第一篇：信息安全等級保護工作檢查總結材料

南京林業大學

信息安全等級保護工作檢查總結材料

一、部署和組織實施情況

為加強我校信息系統等級保護工作的組織領導，扎實推進信息系統等級保護工作開展，預防和杜絕信息系統安全事件發生，確保信息系統安全，我校成立了網絡與信息安全工作領導小組，并組織相關專業技術力量，全面負責信息系統安全管理工作。2011年6月份信息（網絡）中心召開多次會議，學習、討論《信息系統安全等級保護定級指南》等相關文件，組織開展我校信息安全等級保護工作，由各個信息系統的使用部門專人完成相應的信息系統定級工作。

二、定級備案情況

我校各個信息系統的定級報告及備案表匯總到信息（網絡）中心，由信息（網絡）中心統一使用專用備案工具生成備案電子數據，共8個信息系統，其中二級信息系統四個，其余的為一級系統，即將上報完成相關備案工作。

三、測評情況

我校信息安全等級保護測評工作已經開展，計劃將在11月份請相關的測評機構來我校完成信息安全等級保護測評，并上報公安機關備案。

四、安全建設整改情況

我校制定了《南京林業大學計算機安全管理辦法》、《南京林業大學網絡安全使用制度》、《南京林業大學網絡與信息安全應急處置工作預案》等管理制度。設置信息安全管理員崗位，負責我校信息安全管理工作。在校園網絡邊界部署了千兆防火墻，并設置了上網行為管理平臺，保存日志審計等。我校每年都有相應的專項建設經費，用于定級保護安全建設。根據即將開展的測評情況，我們將進一步完成信息安全等級保護相關的建設整改工作。

南京林業大學 2011-11-1

第二篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統要求，藍色字體為第三級系統等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(三級明確要求)；電子門禁系統有驗收文檔或產品安全認證資質，電子門禁系統運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監控報警系統；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統的運行記錄、定期檢查和維護記錄；

7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告；機房監控報警系統的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統；自動消防系統的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節設施；溫濕度自動調節設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統（如備用發電機）；備用供電系統運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規程，如系統維護手冊和用戶操作規程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發布制度具有統一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發登記記錄，收發應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）----安全管理制度應注明發布范圍，并對收發文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位（分工明確，各司其職），數量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統活動進行審批（如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯單位聯系列表）

12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統進行安全檢查（查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協議（協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監督等）

13、應具有外部人員訪問重要區域的書面申請

14、應具有外部人員訪問重要區域的登記記錄（記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等）

五、系統建設管理

1、應明確信息系統的邊界和安全保護等級（具有定級文檔，明確信息系統安全保護等級）

2、應具有系統建設/整改方案

3、應授權專門的部門對信息系統的安全建設進行總體規劃，由何部門/何人負責

4、應具有系統的安全建設工作計劃（系統安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規定進行采購和使用系統信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據資產的重要程度對資產進行標識

8、介質存放于何種環境中，應對存放環境實施專人管理（介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數據進行凈化處理。（對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環境是否與本地環境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監控主機、網絡設備和應用系統的運行狀況等

19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警

20、應具有日常運維的監控日志記錄和運維交接日志記錄

21、應定期對監控記錄進行分析、評審

22、應具有異?，F象的現場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網絡安全管理工作

25、應對網絡設備進行過升級，更新前應對現有的重要文件是否進行備份（網絡設備運維維護工作記錄）

26、應對網絡進行過漏洞掃描，并對發現的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網絡設備配置數據的離線備份）

28、系統網絡的外聯種類（互聯網、合作伙伴企業網、上級部門網絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規聯網的行為。

29、對便攜式和移動式設備的網絡接入應進行限制管理

30、應具有內部網絡外聯的授權批準書，應具有網絡違規行為（如撥號上網等）的檢查手段和工具。

31、在安裝系統補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統補丁安裝操作記錄

33、應對系統管理員用戶進行分類（比如：劃分不同的管理角色，系統管理權限與安全審計權限分離等）

34、審計員應定期對系統審計日志進行分析（有定期對系統運行日志和審計數據的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統的變更申請書，應具有主管領導的批準

