第一篇:小學信息安全等級保護,工作實施方案
小學教育網絡與信息安全等級保護工作
實 施 方 案
為加強我校信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進我校信息化建設。根據上級相關文件精神,結合我校實際,制訂本實施方案。
一、指導思想
以科學發展觀為指導,以黨的十七大、十七屆五中全會精神為指針,深入貫徹執行《信息安全等級保護管理辦法》等文件精神,全面推進信息安全等級保護工作,維護我校基礎信息網絡和重要信息系統安全穩定運行。
二、定級范圍
學校管理、辦公系統、教育教學系統、財務管理等重要信息系統以及其他重要信息系統。
三、組織領導
(一)工作分工。
由學校教務處牽頭,會同安全保衛處等共同組織實施。學校辦公室負責定級工作的部門間協調。安全保衛處負責定級工作的監督。
電教組負責定級工作的檢查、指導、評審。
各部門依據《信息安全等級保護管理辦法》和本方案要求,開展信息系統自評工作。
(二)協調領導機制。
1、成立領導小組,校長任組長,副校長任副組長、各部門負責人為成員,負責我校信息安全等級保護工作的領導、協調工作。督促各部門按照總體方案落實工作任務和責任,對等級保護工作整體推進情況進行檢查監督,指導安全保密方案制定。
2、成立由電教組牽頭的工作機構,主要職責:在領導小組的領導下,切實抓好我校定級保護工作的日常工作。做好組織各信息系統運營使用部門參加信息系統安全等級保護定級相關會議;組織開展政策和技術培訓,掌握定級工作規范和技術要求,為定級工作打好基礎;全面掌握學校各部門定級保護工作的進展情況和存在的問題,對存在的問題及時協調解決,形成定級工作總結并按時上報領導小組。
3、成立評審組,主要負責:一是為我校信息與網絡安全提供技術支持與服務咨詢;二是參與信息安全等級保護定級評審工作;三是參與重要信息與網絡安全突發公共事件的分析研判和為領導決策提供依據。
四、主要內容、工作步驟
(一)開展信息系統基本情況的摸底調查。各部門要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。
(二)初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審。初步確定信息系統安全保護等級后,上報學校信息系統安全等級保護評審組進行評審。
(四)備案。根據《信息安全等級保護管理辦法》,信息系統安全保護等級為第二級以上的信息系統統一由電教組負責備案工作。
五、定級工作要求
(一)加強領導,落實保障,落實責任。
(二)加強培訓,嚴格定級。為切實落實評審工作,保證定級準確,備案及時,全面提高我校基礎信息網絡和重要信息系統的信息安全保護能力和水平,保證定級工作順利進行,各部門要認真學習《信息安全等級保護管理辦法》、《信息系統安全保護等級定級指南(國標)》、等。
(三)積極配合、認真整改。各部門要認真按照評級要求,組織開展等級保護工作,切實做好重要信息系統的安全等級保護。
第二篇:信息安全等級保護工作實施方案
白魯礎九年制學校
信息安全等級保護工作實施方案
為加強信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進我校信息化建設。根據商教發【2011】321號文件精神,結合我校實際,制訂本實施方案。
一、指導思想
以科學發展觀為指導,以黨的十七大、十七屆五中全會精神為指針,深入貫徹執行《信息安全等級保護管理辦法》等文件精神,全面推進信息安全等級保護工作,維護我校基礎信息網絡和重要信息系統安全穩定運行。
二、定級范圍
學校管理、辦公系統、教育教學系統、財務管理等重要信息系統以及其他重要信息系統。
三、組織領導
(一)工作分工。定級工作由電教組牽頭,會同學校辦公室、安全保衛處等共同組織實施。
學校辦公室負責定級工作的部門間協調。
安全保衛處負責定級工作的監督。
電教組負責定級工作的檢查、指導、評審。
各部門依據《信息安全等級保護管理辦法》和本方案要求,開展信息系統自評工作。
(二)協調領導機制。
1、成立領導小組,校長任組長,副校長任副組長、各部門負責人為成員,負責我校信息安全等級保護工作的領導、協調工作。督促各部門按照總體方案落實工作任務和責任,對等級保護工作整體推進情況進行檢查監督,指導安全保密方案制定。
2、成立由電教組牽頭的工作機構,主要職責:在領導小組的領導下,切實抓好我校定級保護工作的日常工作。做好組織各信息系統運營使用部門參加信息系統安全等級保護定級相關會議;組織開展政策和技術培訓,掌握定級工作規范和技術要求,為定級工作打好基礎;全面掌握學校各部門定級保護工作的進展情況和存在的問題,對存在的問題及時協調解決,形成定級工作總結并按時上報領導小組。
3、成立由赴省參加過計算機培訓的教師組成的評審組,主要負責:一是為我校信息與網絡安全提供技術支持與服務咨詢;二是參與信息安全等級保護定級評審工作;三是參與重要信息與網絡安全突發公共事件的分析研判和為領導決策提供依據。
四、主要內容、工作步驟
