第一篇：信息安全等級保護與風險評估

信息安全等級保護與風險評估

一、什么是信息安全?

目前常說的所謂信息主要是指在信息系統中存儲、傳輸、處理的數字化信息。信息安全通常是指保證信息數據不受偶然的或者惡意的原因遭到破壞、更改、泄露，保證信息系統能夠連續可靠正常地運行，信息服務不中斷。信息安全涉及到信息的保密性、完整性、可用性、可控性。保密性是保證信息不泄漏給未經授權的人;完整性是防止信息被未經授權的篡改;可用性是保證信息及信息系統確實為授權使用者所用;可控性就是對信息及信息系統實施安全監控。

信息安全面臨的主要威脅來源有環境因素和人為因素，而威脅最大的并不是惡意的外部人員，恰恰是缺乏責任心或專業技能不足的內部人員，由于沒有遵循規章制度和操作流程或不具備崗位技能而導致信息系統故障或被攻擊。

信息安全涉及到物理環境、網絡、主機、應用等不同的信息領域，每個領域都有其相關的風險、威脅及解決方法。信息安全是一個動態發展的過程，僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的。

二、什么是等級保護?

信息安全等級保護是指對存儲、傳輸、處理信息的信息系統分等級實行安全保護，對信息系統中使用的安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。

等級保護是指導我國信息安全保障體系總體建設的基礎管理原則，是圍繞信息安全保障全過程的一項基礎性管理制度，其核心內容是對信息安全分等級、按標準進行建設、管理和監督。

按照《計算機信息系統安全保護等級劃分準則》規定的規定，我國實行五級信息安全等級保護。第一級：用戶自主保護級;第二級：系統審計保護級;第三級：安全標記保護級;第四級：結構化保護級;第五級：訪問驗證保護級;

由公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯合發出的66號文《關于信息安全等級保護工作的實施意見的通知》將信息和信息系統的安全保護等級劃分為五級，即：第一級：自主保護級;第二級：指導保護級;第三級：監督保護級;第四級：強制保護級;第五級：專控保護級。

66號文中的分級主要是從信息和信息系統的業務重要性及遭受破壞后的影響出發的，是系統從應用需求出發必須納入的安全業務等級，而不是GB17859中定義的安全技術等級。

三、什么是風險評估?

風險評估就是量化評判安全事件帶來的影響或損失的可能程度。

從信息安全的角度來講，風險評估是對信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。

風險評估的主要任務包括：1)識別組織面臨的各種風險;2)評估風險概率和可能帶來的負面影響;3)確定組織承受風險的能力;4)確定風險消減和控制的優先等級;5)推薦風險消減對策。

在風險評估過程中需要考慮幾個關鍵問題：

第一，要確定保護的對象(資產)是什么?它的直接和間接價值如何?

第二，資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?

第三，資產中存在哪里弱點可能會被威脅所利用?利用的容易程度又如何?

第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響?

第五，組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度?

解決以上這些問題的過程，就是風險評估的過程。

四、中科網威的風險評估案例

2010年，某市稅務局通過招標，對市屬稅務單位進行了一次風險評估。

在招標中，要求風險評估單位具有安全服務資質、風險評估資質、參與過國家信息安全評估產品標準的制訂，有具有自主知識產權的風險評估產品、有6名以上CISP等。北京中科網威信息技術有限公司因技術實力突出而一舉中標。

根據先期確定的風險評估實施方案，風險評估工作的對象為市局及其五個下屬的區縣級稅務分局的信息系統。評估范圍是市局的數據管理中心及五個下屬區縣局，涵蓋物理環境、網絡、應用、管理和終端等方面的評估;從20個分局中抽取了三個征管局和兩個縣區局，針對征管系統、OA系統、國地稅數據交換系統進行檢查評估。

經過2個月的評估，北京中科網威信息技術有限公司出具了風險評估報告，指明該市局稅務系統的信息安全風險突出表現在以下五個方面：

1)安全管理體系不夠健全

2)管理執行力度較差，缺乏監管與獎懲機制

3)各類人員不同程度的缺乏安全意識

4)現有安全措施不足，總體安全策略沒有在技術上落實

5)安全風險過于集中，對于突發事件缺乏應急準備

針對發現的風險，北京中科網威信息技術有限公司協助市稅務局制訂了完整的整改方案，采取了一系列措施進行安全建設整改。經過4個月的安全建設和整改，完善了安全體系，有效防范了大部分安全風險，取得了令人滿意的階段性成果，并通過了國稅總局進行的信息安全等級測評。