42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統（備份文件記錄）

43、應定期執行恢復程序，檢查和測試備份介質的有效性

44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執行所需資金應做過預算并能夠落實。

48、應對系統相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。

第三篇：信息安全等級保護工作計劃

篇一：信息安全等級保護工作實施方案 白魯礎九年制學校

信息安全等級保護工作實施方案

為加強信息安全等級保護，規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進我校信息化建設。根據商教發【2011】321號文件精神，結合我校實際，制訂本實施方案。

一、指導思想

以科學發展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我校基礎信息網絡和重要信息系統安全穩定運行。

二、定級范圍

學校管理、辦公系統、教育教學系統、財務管理等重要信息系統以及其他重要信息系統。

三、組織領導

（一）工作分工。定級工作由電教組牽頭，會同學校辦公室、安全保衛處等共同組織實施。學校辦公室負責定級工作的部門間協調。安全保衛處負責定級工作的監督。

電教組負責定級工作的檢查、指導、評審。

各部門依據《信息安全等級保護管理辦法》和本方案要求，開展信息系統自評工作。

（二）協調領導機制。

1、成立領導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領導、協調工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監督，指導安全保密方案制定。

2、成立由電教組牽頭的工作機構，主要職責：在領導小組的領導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統運營使用部門參加信息系統安全等級保護定級相關會議；組織開展政策和技術培訓，掌握定級工作規范和技術要求，為定級工作打好基礎；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協調解決，形成定級工作總結并按時上報領導小組。

3、成立由赴省參加過計算機培訓的教師組成的評審組，主要負責：一是為我校信息與網絡安全提供技術支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網絡安全突發公共事件的分析研判和為領導決策提供依據。

四、主要內容、工作步驟

（一）開展信息系統基本情況的摸底調查。各部門要組織開展對所屬信息系統的摸底調查，全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況，按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。

（三）評審。初步確定信息系統安全保護等級后，上報學校信息系統安全等級保護評審組進行評審。

（四）備案。根據《信息安全等級保護管理辦法》，信息系統安全保護等級為第二級以上的信息系統統一由電教組負責備案工作。

五、定級工作要求

（一）加強領導，落實保障。各部門要落實責任，并于12月15日前將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》上報九年制學校。

（二）加強培訓，嚴格定級。為切實落實評審工作，保證定級準確，備案及時，全面提高我校基礎信息網絡和重要信息系統的信息安全保護能力和水平，保證定級工作順利進行，各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統單位信息分級培訓材料》、《信息系統安全保護等級定級指南（國標）》、《信息系統安全等級保護基本要求（報批）》、《信息系統安全等級保護實施指南（報批）》等材料。

（三）積極配合、認真整改。各部門要認真按照評級要求，組織開展等級保護工作，切實做好重要信息系統的安全等級保護。

（四）自查自糾、完善制度。此次定級工作完成后，請各部門按照《信息安全等級保護管理辦法》和有關技術標準，依據系統所定保護等級的要求，定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查，并不斷完善安全管理制度，今后，若信息系統備案資料發生變化，應及時進行變更備案篇二：醫院信息系統安全等級保護工作實施方案 醫院信息系統安全等級 保護工作實施方案

醫院信息系統是醫療服務的重要支撐體系。為確保我院信息系統安全可靠運行，根據公安部等四部、局、辦印發的《關于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》衛辦綜函【2011】1126號、衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的通知 衛辦發【2011】85號和省市有關文件精神，并結合我院信息化建設的工作實際，特制定《德江縣民族中醫院信息系統安全等級保護工作實施方案》確保我院信息系統安全。

一、組織領導 組 長： 副組長： 組 員：

領導小組辦公室設在xx科，由xx同志兼任主任，xx等同志負責具體工作。

二、工作任務

1、做好系統定級工作。定級系統包括基礎支撐系統，面向患者服務信息系統，內部行政管理信息系統、網絡直報系統及門戶網站，定級方法由市衛生局統一與市公安局等信息安全相關部門協商。