(一)開展信息系統基本情況的摸底調查。各部門要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。
(二)初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審。初步確定信息系統安全保護等級后,上報學校信息系統安全等級保護評審組進行評審。
(四)備案。根據《信息安全等級保護管理辦法》,信息系統安全保護等級為第二級以上的信息系統統一由電教組負責備案工作。
五、定級工作要求
(一)加強領導,落實保障。各部門要落實責任,并于12月15日前將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》上報九年制學校。
(二)加強培訓,嚴格定級。為切實落實評審工作,保證定級準確,備案及時,全面提高我校基礎信息網絡和重要信息系統的信息安全保護能力和水平,保證定級工作順利進行,各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統單位信息分級培訓材料》、《信息系統安全保護等級定級指南(國標)》、《信息系統安全等級保護基本要求(報批)》、《信息系統安全等級保護實施指南(報批)》等材料。
(三)積極配合、認真整改。各部門要認真按照評級要求,組織開展等級保護工作,切實做好重要信息系統的安全等級保護。
(四)自查自糾、完善制度。此次定級工作完成后,請各部門按照《信息安全等級保護管理辦法》和有關技術標準,依據系統所定保護等級的要求,定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查,并不斷完善安全管理制度,今后,若信息系統備案資料發生變化,應及時進行變更備案
第三篇:寧波市信息安全等級保護工作實施方案
寧波市信息安全等級保護工作實施方案
為進一步提高我市信息安全的保障能力和防護水平,確保國家基礎信息網絡和重要信息系統的安全運行,維護國家安全和社會穩定,保障公共利益,促進信息化建設,根據公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室《關于印發<信息安全等級保護辦法>(試行)的通知》(公通字2006[7]號)的要求,計劃用三年左右的時間在我市實施信息安全等級保護制度。
一、指導思想
以“三個代表”重要思想為指導,以黨的十六大、十六屆四中、五中全會精神以及國家信息化領導小組《關于加強信息安全保障工作的意見》為指針,深入貫徹執行公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室《關于印發<信息安全等級保護辦法>(試行)的通知》的要求,全面推進信息安全等級保護工作,維護全市信息網絡安全。
二、工作目標
經過三年努力,全面落實在信息安全規劃、建設、評估、運行、維護等各個環節的等級保護制度,信息安全風險評估、信息安全產品認證、信息安全應急協調機制等制度逐步確立,進一步提高我市信息安全的保障能力和防護水平,切實保護我市基礎信息網絡和重要信息系統的安全。
三、職責分工 公安部門依法對運營、使用信息系統的單位的信息安全等級保護工作實施監督管理。督促、指導信息安全等級保護工作;監督、檢查信息系統運營、使用單位的安全保護管理制度和技術措施的落實情況;受理信息系統保護等級的備案;依法查處信息系統運營、使用單位和個人的違法行為。保密部門按照國家有關規定和技術標準,對涉及國家秘密的信息系統的設計實施、審批備案、運行維護和日常保密管理等工作進行監督、檢查、指導。督促、指導涉及國家秘密的信息安全等級保護工作;受理涉及國家秘密的信息系統保護等級的備案;依法查處信息泄密、失密事件。密碼管理部門加強對涉及密碼管理的信息安全等級保護工作的監督、檢查和指導,查處信息安全等級保護工作中違反密碼管理的行為和事件。信息化工作領導小組辦公室協調信息安全等級保護工作。指導、協調信息安全等級保護工作;組織制定信息安全等級保護工作規范;組織專家審定信息系統的保護等級;為相關單位提供信息安全等級保護的有關咨詢;根據預案規定,組織落實信息安全突發公共事件的應急處置工作。
四、方法步驟
(一)準備實施階段(2006年底前)。一是做好宣傳動員工作。《信息安全等級保護辦法(試行)》已于今年3月1日起實施,各地各部門要積極協同新聞媒體,集中力量、集中時間,充分運用專題、專欄、評論等形式,組織開展征文、講座等活動,多角度、全方位地開展國家信息安全等級保護制度的宣傳,寧波市計算機信息網絡安全協會網站(http://www.tmdps.cn/)開設信息安全等級保護專欄,刊發國家重要法規文件、技術標準和綜述性文章;積極組織各地門戶網站和各部門政府網站,建立和完善信息安全等級保護制度的宣傳網頁、專欄;充分發揮協會民間社團作用,組織各部門、各單位的信息系統主管領導和安全員開展信息安全等級保護專業培訓,進一步提高對信息安全等級保護工作重要性和緊迫性的認識,掌握等級保護的基本業務知識,積極推動各有關單位做好信息安全等級保護工作的前期準備。二是做好基礎調查工作。