在總結會上，市局信息中心孫主任表示，在實行等級保護過程中，風險評估的作用至關重要，這次之所以順利通過等級測評，就是前期的風險評估工作扎實到位，使得信息安全建設有的放矢。

原文出自【比特網】，轉載請保留原文鏈接：http://sec.chinabyte.com/136/12125636.shtml

第二篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統要求，藍色字體為第三級系統等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(三級明確要求)；電子門禁系統有驗收文檔或產品安全認證資質，電子門禁系統運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監控報警系統；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統的運行記錄、定期檢查和維護記錄；

7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告；機房監控報警系統的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統；自動消防系統的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節設施；溫濕度自動調節設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統（如備用發電機）；備用供電系統運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規程，如系統維護手冊和用戶操作規程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發布制度具有統一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發登記記錄，收發應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）----安全管理制度應注明發布范圍，并對收發文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位（分工明確，各司其職），數量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統活動進行審批（如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯單位聯系列表）

12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統進行安全檢查（查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協議（協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監督等）

13、應具有外部人員訪問重要區域的書面申請

14、應具有外部人員訪問重要區域的登記記錄（記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等）

五、系統建設管理

1、應明確信息系統的邊界和安全保護等級（具有定級文檔，明確信息系統安全保護等級）

2、應具有系統建設/整改方案

3、應授權專門的部門對信息系統的安全建設進行總體規劃，由何部門/何人負責

4、應具有系統的安全建設工作計劃（系統安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規定進行采購和使用系統信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據資產的重要程度對資產進行標識

8、介質存放于何種環境中，應對存放環境實施專人管理（介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數據進行凈化處理。（對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環境是否與本地環境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監控主機、網絡設備和應用系統的運行狀況等

19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警

20、應具有日常運維的監控日志記錄和運維交接日志記錄

21、應定期對監控記錄進行分析、評審

22、應具有異?，F象的現場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網絡安全管理工作

25、應對網絡設備進行過升級，更新前應對現有的重要文件是否進行備份（網絡設備運維維護工作記錄）

26、應對網絡進行過漏洞掃描，并對發現的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網絡設備配置數據的離線備份）

28、系統網絡的外聯種類（互聯網、合作伙伴企業網、上級部門網絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規聯網的行為。

29、對便攜式和移動式設備的網絡接入應進行限制管理

30、應具有內部網絡外聯的授權批準書，應具有網絡違規行為（如撥號上網等）的檢查手段和工具。

31、在安裝系統補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統補丁安裝操作記錄

33、應對系統管理員用戶進行分類（比如：劃分不同的管理角色，系統管理權限與安全審計權限分離等）

34、審計員應定期對系統審計日志進行分析（有定期對系統運行日志和審計數據的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統的變更申請書，應具有主管領導的批準

42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統（備份文件記錄）

43、應定期執行恢復程序，檢查和測試備份介質的有效性

44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執行所需資金應做過預算并能夠落實。

48、應對系統相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第三篇：信息安全等級保護測評

TopSec可信等級體系 天融信等級保護方案

Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網

1.等級保護概述

1.1為什么要實行等級保護？

信息系統與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統進行分級、分區域、分階段進行保護，這是做好國家信息安全的必要條件。

1.2等級保護的政策文件

信息安全等級保護工作非常重要，為此從2003年開始國家發布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發《關于加強信息安全保障工作的意見》（中辦發[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰略目標為經過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。

2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉發《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。

2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。

2006年1月，四部委會簽《關于印發《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。

1.3 等級保護的管理結構－北京為例

等級保護的實施和落實離不開各級管理機構的指導和監督，這在等級保護的相關文件中已經得到了規定，下面以北京市為例來說明管理機構的組成和職責，具體如下圖所示：

1.4等級保護理論的技術演進

在等級保護理論被提出以后，經過相關部門的努力工作，逐漸提出了一系列原則、技術和框架，已經具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：

1.5等級保護的基本需求

一個機構要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：

（1）政策要求－符合等級保護的要求。系統符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。

（2）實際需求－適應客戶實際情況。適應業務特性與安全要求的差異性，可工程化實施。

1.6基本安全要求的結構

對系統進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術要求和管理要求，技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全，在管理要求中又分為安全管理機構、安全管理制度等5項，具體如下圖所示：