2、做好系統備案工作。按照市衛生系統信息安全等級保護劃分定級要求，對信息系統進行定級后，將本單位《信息系統安全等級保護備案表》《信息系統定級報告》和備案電子數據報衛生局，由衛生局報屬地公安機關辦理備案手續。

3、做好系統等級測評工作。完成定級備案后，選擇市衛生局推薦的等級測評機構，對已確定安全保護等級信息系統，按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準開展等級測評，信息系統測評后，及時將測評機構出具的《信息系統等級測評報告》向屬地公安機關報備。

4、完善等級保護體系建設做好整改工作。按照測評報告評測結果，對照《信息系統安全等級保護基本要求》（gb/t22239-2008）等有關標準，結合醫院工作實際，組織開展等級保護安全建設整改工作，具體要求如下：

三、工作要求

1、建立安全管理組織機構。成立信息安全工作組，網絡辦負責人為安全責任人，擬定實施醫院信息系統安全等級保護的具體方案，并制定相應的崗位責任制，確保信息安全等級保護工作順利實施。

2、建立健全信息系統安全管理制度。根據信息安全等級保護的要求，制定各項信息系統安全管理制度，對安全管理人員或操作人員執行的重要管理操作建立操作規程和執行記錄文檔。

3、制定保障醫療活動不中斷的應急預案。應急預案是安全等級保護的重要組成部分，按可能出現問題的不同情形制定相應的應急措施，在系統出現故障和意外且無法短時間恢復的情況下能確保醫療活動持續進行。

4、嚴格執行安全事故報告和處置管理制度。醫院信息系統所有使用或管理人員均有責任發現和報告信息安全可疑事件，應視情況及時以口頭或書面的形式報告院網絡辦。對重大信息網絡安全事件、安全事故和計算機違法犯罪案件，應在24小時內向公安機關報告，并保護好現場。篇三：2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報

一、加強領導

二、完善制度

為貫徹落實全市加強和改進互聯網建設與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》（揚辦發[2012]57號）文件精神，對集團信息系統安全等級保護工作做出了具體的要求，根據等級保護要求，開展了信息安全制度的前期完善工作。陸續制定了“增加揚州網一些網站新聞發布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。

三、信息等級安全保護基本情況

目前，集團已有揚州網、揚州晚報網、揚州汽車網、藝術在線網和多個內部信息系統根據等級保護的要求進行了整改優化，積極加強信息系統安全環境建設，消除安全管理中的薄弱環節。在物理安全方面，機房安裝門禁系統，嚴格管理機房人員進出，消防設施完善，所有設備通過ups供電。關鍵網絡設備和服務器做到有主有備，確保在發生物理故障時可以及時更換。

在網絡安全方面，我們嚴格按照內、外網物理隔離的標準建設網絡系統，并采用虛擬局域網技術，通過交換機端口的ip綁定，防止非法網絡接入；在網絡出口以及不同網絡互聯邊界全面部署硬件防火墻，部署日志服務器，記錄并留存使用互聯網和內部網絡地址對應關系； 在集團互聯網出口部署網絡行為管理系統，規范和記錄上網行為，合理控制不同應用的網絡流量，實現網絡帶寬動態分配，保障了信息系統正常應用的網絡環境。

在主機安全方面，終端計算機采用雙硬盤及物理隔離互聯網及內網應用，通過部署趨勢網絡防毒墻網絡版，安裝聯軟安全管理軟件保障客戶機系統安全，并且做到漏洞補丁及時更新，重要的應用系統安裝了計算機監控與審計系統，實現對主機的usb等外設接口的控制管理，采用key用戶名密碼等方式控制用戶登陸行為。

對于應用安全，嚴格做好系統安全測試，配備了專門的漏洞 掃描儀定期掃描應用系統漏洞，并按測試結果做好安全修復和加固工作；在網站區，部屬入侵防御系統，監測、記錄安全事件，及時阻斷入侵行為，自部署起已多次成功檢測出sql注入，ftp匿名登錄，網站目錄遍歷，探測主機地址漏洞等。

