第一篇:信息安全等級保護工作計劃
篇一:信息安全等級保護工作實施方案 白魯?shù)A九年制學(xué)校
信息安全等級保護工作實施方案
為加強信息安全等級保護,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號文件精神,結(jié)合我校實際,制訂本實施方案。
一、指導(dǎo)思想
以科學(xué)發(fā)展觀為指導(dǎo),以黨的十七大、十七屆五中全會精神為指針,深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神,全面推進信息安全等級保護工作,維護我校基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運行。
二、定級范圍
學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。
三、組織領(lǐng)導(dǎo)
(一)工作分工。定級工作由電教組牽頭,會同學(xué)校辦公室、安全保衛(wèi)處等共同組織實施。學(xué)校辦公室負責定級工作的部門間協(xié)調(diào)。安全保衛(wèi)處負責定級工作的監(jiān)督。
電教組負責定級工作的檢查、指導(dǎo)、評審。
各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求,開展信息系統(tǒng)自評工作。
(二)協(xié)調(diào)領(lǐng)導(dǎo)機制。
1、成立領(lǐng)導(dǎo)小組,校長任組長,副校長任副組長、各部門負責人為成員,負責我校信息安全等級保護工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門按照總體方案落實工作任務(wù)和責任,對等級保護工作整體推進情況進行檢查監(jiān)督,指導(dǎo)安全保密方案制定。
2、成立由電教組牽頭的工作機構(gòu),主要職責:在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下,切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關(guān)會議;組織開展政策和技術(shù)培訓(xùn),掌握定級工作規(guī)范和技術(shù)要求,為定級工作打好基礎(chǔ);全面掌握學(xué)校各部門定級保護工作的進展情況和存在的問題,對存在的問題及時協(xié)調(diào)解決,形成定級工作總結(jié)并按時上報領(lǐng)導(dǎo)小組。
3、成立由赴省參加過計算機培訓(xùn)的教師組成的評審組,主要負責:一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢;二是參與信息安全等級保護定級評審工作;三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。
四、主要內(nèi)容、工作步驟
(一)開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況,按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求,確定定級對象。
(二)初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標準執(zhí)行。
(三)評審。初步確定信息系統(tǒng)安全保護等級后,上報學(xué)校信息系統(tǒng)安全等級保護評審組進行評審。
(四)備案。根據(jù)《信息安全等級保護管理辦法》,信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責備案工作。
五、定級工作要求
(一)加強領(lǐng)導(dǎo),落實保障。各部門要落實責任,并于12月15日前將《信息系統(tǒng)安全等級保護備案表》、《信息系統(tǒng)安全等級保護定級報告》上報九年制學(xué)校。
(二)加強培訓(xùn),嚴格定級。為切實落實評審工作,保證定級準確,備案及時,全面提高我校基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護能力和水平,保證定級工作順利進行,各部門要認真學(xué)習(xí)《信息安全等級保護管理辦法》、《文保處教育系統(tǒng)單位信息分級培訓(xùn)材料》、《信息系統(tǒng)安全保護等級定級指南(國標)》、《信息系統(tǒng)安全等級保護基本要求(報批)》、《信息系統(tǒng)安全等級保護實施指南(報批)》等材料。
(三)積極配合、認真整改。各部門要認真按照評級要求,組織開展等級保護工作,切實做好重要信息系統(tǒng)的安全等級保護。
(四)自查自糾、完善制度。此次定級工作完成后,請各部門按照《信息安全等級保護管理辦法》和有關(guān)技術(shù)標準,依據(jù)系統(tǒng)所定保護等級的要求,定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查,并不斷完善安全管理制度,今后,若信息系統(tǒng)備案資料發(fā)生變化,應(yīng)及時進行變更備案篇二:醫(yī)院信息系統(tǒng)安全等級保護工作實施方案 醫(yī)院信息系統(tǒng)安全等級 保護工作實施方案
醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系。為確保我院信息系統(tǒng)安全可靠運行,根據(jù)公安部等四部、局、辦印發(fā)的《關(guān)于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》衛(wèi)辦綜函【2011】1126號、衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》的通知 衛(wèi)辦發(fā)【2011】85號和省市有關(guān)文件精神,并結(jié)合我院信息化建設(shè)的工作實際,特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級保護工作實施方案》確保我院信息系統(tǒng)安全。
一、組織領(lǐng)導(dǎo) 組 長: 副組長: 組 員:
領(lǐng)導(dǎo)小組辦公室設(shè)在xx科,由xx同志兼任主任,xx等同志負責具體工作。
二、工作任務(wù)
1、做好系統(tǒng)定級工作。定級系統(tǒng)包括基礎(chǔ)支撐系統(tǒng),面向患者服務(wù)信息系統(tǒng),內(nèi)部行政管理信息系統(tǒng)、網(wǎng)絡(luò)直報系統(tǒng)及門戶網(wǎng)站,定級方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關(guān)部門協(xié)商。
2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護劃分定級要求,對信息系統(tǒng)進行定級后,將本單位《信息系統(tǒng)安全等級保護備案表》《信息系統(tǒng)定級報告》和備案電子數(shù)據(jù)報衛(wèi)生局,由衛(wèi)生局報屬地公安機關(guān)辦理備案手續(xù)。
3、做好系統(tǒng)等級測評工作。完成定級備案后,選擇市衛(wèi)生局推薦的等級測評機構(gòu),對已確定安全保護等級信息系統(tǒng),按照國家信息安全等級保護工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等國家標準開展等級測評,信息系統(tǒng)測評后,及時將測評機構(gòu)出具的《信息系統(tǒng)等級測評報告》向?qū)俚毓矙C關(guān)報備。
4、完善等級保護體系建設(shè)做好整改工作。按照測評報告評測結(jié)果,對照《信息系統(tǒng)安全等級保護基本要求》(gb/t22239-2008)等有關(guān)標準,結(jié)合醫(yī)院工作實際,組織開展等級保護安全建設(shè)整改工作,具體要求如下:
三、工作要求
1、建立安全管理組織機構(gòu)。成立信息安全工作組,網(wǎng)絡(luò)辦負責人為安全責任人,擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案,并制定相應(yīng)的崗位責任制,確保信息安全等級保護工作順利實施。
2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級保護的要求,制定各項信息系統(tǒng)安全管理制度,對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。
3、制定保障醫(yī)療活動不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級保護的重要組成部分,按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施,在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復(fù)的情況下能確保醫(yī)療活動持續(xù)進行。
4、嚴格執(zhí)行安全事故報告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責任發(fā)現(xiàn)和報告信息安全可疑事件,應(yīng)視情況及時以口頭或書面的形式報告院網(wǎng)絡(luò)辦。對重大信息網(wǎng)絡(luò)安全事件、安全事故和計算機違法犯罪案件,應(yīng)在24小時內(nèi)向公安機關(guān)報告,并保護好現(xiàn)場。篇三:2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報
一、加強領(lǐng)導(dǎo)
二、完善制度