根據公安部、國務院信息化工作辦公室《關于開展信息系統安全等級保護基礎調查工作的通知》要求,由公安機關負責、指導全市各重要信息系統運營、使用單位基礎數據調查工作,信息化工作領導小組辦公室做好基礎調查的協調工作。各級公安機關必須充分認識開展基礎調查的重要性、必要性和緊迫性,制訂工作方案,明確調查對象,落實專人負責,按規定做好調查和上報工作,確保調查工作取得實效。三是實施信息安全等級保護試點工作。公安機關要及時匯總全市重要信息系統基礎調查情況,在不同領域、不同地區確定6-8家全市信息安全等級保護試點單位。各信息系統主管部門應根據《信息系統安全等級保護定級指南》(試用稿V3.2)(下載網站:http://www.tmdps.cn/)對本單位信息系統進行定級。由信息化工作領導小組辦公室組織專家審定信息系統的保護等級。定級在三、四級信息系統的運營、使用單位到公安機關進行備案登記工作。公安機關要督促定級在三、四級的信息系統的運營單位委托信息安全等級保護評測機構對技術狀況、管理現狀、綜合分析進行安全評估,并取得評測報告。在測評基礎上,各信息系統運營、使用單位根據安全評估報告,制定安全保護整改策略,按照等級保護規定實施整改。各信息系統運營單位對整改后的系統再次委托信息安全等級保護評測機構進行安全等級保護評測,如存在問題繼續整改,直至信息系統安全狀況達到標準。
(二)重點實行階段(2007年底前)。一是建立等級保護工作規范。各部門、各信息系統運營使用單位、信息安全等級保護測試評估機構要認真總結2006年全市信息安全等級保護工作的經驗和問題,按照國家和省級信息安全等級保護辦法的要求,在基礎調查、等級評定、備案歸檔、安全評測、安全建設等方面建立工作規范,特別是公安機關、保密部門、密碼管理部門都要建立工作檔案,規范工作制度,建立信息安全等級保護的長效機制。二是在全市重要信息系統中實行等級保護制度。根據《信息安全等級保護辦法(試行)》要求,對涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統全面實行等級保護制度,按照行業劃分,會同重要信息系統的上級主管部門,從定級、備案、評估、整改、檢驗等環節,建立本行業信息系統等級保護的實施方案,經過一年的建設,使基礎信息網絡和重要信息系統的核心要害部位得到有效保護,安全狀況得到較大改善,扭轉目前基本沒有保護措施或保護措施不到位的狀況。
(三)全面實行階段(2008年底前)。各單位在重點信息系統實行安全等級保護工作的基礎上,在全市范圍內全面推行信息安全等級保護制度。由行業主管單位負責對本行業內的信息系統進行全面歸類分析,將信息安全等級保護納入日常工作制度,對已經實施等級保護制度的信息和信息系統的運營、使用單位及其主管部門,要進一步完善信息安全保護措施,對尚未實施等級保護制度的單位,按照等級保護的管理規范和技術標準認真組織落實。2008年底由市信息安全等級保護工作領導小組對此項工作檢查驗收,表彰獎勵先進,通報鞭策后進。
五、工作要求
(一)統一思想,提高認識。近年來,在市委、市政府的高度重視支持和有關部門共同努力下,我市信息安全保障工作取得了很大進展。但是我們要清醒地認識到,全市的信息安全保障工作尚處于起步階段,信息安全意識和安全防范能力薄弱,信息安全滯后于信息化發展;信息系統安全建設和管理的目標不明確;信息安全保障工作的重點不突出;信息安全監督管理缺乏依據和標準,監管措施有待到位,監管體系尚待完善。為此,各級各部門要把思想統一到維護國家安全和社會穩定上來,要從提高我市信息和信息系統安全建設的整體水平,保障信息安全與信息化建設協調發展,有效控制信息安全建設成本,優化信息安全資源配置,加強信息安全管理的高度,進一步提高對信息安全等級保護工作重要性和緊迫性的認識。
(二)加強領導,落實職責。各地、各單位主要領導是信息安全等級保護工作第一責任人,負責對此項工作的組織協調,并指定專門部門或專門人員從事信息安全等級保護工作。公安機關要充實信息安全等級保護專門工作機構人員,市保密局、密碼管理委員會和信息化工作領導小組辦公室要指定專人負責這項工作,各單位要根據各自職責制訂工作方案。
(三)積極匯報,爭取支持。各地各信息安全等級保護主管部門要廣泛發動,采取各種形式和渠道,加強與信息系統運營部門溝通、協調,積極爭取社會各界的支持。各信息系統運營、使用部門要積極向主管部門、上級領導請示匯報,爭取更多的人力、資金支持,切實把信息系統安全等級保護工作落實到實處。
(四)強化措施,確保實效。為切實貫徹實施信息安全等級保護制度,各地各級信息系統安全等級保護主管部門嚴格按照預定工作方案定人員、定崗位、定職責,保障措施到位、行動到位,真正做到困難再大目標不改,事情再多熱情不降,工作再忙精力不減,突出重點,強化措施,提高信息安全保障能力與水平。
(五)加強協調,提高效率。各信息安全等級保護工作領導小組成員單位要分工負責,密切配合,整合信息安全監管力量,根據《信息安全等級保護辦法》(試行)規定的職責分工,互通信息,加強監管,建立健全信息安全等級保護工作的協作機制,從政策宣傳、基礎調查、等級評測、定級建設、驗收備案等方面充分發揮組織、指導、監管作用,進一步提高工作效率和水平,確保等級保護工作順利、有效實施。各級主管部門要從維護國家安全和社會穩定的戰略高度,強力推進信息系統等級保護工作,為促進我市信息化發展提供堅實保障。