2.等級保護實施中的困難與出路

由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統，否則：

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵要求指標超出《基本要求》規定

針對上述問題，在下面幾小節分別給出了堅決辦法。

2.1安全體系設計方法

需求分析－1

問題1：標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

需求：從組織整體出發，綜合考核所有系統

方法：引入體系設計方法

2.2保護對象框架設計方法

需求分析－2

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

需求：準確地進行大系統的分解和描述，反映實際特性和差異性安全要求

方法：引入保護對象框架設計方法

保護對象框架－政府行業

保護對象框架－電信行業

保護對象框架－銀行業

2.3安全平臺的設計與建設方法

需求分析－3

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

需求：統一規劃，集中建設，避免重復和分散，降低成本，提高建設水平

方法：引入安全平臺的設計與建設方法

平臺定義：為系統提供互操作性及其服務的環境

2.4建立安全運行體系

需求分析－4

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

需求：建立長效機制，建立可持續運行、發展和完善的體系

方法：建立安全運行體系

2.5安全運維工作過程

需求分析－5

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動化的安全管理工具

方法：TSM安全管理平臺

2.6 TNA可信網絡架構模型

需求分析－6

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵指標超出《基本要求》規定

需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標

方法：引入可信計算的理念，提供可信網絡架構

3.總體解決方案－TopSec可信等級體系

按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：

遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。

實施后狀態：一套持續運行、涵蓋所有安全內容的安全保障體系，是企業或組織安全工作所追求的最終目標

特質：

等級化：突出重點，節省成本，滿足不同行業、不同發展階段、不同層次的要求

整體性：結構化，內容全面，可持續發展和完善，持續運行

針對性：針對實際情況，符合業務特性和發展戰略

3.1可信等級體系設計方法

3.2信息安全保障體系總體框架

3.3體系設計的成果

安全組織體系

安全策略體系

安全技術體系

安全運行體系

3.4安全體系的實現

4.成功案例

某國有大型企業已經采用了我們的可信等級體系，取得了良好的效果。

第四篇：信息安全等級保護工作計劃

篇一：信息安全等級保護工作實施方案 白魯礎九年制學校

信息安全等級保護工作實施方案

為加強信息安全等級保護，規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進我校信息化建設。根據商教發【2011】321號文件精神，結合我校實際，制訂本實施方案。

一、指導思想

以科學發展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我?；A信息網絡和重要信息系統安全穩定運行。

二、定級范圍

學校管理、辦公系統、教育教學系統、財務管理等重要信息系統以及其他重要信息系統。

三、組織領導

（一）工作分工。定級工作由電教組牽頭，會同學校辦公室、安全保衛處等共同組織實施。學校辦公室負責定級工作的部門間協調。安全保衛處負責定級工作的監督。

電教組負責定級工作的檢查、指導、評審。

各部門依據《信息安全等級保護管理辦法》和本方案要求，開展信息系統自評工作。

（二）協調領導機制。

1、成立領導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領導、協調工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監督，指導安全保密方案制定。

2、成立由電教組牽頭的工作機構，主要職責：在領導小組的領導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統運營使用部門參加信息系統安全等級保護定級相關會議；組織開展政策和技術培訓，掌握定級工作規范和技術要求，為定級工作打好基礎；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協調解決，形成定級工作總結并按時上報領導小組。

3、成立由赴省參加過計算機培訓的教師組成的評審組，主要負責：一是為我校信息與網絡安全提供技術支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網絡安全突發公共事件的分析研判和為領導決策提供依據。

四、主要內容、工作步驟

（一）開展信息系統基本情況的摸底調查。各部門要組織開展對所屬信息系統的摸底調查，全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況，按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。

（三）評審。初步確定信息系統安全保護等級后，上報學校信息系統安全等級保護評審組進行評審。

（四）備案。根據《信息安全等級保護管理辦法》，信息系統安全保護等級為第二級以上的信息系統統一由電教組負責備案工作。

五、定級工作要求

（一）加強領導，落實保障。各部門要落實責任，并于12月15日前將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》上報九年制學校。

（二）加強培訓，嚴格定級。為切實落實評審工作，保證定級準確，備案及時，全面提高我?；A信息網絡和重要信息系統的信息安全保護能力和水平，保證定級工作順利進行，各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統單位信息分級培訓材料》、《信息系統安全保護等級定級指南（國標）》、《信息系統安全等級保護基本要求（報批）》、《信息系統安全等級保護實施指南（報批）》等材料。