為貫徹落實全市加強和改進互聯(lián)網(wǎng)建設(shè)與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》(揚辦發(fā)[2012]57號)文件精神,對集團信息系統(tǒng)安全等級保護工作做出了具體的要求,根據(jù)等級保護要求,開展了信息安全制度的前期完善工作。陸續(xù)制定了“增加揚州網(wǎng)一些網(wǎng)站新聞發(fā)布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。
三、信息等級安全保護基本情況
目前,集團已有揚州網(wǎng)、揚州晚報網(wǎng)、揚州汽車網(wǎng)、藝術(shù)在線網(wǎng)和多個內(nèi)部信息系統(tǒng)根據(jù)等級保護的要求進行了整改優(yōu)化,積極加強信息系統(tǒng)安全環(huán)境建設(shè),消除安全管理中的薄弱環(huán)節(jié)。在物理安全方面,機房安裝門禁系統(tǒng),嚴格管理機房人員進出,消防設(shè)施完善,所有設(shè)備通過ups供電。關(guān)鍵網(wǎng)絡(luò)設(shè)備和服務(wù)器做到有主有備,確保在發(fā)生物理故障時可以及時更換。
在網(wǎng)絡(luò)安全方面,我們嚴格按照內(nèi)、外網(wǎng)物理隔離的標準建設(shè)網(wǎng)絡(luò)系統(tǒng),并采用虛擬局域網(wǎng)技術(shù),通過交換機端口的ip綁定,防止非法網(wǎng)絡(luò)接入;在網(wǎng)絡(luò)出口以及不同網(wǎng)絡(luò)互聯(lián)邊界全面部署硬件防火墻,部署日志服務(wù)器,記錄并留存使用互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)地址對應(yīng)關(guān)系; 在集團互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)行為管理系統(tǒng),規(guī)范和記錄上網(wǎng)行為,合理控制不同應(yīng)用的網(wǎng)絡(luò)流量,實現(xiàn)網(wǎng)絡(luò)帶寬動態(tài)分配,保障了信息系統(tǒng)正常應(yīng)用的網(wǎng)絡(luò)環(huán)境。
在主機安全方面,終端計算機采用雙硬盤及物理隔離互聯(lián)網(wǎng)及內(nèi)網(wǎng)應(yīng)用,通過部署趨勢網(wǎng)絡(luò)防毒墻網(wǎng)絡(luò)版,安裝聯(lián)軟安全管理軟件保障客戶機系統(tǒng)安全,并且做到漏洞補丁及時更新,重要的應(yīng)用系統(tǒng)安裝了計算機監(jiān)控與審計系統(tǒng),實現(xiàn)對主機的usb等外設(shè)接口的控制管理,采用key用戶名密碼等方式控制用戶登陸行為。
對于應(yīng)用安全,嚴格做好系統(tǒng)安全測試,配備了專門的漏洞 掃描儀定期掃描應(yīng)用系統(tǒng)漏洞,并按測試結(jié)果做好安全修復(fù)和加固工作;在網(wǎng)站區(qū),部屬入侵防御系統(tǒng),監(jiān)測、記錄安全事件,及時阻斷入侵行為,自部署起已多次成功檢測出sql注入,ftp匿名登錄,網(wǎng)站目錄遍歷,探測主機地址漏洞等。
在數(shù)據(jù)安全方面,數(shù)據(jù)庫通過備份系統(tǒng)定期備份,關(guān)鍵數(shù)據(jù)庫服務(wù)器采用雙機熱備份,保證數(shù)據(jù)庫服務(wù)器的可用性和高效性,在出現(xiàn)故障時可以快速恢復(fù);數(shù)據(jù)庫的訪問按不同用戶身份進行嚴格的權(quán)限控制。
四、建議
信息系統(tǒng)安全等級保護工作責任重大,技術(shù)性強,工作量巨大,集團在該項工作上雖然取得一些進展,但是與市里要求還有相當?shù)牟罹啵诘燃壉Wo意識、宣傳力度、技術(shù)人才的培養(yǎng)和制度的建立上仍然存在問題。
建議市里加強工作指導(dǎo),通過多種方式的等級保護技術(shù)交流和培訓(xùn),提高單位領(lǐng)導(dǎo)及員工的等級保護意識,進一步推進集團的信息系統(tǒng)等級保護工作。
第二篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統(tǒng)要求,藍色字體為第三級系統(tǒng)等保要求。
一、物理安全
1、應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施)
2、應(yīng)具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求);電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì),電子門禁系統(tǒng)運行和維護記錄
4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標記
5、介質(zhì)有分類標識;介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類存放
6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng);機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告;機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄;
7、應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告;機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄
8、應(yīng)具有機房建筑的避雷裝置;通過驗收或國家有關(guān)部門的技術(shù)檢測;
9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器;具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告
10、應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng);自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄;消防產(chǎn)品有效期合格;自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品
11、應(yīng)具有除濕裝置;空調(diào)機和加濕器;溫濕度定期檢查和維護記錄
12、應(yīng)具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施;溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄
14、應(yīng)具有短期備用電力供應(yīng)設(shè)備(如UPS);短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄
15、應(yīng)具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應(yīng)具有備用供電系統(tǒng)(如備用發(fā)電機);備用供電系統(tǒng)運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應(yīng)具有對重要管理操作的操作規(guī)程,如系統(tǒng)維護手冊和用戶操作規(guī)程
2、應(yīng)具有安全管理制度的制定程序:
3、應(yīng)具有專門的部門或人員負責安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進行版本控制)
4、應(yīng)對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內(nèi)部審核等),應(yīng)具有管理制度評審記錄
5、應(yīng)具有安全管理制度的收發(fā)登記記錄,收發(fā)應(yīng)通過正式、有效的方式(如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等)----安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進行登記。
6、信息安全領(lǐng)導(dǎo)小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查,對需要改進的制度進行修訂。(應(yīng)具有安全管理制度修訂記錄)
三、安全管理機構(gòu)
1、應(yīng)設(shè)立信息安全管理工作的職能部門
2、應(yīng)設(shè)立安全主管、安全管理各個方面的負責人
3、應(yīng)設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對應(yīng)關(guān)系表)
4、安全管理員應(yīng)是專職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組(最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔任)
7、應(yīng)對重要信息系統(tǒng)活動進行審批(如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進行溝通(信息安全領(lǐng)導(dǎo)小組或者安全管理委員會應(yīng)定期召開會議)
9、應(yīng)組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應(yīng)與公安機關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應(yīng)定期進行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術(shù)人員的錄用工作(錄用過程)