第四篇:浙江省信息安全等級保護工作實施方案
浙江省信息安全等級保護工作實施方案
為貫徹落實國家信息化領導小組《關于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》以及《浙江省信息安全等級保護管理辦法》,根據國家信息安全等級保護工作協調小組的部署,結合我省實際,制訂本方案。
一.指導思想
以中央和省委、省政府有關加強信息安全保障工作的意見為指導,通過全面推行信息安全等級保護工作,提高我省信息安全的保障能力和防護水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設的健康發展。
二.工作目標
通過實行等級保護工作,使基礎信息網絡和重要信息系統的核心要害部位得到有效保護,涉及國家安全、社會穩定和公共利益的基礎信息網絡和重要信息系統的保護狀況有較大改善。
通過全面推行信息安全等級保護制度,逐步將信息安全等級保護制度落實到信息系統安全規劃、建設、測評、運行維護和使用等各個環節,使我省信息安全保障狀況得到基本改善。
通過加強和規范信息安全等級保護管理,不斷提高我省信息安全保障能力,為維護信息網絡的安全穩定,促進信息化發展服務。
三.組織管理
為加強信息安全等級保護工作的領導,成立由省公安廳牽頭,省保密局、省國家密碼管理局和省信息辦等有關部門參加的浙江省信息安全等級保護工作協調小組,負責我省信息安全等級保護工作的組織協調,并下設辦公室在省公安廳。設區市的公安機關、保密部門、密碼管理部門和信息化行政主管部門也要聯合成立由公安機關牽頭的信息安全等級保護工作協調小組,建立相應辦事機構,負責本地信息安全等級保護工作。
信息系統的建設、運營、使用單位應成立由主管領導參加的信息安全等級保護工作領導小組,并確定職能部門負責本系統、本單位的信息安全等級保護工作。
省、設區的市信息化行政主管部門應當分別建立省、市信息系統保護等級專家評審組,并分別負責對涉及全省和全市的基礎信息網絡和重要信息系統的信息安全保護等級進行審定。
為保證信息安全等級測評工作正常、有效開展,成立由省公安廳牽頭,省保密局、省國家密碼管理局、省信息辦和省國家安全廳等單位有關專家參加的測評機構審查小組,對在我省基礎信息網絡和重要信息系統中開展測評工作的測評機構及其主要業務、技術人員的資質,以及安全保密測評資格進行專門審查,審查后公布推薦目錄,供我省基礎信息網絡和重要信息系統使用單位選擇使用。
四.工作內容
(一)系統定級
信息系統運營、使用單位應按照國家有關規定,確定信息系統的安全保護等級,有主管部門的,應當經主管部門審核批準。系統涉及國家秘密的部分,應當按照《涉密信息系統分級保護管理辦法》(國保發[2005]16號)和《涉及國家秘密的信息系統分級保護技術要求》(國家保密標準BMBl7-2006)確定信息系統的安全保護等級。跨市或者全省統一聯網運行的信息系統可以由主管部門統一確定安全保護等級。
(二)定級評審
屬于基礎信息網絡和重要信息的系統運營、使用單位初步確定安全保護等級后,應聘請省或市信息系統保護等級專家評審組的專家進行評審。對擬確定為第四級、第五級信息系統的,運營、使用單位或主管部門應經省信息化行政主管部門初審后,請國家信息安全等級保護專家評審委員會評審。其它定級評審,依照《浙江省信息安全等級評審實施細則》執行。
(三)系統備案
安全保護等級為二級以上的信息系統,其運營、使用單位需在等級確定后的三十天內,向設區的市級以上公安機關備案。安全保護等級為五級的,由國家指定的專門部門進行備案。系統涉及國家秘密的,向設區的市級以上保密工作部門備案。系統中使用密碼設備的,密碼設備要向設區的市級密碼管理部門備案。
省公安廳負責安全保護等級確定為第二級以上的省級基礎信息網絡、省級重要領域信息系統、跨設區市聯網運行的信息系統,及安全保護等級為四級的信息系統備案,其余需要備案的系統由其運營、使用單位到設區市公安機關備案。辦理備案手續時,應提交《信息系統安全等級保護備案表》,安全保護等級為三級以上的應同時提供備案表所列的“系統拓撲結構及說明”等備案材料,并可利用輔助備案工具軟件生成備案電子數據一并向公安機關提交。《信息系統安全等級保護備案表》和輔助備案工具軟件可在省公安廳門戶網站下載。
信息系統備案后,公安機關應當對信息系統的備案情況進行審核,發現不符合國家有關規定、標準的,應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正;發現定級不準的,應當在收到備案材料之日起的10個工作日內通知備案單位重新確定。信息系統運營、使用單位重新確定信息系統安全等級后,應向公安機關重新備案。
(四)等級測評、整改