在數據安全方面，數據庫通過備份系統定期備份，關鍵數據庫服務器采用雙機熱備份，保證數據庫服務器的可用性和高效性，在出現故障時可以快速恢復；數據庫的訪問按不同用戶身份進行嚴格的權限控制。

四、建議

信息系統安全等級保護工作責任重大，技術性強，工作量巨大，集團在該項工作上雖然取得一些進展，但是與市里要求還有相當的差距，在等級保護意識、宣傳力度、技術人才的培養和制度的建立上仍然存在問題。

建議市里加強工作指導，通過多種方式的等級保護技術交流和培訓，提高單位領導及員工的等級保護意識，進一步推進集團的信息系統等級保護工作。

第四篇：淺談信息安全等級保護問題

淺談信息安全等級保護問題 當今，我國關于實現信息安全的一項重要的舉措就是信息系統安全等級保護。嚴格按照等級保護的規定，建設安全的信息系統成為了目前面臨的主要問題。本文主要介紹了信息安全等級的劃分以及如何對具體的信息系統實施安全等級保護措施的方法。

隨著現在高科技的快速發展以及當前社會對信息系統需求的不斷增加，信息系統的規模也在日益擴大，它的諸多應用都給社會創造了巨大的財富，與此同時，信息系統也成為了威脅、攻擊以及破壞的對象。由于信息在網絡上的存儲、傳輸和共享等過程的非法利用，導致目前如何確保信息系統的安全性就成為了我們現階段亟待解決的重點問題。當前，我們正在有計劃的開展信息安全等級保護制度實施工作。為了確保計算機信息系統的安全，一定要系統地、深入地研究和學習信息系統安全技術和等級保護方法。

1、信息安全等級保護

2003年，中辦、國辦轉發 國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003327號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

信息系統的安全保護等級分為五級：第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護級。完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。該級別是系統審計保護級。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。該級別是安全標記保護級。除具有第二級系統審計保護級的所有功能外，它還要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監督 審計。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。該級別是結構化保護級。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。該級別是訪問驗證保護級。這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能，負責管理訪問者對訪問對象的所有訪問活動，管理訪問者能否訪問某些對象從而對訪問對象實行專控，保護信息不能被非授權獲取。

2、信息安全等級劃分

2．1按相關政策規定劃分安全保護等級

對于我國中央和國家各級機關、國家重點科研部門機構、國防建設部門等需要對信息系統施行特殊隔離和保護的單位機關，均應按照相關政策、相關法律法規，實施安全等級保護。

2．2按照保護數據的價值劃分保護等級

不同類別的數據信息需要實施不同安全等級的保護，這樣不僅能使信息系統中的數據信息的安全得到應有的保證，而且又能縮減一部分不必要的開銷。

3、信息安全等級保護具體方法

信息系統安全等級劃分的最優的選擇是全方位劃分等級，其最基本的思想為重點保護和適度保護。在此基礎上，投入合理的安全投入，運用以下兩點信息安全等級保護方法，努力使信息系統得到應有的安全保護。

3．1全系統的同一安全等級的安全保護

全系統同一安全等級安全保護：在一個需要進行安全等級保護的信息系統中，在組成系統的任何部分，所存儲、傳輸和處理的全部數據信息，都需進行相同的安全保護等級的保護措施。

當有這樣要求，規定所要保護的數據信息，不管處于系統中任何位置，進行任何形式的數據處理都需采取相同安全保護等級是，都應嚴格按照全系統同一安全等級安全保護方法開展系統安全性設計，設計出要求所需的安全機制。

3．2分系統不同安全等級安全保護

所謂分系統不同安全等級安全保護：在一個需要進行安全等級保護的計算機信息系統中，其中所存儲、傳輸和處理的全部數據信息，應該按照信息在組成計算機信息系統的每個分系統中的不同保護要求的原則，對其實施不同安全保護等級的安全保護。

3．3虛擬系統不同安全等級安全保護

絡信息安全進行控制。具體的實施措施可以使用路由器對外界進行控制，將路由器作為網關的局域網上的諸?~llnternet等網絡服務的信息流量，也可以通過對系統文件權限的設置來確認訪問是否合法，以此來保證計算機網絡信息的安全。