2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查,對技術(shù)人員的技術(shù)技能進行考核,技能考核文檔或記錄
3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容)
4、應(yīng)設(shè)定關(guān)鍵崗位,對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應(yīng)及時終止離崗人員的所有訪問權(quán)限(離崗人員所有訪問權(quán)限終止的記錄)
6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應(yīng)辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對各個崗位人員應(yīng)定期進行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識、安全技能等。
9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會關(guān)系等。
10、應(yīng)對各類人員(普通用戶、運維人員、單位領(lǐng)導(dǎo)等)進行安全教育、崗位技能和安全技術(shù)培訓(xùn)。
11、應(yīng)針對不同崗位制定不同的培訓(xùn)計劃,并按照計劃對各個崗位人員進行安全教育和培訓(xùn)(安全教育和培訓(xùn)的結(jié)果記錄,記錄應(yīng)與培訓(xùn)計劃一致)
12、外部人員進入條件(對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監(jiān)督等)
13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請
14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄(記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應(yīng)明確信息系統(tǒng)的邊界和安全保護等級(具有定級文檔,明確信息系統(tǒng)安全保護等級)
2、應(yīng)具有系統(tǒng)建設(shè)/整改方案
3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃,由何部門/何人負責
4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃(系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃)
5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進行調(diào)整和修訂
7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本
8、應(yīng)按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷售許可等,應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品
10、應(yīng)具有專門的部門負責產(chǎn)品的采購
11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計相關(guān)文檔,專人保管軟件設(shè)計的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準
15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔
20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告)
23、應(yīng)具有工程測試驗收方案(測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致)
24、應(yīng)具有測試驗收報告
25、應(yīng)指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶進行系統(tǒng)運維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓(xùn)手冊等文檔。
29、應(yīng)指定部門負責系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責任合同書
11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計相關(guān)文檔,專人保管軟件設(shè)計的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準
15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔
20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告)
23、應(yīng)具有工程測試驗收方案(測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致)
24、應(yīng)具有測試驗收報告
25、應(yīng)指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶進行系統(tǒng)運維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓(xùn)手冊等文檔。
29、應(yīng)指定部門負責系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責任合同書
六、系統(tǒng)運維管理
1、應(yīng)指定專人或部門對機房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進行定期維護,由何部門/何人負責。
2、應(yīng)具有機房基礎(chǔ)設(shè)施的維護記錄,空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄
3、應(yīng)指定部門和人員負責機房安全管理工作
4、應(yīng)對辦公環(huán)境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件)
5、應(yīng)具有資產(chǎn)清單(覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面)
6、應(yīng)指定資產(chǎn)管理的責任部門或人員
7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識
8、介質(zhì)存放于何種環(huán)境中,應(yīng)對存放環(huán)境實施專人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專用存儲空間))
9、應(yīng)具有介質(zhì)使用管理記錄,應(yīng)記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制
11、應(yīng)對介質(zhì)的使用情況進行登記管理,并定期盤點(介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄)
12、對送出維修或銷毀的介質(zhì)如何管理,銷毀前應(yīng)對數(shù)據(jù)進行凈化處理。(對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導(dǎo)批準。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準)(送修記錄、帶出記錄、銷毀記錄)
13、應(yīng)對某些重要介質(zhì)實行異地存儲,異地存儲環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質(zhì)上應(yīng)具有分類的標識或標簽
15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)iT部門進行定期維護。
16、應(yīng)具有設(shè)備操作手冊
17、應(yīng)對帶離機房的信息處理設(shè)備經(jīng)過審批流程,由何人審批(審批記錄)
18、應(yīng)監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等
19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警
20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄
21、應(yīng)定期對監(jiān)控記錄進行分析、評審
22、應(yīng)具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告
23、應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理
24、應(yīng)指定專人負責維護網(wǎng)絡(luò)安全管理工作
25、應(yīng)對網(wǎng)絡(luò)設(shè)備進行過升級,更新前應(yīng)對現(xiàn)有的重要文件是否進行備份(網(wǎng)絡(luò)設(shè)備運維維護工作記錄)
26、應(yīng)對網(wǎng)絡(luò)進行過漏洞掃描,并對發(fā)現(xiàn)的漏洞進行及時修補。