信息系統運營、使用單位在進行信息系統備案后,應當選擇測評機構進行安全測評。測評機構依據《信息系統安全等級保護測評要求》等技術標準,對信息系統安全等級狀況開展測評,給出相應的系統安全檢測評估報告。經測評信息系統安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改,以符合安全保護等級要求。對符合等級保護要求的,公安機關應當頒發信息系統安全等級保護備案證明。安全保護等級為五級的信息系統,由國家指定的專門部門進行測評和整改。
(五)安全管理、建設
信息系統運營、使用單位應根據國家有關規定和技術標準,建立信息安全等級保護管理制度,落實安全保護責任。具體包括制定信息安全事件等級響應和處置制度;信息安全等級保護系統建設、運行維護制度;信息系統安全檢測和風險評估制度;安全教育和培訓制度等。根據檢測評估報告中反映出的安全問題,要按照《信息系統安全等級保護基本要求》和風險評估有關標準,確定系統安全需求,制定系統總體安全策略和相關制度,細化符合安全等級保護要求的系統安全技術框架和安全管理框架方案,明確安全建設計劃,并全面組織實施。
同時,基礎信息網絡和重要信息系統的運營、使用單位,應當按照國家有關技術規范和標準,每年對系統的信息安全狀況進行一次全面的測評或者自查。第四級信息系統應當每半年至少進行一次測評或者自查,第五級信息系統應當依據特殊安全需求進行測評或者自查。經測評或者自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位要進行整改,直至達到安全保護等級要求。
五.監督管理
根據信息安全等級保護工作的職責分工,公安機關負責信息安全等級保護工作的總體監督、檢查、指導。保密工作部門負責信息安全等級保護工作中有關保密工作的監督、檢查、指導。密碼管理部門負責信息安全等級保護工作中有關密碼工作的監督、檢查、指導。信息化行政主管部門負責信息安全等級保護工作的部門間協調。
公安機關要對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次,對第四級信息系統每半年至少檢查一次。對跨市或全省統一聯網運行的信息系統檢查,要會同其主管部門進行。
保密工作部門要加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評,對絕密級信息系統每年至少進行一次保密檢查或者系統測評。
密碼管理部門要定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統的密碼配備、使用和管理情況,每兩年至少進行一次檢查和測評。六.工作安排
按照突出重點、統籌規劃,重點保障基礎信息網絡和重要信息系統安全的總體要求和原則,我省信息安全等級保護工作將分批、分階段進行。2007年8月至10月集中開展基礎信息網絡和重要信息系統的定級工作。
我省重要信息系統包括:
1.黨政事務處理信息系統和重要網站; 2.金融、財稅、海關業務信息系統;
3.鐵路、機場、交通(港口)等業務信息系統;
4.醫療、社(醫)保、供水、電力、燃氣等業務信息系統; 5.涉及國家秘密的信息系統;
6.國家和省規定的其他重要信息系統。
基礎信息網絡主要包括公用通信網、廣播電視傳輸網等。
其它已運營、使用信息系統和新建信息系統按照相關規定開展等級保護工作。
(一)準備階段.設區的市公安機關、保密工作部門、密碼管理部門和信息化行政主管部門聯合成立公安機關牽頭的信息安全等級保護工作協調小組,建立相應辦事機構,積極做好信息安全等級保護工作的宣傳、培訓和組織工作,全面推進本地信息安全等級保護工作。
設區的市信息化行政主管部門成立市信息系統安全等級保護專家評審組,積極做好信息安全等級保護工作的咨詢和定級評審工作。
各行業主管部門,信息系統運營、使用單位成立信息安全等級保護工作領導小組,對所屬信息系統進行摸底調查,全面掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況,確定定級對象,并提出開展本行業、本單位等級保護工作的具體意見。
(二)組織實施階段.1.定級備案工作。基礎信息網絡和重要信息系統在2007年10月20日前完成定級、評審和初備案工作。其余信息系統在2008年6月30日前完成。
2.等級測評工作。基礎信息網絡和重要信息系統在2008年7月31日前完成等級測評工作。其余信息系統在2008年12月31日前完成。
3.整改建設工作。基礎信息網絡和重要信息系統在2009年6月30日前完成整改建設工作。其余信息系統在2009年10月31日前完成整改建設工作。
(三)鞏固完善階段
信息系統整改建設工作完成后,應當建立完善信息系統安全狀況日常檢測工作制度,加強對信息系統的日常維護和安全管理,及時消除安全隱患,確保信息的安全和系統的正常運行。
七.工作要求
(一)提高認識,加強領導。信息安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。為此,各級公安機關、保密工作部門、密碼管理部門和信息化行政主管部門,以及重要信息系統運營、使用單位和主管部門,要充分認識開展信息安全等級保護工作的重要性、必要性,切實增強政治責任感和工作緊迫感,全面貫徹落實中央、國務院和省委、省政府的要求和部署,切實做好信息安全等級保護工作。
