件的集成系 统。 第三条信息系统安全管理实行统一规划、统一
规范、分级管理和分级负责的原则。 第二章管理机构及职责 第四条总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通; (二)负责总公司机关局域网的运行维护管理; (三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全; (四)指导、协调所属单位局域网系统的安全运行管理。 第五条总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是: (一)负责广域网本单位节点、本单位局域网的
信息系统安全管理制度
信息系统安全管理制度 第一章总则 第一条为保证本单位信息系统的操作系统和数据库系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》,结合本单位系统建设实际情况,特制定本制度。 第二条本制度适用于本单位XX部门及所有系统使用部门和人员。 第三条XX部门是本单位系统管理的责任主体,负责组织单位系统的维护和管理。 第二章系统安全策略 第四条XX部门负责单位人员的权限分配,权限设定遵循最小授权原则。 1)管理员权限:维护系统,对数据库与服务器进行维护。系统管理员、数据库管理员应权 限分离,不能由同一人担任。 2)普通操作权限:对于各个系统的使用人员,针对其工作范围给予操作权限。 3)查询权限:对于单位管理人员可以以此权限查询数据,但不能输入、修改数据。 4)特殊操作权限:严格控制单位管理方面的特殊操作,只将权限赋予相关科室负责人,例 如退费操作等。 第五条加强密码策略,使得普通用户进行鉴别时,如果输入三次错误口令将被锁定,需要系统管理员对其确认并解锁,此帐号才能够再使用。 用户使用的口令应满足以下要求: -8个字符以上; -使用以下字符的组合:a-z、A-Z、0-9,以及!@#$%^&*()- +; -口令每三个月至少修改一次。 第六条定期安装系统的最新补丁程序,在安装前进行安全测试,并对重要文件进行备份。
第七条每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。 第八条关闭信息系统不必要的服务。 第九条做好备份策略,保障系统故障时能快速的恢复系统正常并避免数据的丢失。 第三章系统日志管理 第十一条对于系统重要数据和服务器配值参数的修改,必须征得XX领导批准,并做好相应记录。 第十二条对各项操作均应进行日志管理,记录应包括操作人员、操作时间和操作内容等详细信息。 第十三条审计日志应包括但不局限于以下内容:包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全事件。 第十四条安全审计员应每日对审计日志进行审查,对异常事件及时跟进解决,并定期形成日志分析报告。 第十五条系统审计日志应定期做好备份工作。 第四章个人操作管理 第十六条单位工作人员申请账户权限需填写《系统权限申请表》,经系统管理员批准后方可开通。账号申请表上应详细记录账号信息。 第十七条人员离职或调职时需交回相关系统账号及密码,经系统管理员删除或变更账号后方能离职或调职。 第十八条单位工作人员严禁私自在办公计算机上安装软件,以免造成病毒感染。严禁私自更改计算机的设置及安全策略。
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、