27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則,應(yīng)對配置文件進行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等)應(yīng)都得到授權(quán)與批準,由何人/何部門批準。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進行限制管理
30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準書,應(yīng)具有網(wǎng)絡(luò)違規(guī)行為(如撥號上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試,并對重要文件進行備份。
32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄
33、應(yīng)對系統(tǒng)管理員用戶進行分類(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等)
34、審計員應(yīng)定期對系統(tǒng)審計日志進行分析(有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告)
35、應(yīng)對員工進行基本惡意代碼防范意識的教育,如告知應(yīng)及時升級軟件版本(對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔)
36、應(yīng)指定專人對惡意代碼進行檢測,并保存記錄。
37、應(yīng)具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄
38、應(yīng)對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件,如何處理
39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統(tǒng)的變更申請書,應(yīng)具有主管領(lǐng)導(dǎo)的批準
42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性
44、應(yīng)有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔
45、應(yīng)對安全事件記錄分析文檔
46、應(yīng)具有不同事件的應(yīng)急預(yù)案
47、應(yīng)具有應(yīng)急響應(yīng)小組,應(yīng)具備應(yīng)急設(shè)備并能正常工作,應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。
48、應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)(應(yīng)急預(yù)案培訓(xùn)記錄)
49、應(yīng)定期對應(yīng)急預(yù)案進行演練(應(yīng)急預(yù)案演練記錄)50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新
51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。
第三篇:淺談信息安全等級保護問題
淺談信息安全等級保護問題 當今,我國關(guān)于實現(xiàn)信息安全的一項重要的舉措就是信息系統(tǒng)安全等級保護。嚴格按照等級保護的規(guī)定,建設(shè)安全的信息系統(tǒng)成為了目前面臨的主要問題。本文主要介紹了信息安全等級的劃分以及如何對具體的信息系統(tǒng)實施安全等級保護措施的方法。
隨著現(xiàn)在高科技的快速發(fā)展以及當前社會對信息系統(tǒng)需求的不斷增加,信息系統(tǒng)的規(guī)模也在日益擴大,它的諸多應(yīng)用都給社會創(chuàng)造了巨大的財富,與此同時,信息系統(tǒng)也成為了威脅、攻擊以及破壞的對象。由于信息在網(wǎng)絡(luò)上的存儲、傳輸和共享等過程的非法利用,導(dǎo)致目前如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點問題。當前,我們正在有計劃的開展信息安全等級保護制度實施工作。為了確保計算機信息系統(tǒng)的安全,一定要系統(tǒng)地、深入地研究和學(xué)習(xí)信息系統(tǒng)安全技術(shù)和等級保護方法。
1、信息安全等級保護
2003年,中辦、國辦轉(zhuǎn)發(fā) 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003327號),提出實行信息安全等級保護,建立國家信息安全保障體系的明確要求。信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
信息系統(tǒng)的安全保護等級分為五級:第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護級。完全由用戶自己來決定如何對資源進行保護,以及采用何種方式進行保護。第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。該級別是系統(tǒng)審計保護級。第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。該級別是安全標記保護級。除具有第二級系統(tǒng)審計保護級的所有功能外,它還要求對訪問者和訪問對象實施強制訪問控制,并能夠進行記錄,以便事后的監(jiān)督 審計。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。該級別是結(jié)構(gòu)化保護級。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。該級別是訪問驗證保護級。這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗證功能,負責管理訪問者對訪問對象的所有訪問活動,管理訪問者能否訪問某些對象從而對訪問對象實行專控,保護信息不能被非授權(quán)獲取。
2、信息安全等級劃分
2.1按相關(guān)政策規(guī)定劃分安全保護等級
對于我國中央和國家各級機關(guān)、國家重點科研部門機構(gòu)、國防建設(shè)部門等需要對信息系統(tǒng)施行特殊隔離和保護的單位機關(guān),均應(yīng)按照相關(guān)政策、相關(guān)法律法規(guī),實施安全等級保護。
2.2按照保護數(shù)據(jù)的價值劃分保護等級
不同類別的數(shù)據(jù)信息需要實施不同安全等級的保護,這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應(yīng)有的保證,而且又能縮減一部分不必要的開銷。
3、信息安全等級保護具體方法
信息系統(tǒng)安全等級劃分的最優(yōu)的選擇是全方位劃分等級,其最基本的思想為重點保護和適度保護。在此基礎(chǔ)上,投入合理的安全投入,運用以下兩點信息安全等級保護方法,努力使信息系統(tǒng)得到應(yīng)有的安全保護。
3.1全系統(tǒng)的同一安全等級的安全保護
全系統(tǒng)同一安全等級安全保護:在一個需要進行安全等級保護的信息系統(tǒng)中,在組成系統(tǒng)的任何部分,所存儲、傳輸和處理的全部數(shù)據(jù)信息,都需進行相同的安全保護等級的保護措施。
當有這樣要求,規(guī)定所要保護的數(shù)據(jù)信息,不管處于系統(tǒng)中任何位置,進行任何形式的數(shù)據(jù)處理都需采取相同安全保護等級是,都應(yīng)嚴格按照全系統(tǒng)同一安全等級安全保護方法開展系統(tǒng)安全性設(shè)計,設(shè)計出要求所需的安全機制。
3.2分系統(tǒng)不同安全等級安全保護
所謂分系統(tǒng)不同安全等級安全保護:在一個需要進行安全等級保護的計算機信息系統(tǒng)中,其中所存儲、傳輸和處理的全部數(shù)據(jù)信息,應(yīng)該按照信息在組成計算機信息系統(tǒng)的每個分系統(tǒng)中的不同保護要求的原則,對其實施不同安全保護等級的安全保護。
3.3虛擬系統(tǒng)不同安全等級安全保護
絡(luò)信息安全進行控制。具體的實施措施可以使用路由器對外界進行控制,將路由器作為網(wǎng)關(guān)的局域網(wǎng)上的諸?~llnternet等網(wǎng)絡(luò)服務(wù)的信息流量,也可以通過對系統(tǒng)文件權(quán)限的設(shè)置來確認訪問是否合法,以此來保證計算機網(wǎng)絡(luò)信息的安全。
3.4計算機網(wǎng)絡(luò)病毒的防范技術(shù)
計算機病毒是威脅計算機網(wǎng)絡(luò)安全的重大因素,因此應(yīng)該對常見的計算機病毒知識進行熟練地掌握,對其基本的防治技術(shù)手段有一定的了解,能夠在發(fā)現(xiàn)病毒的第一時間里對其進行及時的處理,將危害降到最低。對于計算機病毒的防范可以采用以下一些技術(shù)手段,可以通過加密執(zhí)行程序,引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控和讀寫控制等手段,對系統(tǒng)中是否有病毒進行監(jiān)督判斷,進而阻止病毒侵人計算機系統(tǒng)。
3.5漏洞掃描及修復(fù)技術(shù)
計算機系統(tǒng)中的漏洞是計算機網(wǎng)絡(luò)安全中存在的極大隱患,因此,要定期對計算機進行全方位的系統(tǒng)漏洞掃描,以確認當前的計算機系統(tǒng)中是否存在著系統(tǒng)漏洞。一旦發(fā)現(xiàn)計算機中存在系統(tǒng)漏洞,要及時的對其進行修復(fù),避免被黑客等不放法子利用。漏洞的修復(fù)分兩種,有的漏洞系統(tǒng)自身可以進行恢復(fù),而有一部分漏洞則需要手動進行修復(fù)。
4、結(jié)語