(二)明確責任,密切配合。信息安全等級保護工作由各級公安機關牽頭,會同保密工作部門、密碼管理部門和信息化行政主管部門共同組織實施。四部門要在明確責任的基礎上,加強協調配合,共同組織信息系統主管部門和運營、使用單位開展信息安全等級保護工作。各信息系統主管部門組織本行業、本部門信息系統運營、使用單位開展信息安全等級保護工作,督促其落實信息安全等級保護工作的各項任務。
(三)動員部署,開展培訓。各地區、各部門要按照統一部署,廣泛進行宣傳動員,加強培訓,指導本地區、本行業信息系統運營、使用單位按照信息安全等級保護工作的總體要求,分階段、分步驟完成各項任務。省公安廳將會同省保密局、省國家密碼管理局、省信息辦對省有關單位、行業以及各市公安機關、保密工作部門、國家密碼管理工作部門和信息化行政主管部門就信息安全等級保護工作規范、標準等內容進行培訓。信息系統主管部門對所管轄的信息系統運營、使用單位進行培訓。各市參照上述培訓模式開展培訓工作。
(四)及時總結,形成規范。在等級保護工作中,各地、各部門要認真總結工作經驗和存在的問題,探索我省在信息安全等級保護工作中有關監督管理、安全評測、安全建設等的方面具體內容、工作流程和程序,建立完善工作規范,為我省全面推行信息安全等級保護工作打好基礎。各階段有關工作情況應當及時報協調小組辦公室。
第五篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統要求,藍色字體為第三級系統等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(三級明確要求);電子門禁系統有驗收文檔或產品安全認證資質,電子門禁系統運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質有分類標識;介質分類存放在介質庫或檔案室內,磁介質、紙介質等分類存放
6、應具有攝像、傳感等監控報警系統;機房防盜報警設施的安全資質材料、安裝測試和驗收報告;機房防盜報警系統的運行記錄、定期檢查和維護記錄;
7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告;機房監控報警系統的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質的防雷保安器;具有防雷檢測資質的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統;自動消防系統的運行記錄、檢查和定期維護記錄;消防產品有效期合格;自動消防系統是經消防檢測部門檢測合格的產品
11、應具有除濕裝置;空調機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調節設施;溫濕度自動調節設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(如備用發電機);備用供電系統運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規程,如系統維護手冊和用戶操作規程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發布制度具有統一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發登記記錄,收發應通過正式、有效的方式(如正式發文、領導簽署和單位蓋章等)----安全管理制度應注明發布范圍,并對收發文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位(分工明確,各司其職),數量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統活動進行審批(如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯單位聯系列表)
12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統進行安全檢查(查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格,安全檢查報告,檢查結果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業資格和資質進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協議(協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內部人員中選拔,是否要求其簽署崗位安全協議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調離手續,是否要求關鍵崗位調離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調離手續的記錄,調離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監督等)