（三）積極配合、認真整改。各部門要認真按照評級要求，組織開展等級保護工作，切實做好重要信息系統的安全等級保護。

（四）自查自糾、完善制度。此次定級工作完成后，請各部門按照《信息安全等級保護管理辦法》和有關技術標準，依據系統所定保護等級的要求，定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查，并不斷完善安全管理制度，今后，若信息系統備案資料發生變化，應及時進行變更備案篇二：醫院信息系統安全等級保護工作實施方案 醫院信息系統安全等級 保護工作實施方案

醫院信息系統是醫療服務的重要支撐體系。為確保我院信息系統安全可靠運行，根據公安部等四部、局、辦印發的《關于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》衛辦綜函【2011】1126號、衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的通知 衛辦發【2011】85號和省市有關文件精神，并結合我院信息化建設的工作實際，特制定《德江縣民族中醫院信息系統安全等級保護工作實施方案》確保我院信息系統安全。

一、組織領導 組 長： 副組長： 組 員：

領導小組辦公室設在xx科，由xx同志兼任主任，xx等同志負責具體工作。

二、工作任務

1、做好系統定級工作。定級系統包括基礎支撐系統，面向患者服務信息系統，內部行政管理信息系統、網絡直報系統及門戶網站，定級方法由市衛生局統一與市公安局等信息安全相關部門協商。

2、做好系統備案工作。按照市衛生系統信息安全等級保護劃分定級要求，對信息系統進行定級后，將本單位《信息系統安全等級保護備案表》《信息系統定級報告》和備案電子數據報衛生局，由衛生局報屬地公安機關辦理備案手續。

3、做好系統等級測評工作。完成定級備案后，選擇市衛生局推薦的等級測評機構，對已確定安全保護等級信息系統，按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準開展等級測評，信息系統測評后，及時將測評機構出具的《信息系統等級測評報告》向屬地公安機關報備。

4、完善等級保護體系建設做好整改工作。按照測評報告評測結果，對照《信息系統安全等級保護基本要求》（gb/t22239-2008）等有關標準，結合醫院工作實際，組織開展等級保護安全建設整改工作，具體要求如下：

三、工作要求

1、建立安全管理組織機構。成立信息安全工作組，網絡辦負責人為安全責任人，擬定實施醫院信息系統安全等級保護的具體方案，并制定相應的崗位責任制，確保信息安全等級保護工作順利實施。

2、建立健全信息系統安全管理制度。根據信息安全等級保護的要求，制定各項信息系統安全管理制度，對安全管理人員或操作人員執行的重要管理操作建立操作規程和執行記錄文檔。

3、制定保障醫療活動不中斷的應急預案。應急預案是安全等級保護的重要組成部分，按可能出現問題的不同情形制定相應的應急措施，在系統出現故障和意外且無法短時間恢復的情況下能確保醫療活動持續進行。

4、嚴格執行安全事故報告和處置管理制度。醫院信息系統所有使用或管理人員均有責任發現和報告信息安全可疑事件，應視情況及時以口頭或書面的形式報告院網絡辦。對重大信息網絡安全事件、安全事故和計算機違法犯罪案件，應在24小時內向公安機關報告，并保護好現場。篇三：2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報

一、加強領導

二、完善制度

為貫徹落實全市加強和改進互聯網建設與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》（揚辦發[2012]57號）文件精神，對集團信息系統安全等級保護工作做出了具體的要求，根據等級保護要求，開展了信息安全制度的前期完善工作。陸續制定了“增加揚州網一些網站新聞發布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。

三、信息等級安全保護基本情況

目前，集團已有揚州網、揚州晚報網、揚州汽車網、藝術在線網和多個內部信息系統根據等級保護的要求進行了整改優化，積極加強信息系統安全環境建設，消除安全管理中的薄弱環節。在物理安全方面，機房安裝門禁系統，嚴格管理機房人員進出，消防設施完善，所有設備通過ups供電。關鍵網絡設備和服務器做到有主有備，確保在發生物理故障時可以及時更換。

在網絡安全方面，我們嚴格按照內、外網物理隔離的標準建設網絡系統，并采用虛擬局域網技術，通過交換機端口的ip綁定，防止非法網絡接入；在網絡出口以及不同網絡互聯邊界全面部署硬件防火墻，部署日志服務器，記錄并留存使用互聯網和內部網絡地址對應關系； 在集團互聯網出口部署網絡行為管理系統，規范和記錄上網行為，合理控制不同應用的網絡流量，實現網絡帶寬動態分配，保障了信息系統正常應用的網絡環境。