在當前通信與信息產(chǎn)業(yè)高速發(fā)展的形勢下,計算機網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用也應(yīng)該與時俱進,不斷地研究探討更加優(yōu)化的計算機網(wǎng)絡(luò)防范技術(shù),將其應(yīng)用到計算機網(wǎng)絡(luò)系統(tǒng)的運行中,減少計算機網(wǎng)絡(luò)使用的安全風險。實現(xiàn)安全的進行信息交流,資源共享的目的,使計算機網(wǎng)絡(luò)系統(tǒng)更好的為人們的生活工作服務(wù)。
第四篇:信息安全等級保護(二級)
信息安全等級保護(二級)
備注:其中黑色字體為信息安全等級保護第二級系統(tǒng)要求,藍色字體為第三級系統(tǒng)等保要求。
一、物理安全
1、應(yīng)具有機房和辦公場地的設(shè)計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級說明、接地防靜電措施)
2、應(yīng)具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應(yīng)配置電子門禁系統(tǒng)(三級明確要求);電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì),電子門禁系統(tǒng)運行和維護記錄
4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標記
5、介質(zhì)有分類標識;介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類存放
6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng);機房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告;機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄;
7、應(yīng)具有機房監(jiān)控報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告;機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄
8、應(yīng)具有機房建筑的避雷裝置;通過驗收或國家有關(guān)部門的技術(shù)檢測;
9、應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器;具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告
10、應(yīng)具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng);自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄;消防產(chǎn)品有效期合格;自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品
11、應(yīng)具有除濕裝置;空調(diào)機和加濕器;溫濕度定期檢查和維護記錄
12、應(yīng)具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施;溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護記錄
14、應(yīng)具有短期備用電力供應(yīng)設(shè)備(如UPS);短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護記錄
15、應(yīng)具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應(yīng)具有備用供電系統(tǒng)(如備用發(fā)電機);備用供電系統(tǒng)運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應(yīng)具有對重要管理操作的操作規(guī)程,如系統(tǒng)維護手冊和用戶操作規(guī)程
2、應(yīng)具有安全管理制度的制定程序:
3、應(yīng)具有專門的部門或人員負責安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進行版本控制)
4、應(yīng)對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內(nèi)部審核等),應(yīng)具有管理制度評審記錄
5、應(yīng)具有安全管理制度的收發(fā)登記記錄,收發(fā)應(yīng)通過正式、有效的方式(如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等)----安全管理制度應(yīng)注明發(fā)布范圍,并對收發(fā)文進行登記。
6、信息安全領(lǐng)導(dǎo)小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全管理制度進行檢查,對需要改進的制度進行修訂。(應(yīng)具有安全管理制度修訂記錄)
三、安全管理機構(gòu)
1、應(yīng)設(shè)立信息安全管理工作的職能部門
2、應(yīng)設(shè)立安全主管、安全管理各個方面的負責人
3、應(yīng)設(shè)立機房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對應(yīng)關(guān)系表)
4、安全管理員應(yīng)是專職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組(最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔任)
7、應(yīng)對重要信息系統(tǒng)活動進行審批(如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進行溝通(信息安全領(lǐng)導(dǎo)小組或者安全管理委員會應(yīng)定期召開會議)
9、應(yīng)組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應(yīng)與公安機關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應(yīng)組織人員定期對信息系統(tǒng)進行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應(yīng)定期進行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術(shù)人員的錄用工作(錄用過程)
2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查,對技術(shù)人員的技術(shù)技能進行考核,技能考核文檔或記錄
3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容)
4、應(yīng)設(shè)定關(guān)鍵崗位,對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應(yīng)及時終止離崗人員的所有訪問權(quán)限(離崗人員所有訪問權(quán)限終止的記錄)
6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應(yīng)辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對各個崗位人員應(yīng)定期進行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識、安全技能等。
9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會關(guān)系等。
10、應(yīng)對各類人員(普通用戶、運維人員、單位領(lǐng)導(dǎo)等)進行安全教育、崗位技能和安全技術(shù)培訓(xùn)。
11、應(yīng)針對不同崗位制定不同的培訓(xùn)計劃,并按照計劃對各個崗位人員進行安全教育和培訓(xùn)(安全教育和培訓(xùn)的結(jié)果記錄,記錄應(yīng)與培訓(xùn)計劃一致)
12、外部人員進入條件(對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監(jiān)督等)
13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請
14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄(記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應(yīng)明確信息系統(tǒng)的邊界和安全保護等級(具有定級文檔,明確信息系統(tǒng)安全保護等級)
2、應(yīng)具有系統(tǒng)建設(shè)/整改方案
3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃,由何部門/何人負責
4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃(系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠期的安全建設(shè)計劃)
5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進行調(diào)整和修訂
7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的維護記錄或修訂版本