13、應具有外部人員訪問重要區域的書面申請
14、應具有外部人員訪問重要區域的登記記錄(記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等)
五、系統建設管理
1、應明確信息系統的邊界和安全保護等級(具有定級文檔,明確信息系統安全保護等級)
2、應具有系統建設/整改方案
3、應授權專門的部門對信息系統的安全建設進行總體規劃,由何部門/何人負責
4、應具有系統的安全建設工作計劃(系統安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規定進行采購和使用系統信息安全產品
9、安全產品的相關憑證,如銷售許可等,應使用符合國家有關規定產品
10、應具有專門的部門負責產品的采購
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統運維管理
1、應指定專人或部門對機房的基本設施(如空調、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調、溫濕度控制等機房設施定期維護保養的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產清單(覆蓋資產責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產管理的責任部門或人員
7、應依據資產的重要程度對資產進行標識
8、介質存放于何種環境中,應對存放環境實施專人管理(介質存放在安全的環境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質使用管理記錄,應記錄介質歸檔和使用等情況(介質存放、使用管理記錄)
10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制
11、應對介質的使用情況進行登記管理,并定期盤點(介質歸檔和查詢的記錄、存檔介質定期盤點的記錄)
12、對送出維修或銷毀的介質如何管理,銷毀前應對數據進行凈化處理。(對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質實行異地存儲,異地存儲環境是否與本地環境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或專門部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經過審批流程,由何人審批(審批記錄)
18、應監控主機、網絡設備和應用系統的運行狀況等
19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警
20、應具有日常運維的監控日志記錄和運維交接日志記錄
21、應定期對監控記錄進行分析、評審
22、應具有異常現象的現場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網絡安全管理工作
25、應對網絡設備進行過升級,更新前應對現有的重要文件是否進行備份(網絡設備運維維護工作記錄)
26、應對網絡進行過漏洞掃描,并對發現的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網絡設備配置數據的離線備份)
28、系統網絡的外聯種類(互聯網、合作伙伴企業網、上級部門網絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規聯網的行為。
29、對便攜式和移動式設備的網絡接入應進行限制管理
30、應具有內部網絡外聯的授權批準書,應具有網絡違規行為(如撥號上網等)的檢查手段和工具。
31、在安裝系統補丁程序前應經過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統補丁安裝操作記錄
33、應對系統管理員用戶進行分類(比如:劃分不同的管理角色,系統管理權限與安全審計權限分離等)
34、審計員應定期對系統審計日志進行分析(有定期對系統運行日志和審計數據的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統的變更申請書,應具有主管領導的批準
42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統(備份文件記錄)
43、應定期執行恢復程序,檢查和測試備份介質的有效性
44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執行所需資金應做過預算并能夠落實。
48、應對系統相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
點擊咨詢 