3．4計算機網絡病毒的防范技術

計算機病毒是威脅計算機網絡安全的重大因素，因此應該對常見的計算機病毒知識進行熟練地掌握，對其基本的防治技術手段有一定的了解，能夠在發現病毒的第一時間里對其進行及時的處理，將危害降到最低。對于計算機病毒的防范可以采用以下一些技術手段，可以通過加密執行程序，引導區保護、系統監控和讀寫控制等手段，對系統中是否有病毒進行監督判斷，進而阻止病毒侵人計算機系統。

3.5漏洞掃描及修復技術

計算機系統中的漏洞是計算機網絡安全中存在的極大隱患，因此，要定期對計算機進行全方位的系統漏洞掃描，以確認當前的計算機系統中是否存在著系統漏洞。一旦發現計算機中存在系統漏洞，要及時的對其進行修復，避免被黑客等不放法子利用。漏洞的修復分兩種，有的漏洞系統自身可以進行恢復，而有一部分漏洞則需要手動進行修復。

4、結語

在當前通信與信息產業高速發展的形勢下，計算機網絡安全技術的研究與應用也應該與時俱進，不斷地研究探討更加優化的計算機網絡防范技術，將其應用到計算機網絡系統的運行中，減少計算機網絡使用的安全風險。實現安全的進行信息交流，資源共享的目的，使計算機網絡系統更好的為人們的生活工作服務。

第五篇：信息安全等級保護(二級)

信息安全等級保護(二級)

備注：其中黑色字體為信息安全等級保護第二級系統要求，藍色字體為第三級系統等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(三級明確要求)；電子門禁系統有驗收文檔或產品安全認證資質，電子門禁系統運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監控報警系統；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統的運行記錄、定期檢查和維護記錄；

7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告；機房監控報警系統的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統；自動消防系統的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節設施；溫濕度自動調節設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統（如備用發電機）；備用供電系統運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規程，如系統維護手冊和用戶操作規程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發布制度具有統一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發登記記錄，收發應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）----安全管理制度應注明發布范圍，并對收發文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位（分工明確，各司其職），數量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統活動進行審批（如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯單位聯系列表）

12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統進行安全檢查（查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協議（協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監督等）

13、應具有外部人員訪問重要區域的書面申請

14、應具有外部人員訪問重要區域的登記記錄（記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等）

五、系統建設管理

1、應明確信息系統的邊界和安全保護等級（具有定級文檔，明確信息系統安全保護等級）

2、應具有系統建設/整改方案

3、應授權專門的部門對信息系統的安全建設進行總體規劃，由何部門/何人負責

4、應具有系統的安全建設工作計劃（系統安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規定進行采購和使用系統信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據資產的重要程度對資產進行標識

8、介質存放于何種環境中，應對存放環境實施專人管理（介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數據進行凈化處理。（對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環境是否與本地環境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監控主機、網絡設備和應用系統的運行狀況等

19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警 20、應具有日常運維的監控日志記錄和運維交接日志記錄

21、應定期對監控記錄進行分析、評審

22、應具有異?，F象的現場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網絡安全管理工作

25、應對網絡設備進行過升級，更新前應對現有的重要文件是否進行備份（網絡設備運維維護工作記錄）

26、應對網絡進行過漏洞掃描，并對發現的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網絡設備配置數據的離線備份）

28、系統網絡的外聯種類（互聯網、合作伙伴企業網、上級部門網絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規聯網的行為。

29、對便攜式和移動式設備的網絡接入應進行限制管理

30、應具有內部網絡外聯的授權批準書，應具有網絡違規行為（如撥號上網等）的檢查手段和工具。

31、在安裝系統補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統補丁安裝操作記錄

33、應對系統管理員用戶進行分類（比如：劃分不同的管理角色，系統管理權限與安全審計權限分離等）

34、審計員應定期對系統審計日志進行分析（有定期對系統運行日志和審計數據的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統的變更申請書，應具有主管領導的批準

42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統（備份文件記錄）

43、應定期執行恢復程序，檢查和測試備份介質的有效性

44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執行所需資金應做過預算并能夠落實。

48、應對系統相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。