8、應(yīng)按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷售許可等,應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品
10、應(yīng)具有專門的部門負責產(chǎn)品的采購
11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計相關(guān)文檔,專人保管軟件設(shè)計的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發(fā)布應(yīng)進行授權(quán)和批準
15、應(yīng)具有程序資源庫的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔
20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制
21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統(tǒng)正式運行前,應(yīng)委托第三方測試機構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試(第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告)
23、應(yīng)具有工程測試驗收方案(測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致)
24、應(yīng)具有測試驗收報告
25、應(yīng)指定專門部門負責測試驗收工作(具有對系統(tǒng)測試驗收報告進行審定的意見)
26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進行清點(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶進行系統(tǒng)運維的文檔(如服務(wù)器操作規(guī)程書)以及系統(tǒng)培訓(xùn)手冊等文檔。
29、應(yīng)指定部門負責系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責任合同書
六、系統(tǒng)運維管理
1、應(yīng)指定專人或部門對機房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進行定期維護,由何部門/何人負責。
2、應(yīng)具有機房基礎(chǔ)設(shè)施的維護記錄,空調(diào)、溫濕度控制等機房設(shè)施定期維護保養(yǎng)的記錄
3、應(yīng)指定部門和人員負責機房安全管理工作
4、應(yīng)對辦公環(huán)境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件)
5、應(yīng)具有資產(chǎn)清單(覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面)
6、應(yīng)指定資產(chǎn)管理的責任部門或人員
7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識
8、介質(zhì)存放于何種環(huán)境中,應(yīng)對存放環(huán)境實施專人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專用存儲空間))
9、應(yīng)具有介質(zhì)使用管理記錄,應(yīng)記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制
11、應(yīng)對介質(zhì)的使用情況進行登記管理,并定期盤點(介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄)
12、對送出維修或銷毀的介質(zhì)如何管理,銷毀前應(yīng)對數(shù)據(jù)進行凈化處理。(對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導(dǎo)批準。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準)(送修記錄、帶出記錄、銷毀記錄)
13、應(yīng)對某些重要介質(zhì)實行異地存儲,異地存儲環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質(zhì)上應(yīng)具有分類的標識或標簽
15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)iT部門進行定期維護。
16、應(yīng)具有設(shè)備操作手冊
17、應(yīng)對帶離機房的信息處理設(shè)備經(jīng)過審批流程,由何人審批(審批記錄)
18、應(yīng)監(jiān)控主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等
19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警 20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄
21、應(yīng)定期對監(jiān)控記錄進行分析、評審
22、應(yīng)具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告
23、應(yīng)建立安全管理中心,對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理
24、應(yīng)指定專人負責維護網(wǎng)絡(luò)安全管理工作
25、應(yīng)對網(wǎng)絡(luò)設(shè)備進行過升級,更新前應(yīng)對現(xiàn)有的重要文件是否進行備份(網(wǎng)絡(luò)設(shè)備運維維護工作記錄)
26、應(yīng)對網(wǎng)絡(luò)進行過漏洞掃描,并對發(fā)現(xiàn)的漏洞進行及時修補。
27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則,應(yīng)對配置文件進行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡(luò)等)應(yīng)都得到授權(quán)與批準,由何人/何部門批準。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進行限制管理
30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準書,應(yīng)具有網(wǎng)絡(luò)違規(guī)行為(如撥號上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試,并對重要文件進行備份。
32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄
33、應(yīng)對系統(tǒng)管理員用戶進行分類(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等)
34、審計員應(yīng)定期對系統(tǒng)審計日志進行分析(有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告)
35、應(yīng)對員工進行基本惡意代碼防范意識的教育,如告知應(yīng)及時升級軟件版本(對員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔)
36、應(yīng)指定專人對惡意代碼進行檢測,并保存記錄。
37、應(yīng)具有對網(wǎng)絡(luò)和主機進行惡意代碼檢測的記錄
38、應(yīng)對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件,如何處理
39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統(tǒng)的變更申請書,應(yīng)具有主管領(lǐng)導(dǎo)的批準
42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員應(yīng)識別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性
44、應(yīng)有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應(yīng)的報告或相關(guān)文檔
45、應(yīng)對安全事件記錄分析文檔
46、應(yīng)具有不同事件的應(yīng)急預(yù)案
47、應(yīng)具有應(yīng)急響應(yīng)小組,應(yīng)具備應(yīng)急設(shè)備并能正常工作,應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過預(yù)算并能夠落實。
48、應(yīng)對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)(應(yīng)急預(yù)案培訓(xùn)記錄)
49、應(yīng)定期對應(yīng)急預(yù)案進行演練(應(yīng)急預(yù)案演練記錄)50、應(yīng)對應(yīng)急預(yù)案定期進行審查并更新
51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。
第五篇:信息安全等級保護管理辦法
關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知