在主機安全方面，終端計算機采用雙硬盤及物理隔離互聯網及內網應用，通過部署趨勢網絡防毒墻網絡版，安裝聯軟安全管理軟件保障客戶機系統安全，并且做到漏洞補丁及時更新，重要的應用系統安裝了計算機監控與審計系統，實現對主機的usb等外設接口的控制管理，采用key用戶名密碼等方式控制用戶登陸行為。

對于應用安全，嚴格做好系統安全測試，配備了專門的漏洞 掃描儀定期掃描應用系統漏洞，并按測試結果做好安全修復和加固工作；在網站區，部屬入侵防御系統，監測、記錄安全事件，及時阻斷入侵行為，自部署起已多次成功檢測出sql注入，ftp匿名登錄，網站目錄遍歷，探測主機地址漏洞等。

在數據安全方面，數據庫通過備份系統定期備份，關鍵數據庫服務器采用雙機熱備份，保證數據庫服務器的可用性和高效性，在出現故障時可以快速恢復；數據庫的訪問按不同用戶身份進行嚴格的權限控制。

四、建議

信息系統安全等級保護工作責任重大，技術性強，工作量巨大，集團在該項工作上雖然取得一些進展，但是與市里要求還有相當的差距，在等級保護意識、宣傳力度、技術人才的培養和制度的建立上仍然存在問題。

建議市里加強工作指導，通過多種方式的等級保護技術交流和培訓，提高單位領導及員工的等級保護意識，進一步推進集團的信息系統等級保護工作。

第五篇：信息安全等級保護(二級)

信息安全等級保護(二級)

備注：其中黑色字體為信息安全等級保護第二級系統要求，藍色字體為第三級系統等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(三級明確要求)；電子門禁系統有驗收文檔或產品安全認證資質，電子門禁系統運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監控報警系統；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統的運行記錄、定期檢查和維護記錄；

7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告；機房監控報警系統的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統；自動消防系統的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節設施；溫濕度自動調節設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統（如備用發電機）；備用供電系統運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規程，如系統維護手冊和用戶操作規程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發布制度具有統一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發登記記錄，收發應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）----安全管理制度應注明發布范圍，并對收發文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位（分工明確，各司其職），數量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統活動進行審批（如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯單位聯系列表）

12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統進行安全檢查（查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協議（協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監督等）

13、應具有外部人員訪問重要區域的書面申請

14、應具有外部人員訪問重要區域的登記記錄（記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等）

五、系統建設管理

1、應明確信息系統的邊界和安全保護等級（具有定級文檔，明確信息系統安全保護等級）

2、應具有系統建設/整改方案

3、應授權專門的部門對信息系統的安全建設進行總體規劃，由何部門/何人負責

4、應具有系統的安全建設工作計劃（系統安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規定進行采購和使用系統信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據資產的重要程度對資產進行標識

8、介質存放于何種環境中，應對存放環境實施專人管理（介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數據進行凈化處理。（對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環境是否與本地環境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監控主機、網絡設備和應用系統的運行狀況等

19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警 20、應具有日常運維的監控日志記錄和運維交接日志記錄

21、應定期對監控記錄進行分析、評審

22、應具有異?，F象的現場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網絡安全管理工作

25、應對網絡設備進行過升級，更新前應對現有的重要文件是否進行備份（網絡設備運維維護工作記錄）

26、應對網絡進行過漏洞掃描，并對發現的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網絡設備配置數據的離線備份）

28、系統網絡的外聯種類（互聯網、合作伙伴企業網、上級部門網絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規聯網的行為。

29、對便攜式和移動式設備的網絡接入應進行限制管理

30、應具有內部網絡外聯的授權批準書，應具有網絡違規行為（如撥號上網等）的檢查手段和工具。

31、在安裝系統補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統補丁安裝操作記錄

33、應對系統管理員用戶進行分類（比如：劃分不同的管理角色，系統管理權限與安全審計權限分離等）

34、審計員應定期對系統審計日志進行分析（有定期對系統運行日志和審計數據的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統的變更申請書，應具有主管領導的批準

42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統（備份文件記錄）

43、應定期執行恢復程序，檢查和測試備份介質的有效性

44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執行所需資金應做過預算并能夠落實。

48、應對系統相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。