各省、自治區(qū)、直轄市公安廳(局)、保密局、國家密碼管理局(國家密碼管理委員會辦公室)、信息化領(lǐng)導(dǎo)小組辦公室,新疆生產(chǎn)建設(shè)兵團公安局、保密局、國家密碼管理局、信息化領(lǐng)導(dǎo)小組辦公室,中央和國家機關(guān)各部委保密委員會辦公室、密碼工作領(lǐng)導(dǎo)小組辦公室、信息化領(lǐng)導(dǎo)小組辦公室,各人民團體保密委員會辦公室:
為加快推進信息安全等級保護,規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定了《信息安全等級保護管理辦法》。現(xiàn)印發(fā)給你們,請認真貫徹執(zhí)行。
公
安
部
國 家 保 密 局 國家密碼管理局
國務(wù)院信息工作辦公室
二〇〇七年六月二十二日
信息安全等級保護管理辦法
第一章 總則
第一條 為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī),制定本辦法。
第二條 國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。
第三條 公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)。
第四條 信息系統(tǒng)主管部門應(yīng)當依照本辦法及相關(guān)標準規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。
第五條 信息系統(tǒng)的運營、使用單位應(yīng)當依照本辦法及其相關(guān)標準規(guī)范,履行信息安全等級保護的義務(wù)和責任。
第二章 等級劃分與保護 第六條 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
第七條 信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。第八條 信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。
第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。
第三級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。
第四級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。
第五級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。
第三章 等級保護的實施與管理
第九條 信息系統(tǒng)運營、使用單位應(yīng)當按照《信息系統(tǒng)安全等級保護實施指南》 具體實施等級保護工作。
第十條 信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應(yīng)當經(jīng)主管部門審核批準。
跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審。
第十一條 信息系統(tǒng)的安全保護等級確定后,運營、使用單位應(yīng)當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準,使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。
第十二條 在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準,參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。
第十三條 運營、使用單位應(yīng)當參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。
第十四條 信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評,第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。
信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查,第四級信息系統(tǒng)應(yīng)當每半年至少進行一次自查,第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應(yīng)當制定方案進行整改。
第十五條 已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
新建第二級以上信息系統(tǒng),應(yīng)當在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。
隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。
第十六條 辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應(yīng)當填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應(yīng)當同時提供以下材料:
(一)系統(tǒng)拓撲結(jié)構(gòu)及說明;
(二)系統(tǒng)安全組織機構(gòu)和管理制度;
(三)系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;
(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;
(五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;
(六)信息系統(tǒng)安全保護等級專家評審意見;
(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。
第十七條 信息系統(tǒng)備案后,公安機關(guān)應(yīng)當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應(yīng)當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標準的,應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。
運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應(yīng)當按照本辦法向公安機關(guān)重新備案。
第十八條 受理備案的公安機關(guān)應(yīng)當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當會同其主管部門進行。
對第五級信息系統(tǒng),應(yīng)當由國家指定的專門部門進行檢查。公安機關(guān)、國家指定的專門部門應(yīng)當對下列事項進行檢查:
(一)信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準確;
(二)運營、使用單位安全管理制度、措施的落實情況;
(三)運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;
(四)系統(tǒng)安全等級測評是否符合要求;
(五)信息安全產(chǎn)品使用是否符合要求;
(六)信息系統(tǒng)安全整改情況;
(七)備案材料與運營、使用單位、信息系統(tǒng)的符合情況;
(八)其他應(yīng)當進行監(jiān)督檢查的事項。
第十九條 信息系統(tǒng)運營、使用單位應(yīng)當接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo),如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件:
(一)信息系統(tǒng)備案事項變更情況;
(二)安全組織、人員的變動情況;
(三)信息安全管理制度、措施變更情況;
(四)信息系統(tǒng)運行狀況記錄;
(五)運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;
(六)對信息系統(tǒng)開展等級測評的技術(shù)測評報告;
(七)信息安全產(chǎn)品使用的變更情況;
(八)信息安全事件應(yīng)急預(yù)案,信息安全事件應(yīng)急處置結(jié)果報告;
(九)信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。
第二十條 公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的,應(yīng)當向運營、使用單位發(fā)出整改通知。運營、使用單位應(yīng)當根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標準進行整改。整改完成后,應(yīng)當將整改報告向公安機關(guān)備案。必要時,公安機關(guān)可以對整改情況組織檢查。
第二十一條 第三級以上信息系統(tǒng)應(yīng)當選擇使用符合以下條件的信息安全產(chǎn)品:
(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;
(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);
(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;
(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;
(六)對已列入信息安全產(chǎn)品認證目錄的,應(yīng)當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。
第二十二條 第三級以上信息系統(tǒng)應(yīng)當選擇符合下列條件的等級保護測評機構(gòu)進行測評:
(一)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
(三)(四)
(五)從事相關(guān)檢測評估工作兩年以上,無違法記錄; 工作人員僅限于中國公民;
法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄;
(六)使用的技術(shù)裝備、設(shè)施應(yīng)當符合本辦法對信息安全產(chǎn)品的要求;
(七)具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度;
(八)對國家安全、社會秩序、公共利益不構(gòu)成威脅。
第二十三條 從事信息系統(tǒng)安全等級測評的機構(gòu),應(yīng)當履行下列義務(wù):
(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標準,提供安全、客觀、公正的檢測評估服務(wù),保證測評的質(zhì)量和效果;
(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風險;
(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規(guī)定應(yīng)當履行的安全保密義務(wù)和承擔的法律責任,并負責檢查落實。
第四章 涉及國家秘密信息系統(tǒng)的分級保護管理
第二十四條 涉密信息系統(tǒng)應(yīng)當依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標準,結(jié)合系統(tǒng)實際情況進行保護。
非涉密信息系統(tǒng)不得處理國家秘密信息。
第二十五條 涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機 密、絕密三個等級。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。
保密工作部門和機構(gòu)應(yīng)當監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準確、合理地進行系統(tǒng)定級。
第二十六條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務(wù)主管部門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導(dǎo)。
第二十七條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設(shè)計與實施。
涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標準,按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設(shè)計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。
第二十八條 涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應(yīng)當選用國產(chǎn)品,并應(yīng)當通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。
第二十九條 涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應(yīng)當向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。
涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應(yīng)當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后,應(yīng)當向保密工作部門備案。
第三十條 涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應(yīng)當提交以下材料:
(一)系統(tǒng)設(shè)計、實施方案及審查論證意見;
(二)系統(tǒng)承建單位資質(zhì)證明材料;
(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;
(四)系統(tǒng)安全保密檢測評估報告;
(五)系統(tǒng)安全保密組織機構(gòu)和管理制度情況;
(六)其他有關(guān)材料。
第三十一條 涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應(yīng)用、安全保密管理責任單位變更時,其建設(shè)使用單位應(yīng)當及時向負責審批的保密工作部門報告。保密工作部門應(yīng)當根據(jù)實際情況,決定是否對其重新進行測評和審批。
第三十二條 涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當依據(jù)國家保密標準BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。
第三十三條 國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:
(一)指導(dǎo)、監(jiān)督和檢查分級保護工作的開展;
(二)指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;
(三)參與涉密信息系統(tǒng)分級保護方案論證,指導(dǎo)建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計;
(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;
(五)嚴格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況;
(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;
(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。
第五章 信息安全等級保護的密碼管理
第三十四條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性 質(zhì)等,確定密碼的等級保護準則。
信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應(yīng)當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標準。
第三十五條 信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應(yīng)當嚴格執(zhí)行國家密碼管理的有關(guān)規(guī)定。
第三十六條 信息系統(tǒng)運營、使用單位應(yīng)當充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應(yīng)報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護和日常管理等,應(yīng)當按照國家密碼管理有關(guān)規(guī)定和相關(guān)標準執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標準,其密碼的配備使用情況應(yīng)當向國家密碼管理機構(gòu)備案。
第三十七條
運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。
第三十八條
信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔,其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。
第三十九條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標準要求的,應(yīng)當按照國家密碼管理的相關(guān)規(guī)定進行處置。
第六章 法律責任
第四十條 第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結(jié)果:
(一)未按本辦法規(guī)定備案、審批的;
(二)未按本辦法規(guī)定落實安全管理制度、措施的;
(三)未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;
(四)未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;
(五)接到整改通知后,拒不整改的;
(六)未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的;
(七)未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;
(八)違反保密管理規(guī)定的;
(九)違反密碼管理規(guī)定的;
(十)違反本辦法其他規(guī)定的。
違反前款規(guī)定,造成嚴重損害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。
第四十一條 信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責任。
第七章 附則
第四十二條 已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。
第四十三條 本辦法所稱“以上”包含本數(shù)(級)。
第四十四條 本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。
點擊咨詢 