第一篇:等級保護會議發言稿
講話稿
一、信息系統安全等級保護工作意義
信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法,開展信息安全等級保護工作是實現國家對重要信息系統重點保護的重大措施,可以有效解決我國信息安全面臨的威脅和存在的主要問題,按標準建設安全保護措施,建立安全保護制度,落實安全責任,有效保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統的安全,有效提高我市信息安全保障工作的整體水平。
二、我市信息系統等級保護工作組織機構
我市已由市公安局牽頭建立了與市政府信息辦、市機要局、市保密局聯絡機制,并堅持“分工負責、密切配合”的原則,公安機關牽頭,負責等級保護全面工作的監督、檢查、指導,并主要負責非涉及國家秘密的信息系統的等級保護工作,市政府信息辦負責部門間協調,機要局密碼工作的監督、檢查,涉及國家秘密的信息系統由國家保密工作部門負責。
在聯絡機制的基礎上,市局擬爭取市委、市政府支持,成立信息安全等級保護領導小組,明確各部門職責,加強領導,進一步推進我市信息安全等級保護工作。
三、我市信息安全的前期情況
1
隨著我市工業化、信息化的發展,信息系統在帶來高效和便捷的同時,系統的安全性對社會生產、生活影響越來越大。在我市比較典型的兩個重要信息系統是:人社局的社會保險系統和建委的房屋產權登記管理系統,這兩個大的系統存貯的信息關系到全市居民的醫療金、養老金、和房屋產權的安全,目前以上數據都已完全電子化,而且數據庫在本市存貯,如果說這兩個系統的安全受到破壞,可以講后果不堪設想。雖然我市目前各個重要單位的重要信息系統都相應建立了比較嚴密的管理制度,也落實了較為完備的安全技術措施,但是存在的缺點是各單位、各行業自主保護,各自為營;造成了安全標準不統一,安全制度不健全的打游擊戰的狀況。導致的結果是隱患重重。目前市區比較重要的單位已經基本完成信息系統的定級備案,并將在明年把三級以上系統的安全測評和安全措施的改進作為工作重點。
系統定級備案工作,就是根據系統的業務和數據對國民經濟和社會生活的影響大小,確定系統的安全保護級別,不同的安全級別采取不同標準的安全保護措施,并由國家確定有資質的測評機構進行測評,及時發現系統安全問題,及時整改。系統定級備案可以簡單的理解為網安部門由打擊涉網犯罪向指導預防犯罪延伸,當然這樣比喻不太全面,因為安全事件產生的原因是多方面的,網上違法犯罪只是計算機系統安全事件的一個方面。
四、信息系統定級備案工作的法律依據
《人民警察法》和《中華人民共和國計算機信息系統安全保護條例》規定了公安機關負責監督管理信息系統特別是重點領域信息系統安全保護工作。組織開展信息安全等級保護工作是公安機關肩負的新的歷史使命,是在信息網絡領域開展的面向全社會的管理監察工作。具體職責是:監督、檢查、指導信息系統運營使用單位和主管部門開展信息安全等級保護工作;監督、檢查信息系統運營使用單位的安全保護管理制度和技術措施落實情況、定級和備案情況、安全整改、等級測評、產品使用、自查等情況;組織開展信息安全等保護的政策、法規、標準規范的宣傳培訓。
五、工作要求:
前期,由于市局對縣局等級保護工作沒有部署和具體指導,縣級單位除了少數行業自身定級和部分縣局網安部門已經開展了一些前期工作外,等級保護工作在縣級單位還沒有完全展開,隨著社會信息化的發展和信息安全面臨的嚴峻形勢,今后將把等級保護工作納入到縣級網安部門的日常工作,而且將是一個長期性的系統性的工作,借這個機會提幾點要求:
1切實加強對此次定級工作的組織領導,主動爭取當地黨委政府的領導。成立等級保護工作協調小組或領導小組,黨委政府有關領導擔任組長,有關職能部門和主管部門作為
成員。協調小組或領導小組下設辦公室,縣級公安機關分管網監工作的局長擔任辦公室主任,辦事機構設在網監部門。
2、調動社會力量,積極推動信息安全等級保護工作。信息安全等級保護是一項復雜龐大的系統工程,需要全社會廣泛動員和支持。公安機關在組織開展等級保護各項工作時要注意充分發揮社會力量的作用,共同推動等級保護工作。要注意在本地區科研機構、高校、協會、學會中選擇和培養一批技術能力強,背景可靠的單位作為開展信息安全等級保護的技術支持力量;選擇和確定一批專業人才作為等級保護的專家隊伍。
3、加強宣傳培訓,提高開展等級保護工作的能力。公安機關要認真組織相關部門學習和掌握等級保護有關政策、規范和標準,針對信息系統運營、使用單位及信息安全相關技術支持單位對等級保護有關政策、方法、標準不了解等問題,要有針對性地加強宣傳和培訓。同時,要充分利用廣播電視、報刊雜志、互聯網等媒體,加大對國家信息安全等級保護制度的宣傳力度,積極開展面向不同層次、不同對象的宣傳、培訓,為順利實施等級保護工作奠定堅實的基礎。
第二篇:等級保護
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段,作為公安部授權的第三方測評機構,為企事業單位提供免費專業的信息安全等級測評咨詢服務。
信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現;另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關系,共同作用于信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。因此,信息系統安全等級測評在安全控制測評的基礎上,還要包括系統整體測評。
第一級:用戶自主保護級;
第二級:系統審計保護級;
第三級:安全標記保護級;
第四級:結構化保護級;
第五級:訪問驗證保護級”
計算機信息系統安全等級保護劃分準則(GB 17859-1999)(基礎類標準)
信息系統安全等級保護實施指南(GB/T 25058-2010)(基礎類標準)
信息系統安全保護等級定級指南(GB/T 22240-2008)(應用類定級標準)
信息系統安全等級保護基本要求(GB/T 22239-2008)(應用類建設標準)
信息系統通用安全技術要求(GB/T 20271-2006)(應用類建設標準)
信息系統等級保護安全設計技術要求(GB/T 25070-2010)(應用類建設標準)信息系統安全等級保護測評要求(GB/T 28448-2012)(應用類測評標準)
信息系統安全等級保護測評過程指南(GB/T 28449-2012)(應用類測評標準)信息系統安全管理要求(GB/T 20269-2006)(應用類管理標準)
信息系統安全工程管理要求(GB/T 20282-2006)(應用類管理標準)
第三篇:等級保護全面自查
潞安容海發電有限責任公司信息安全等級保護自查報告
隨著我國信息網絡事業的飛速發展,信息安全保障能力提到了一個新的高度,我廠信息安全以及信息安全等級保護工作就提到了日常議程上來了。圍繞提高信息安全保障能力,維護國家安全、公共利益和社會穩定,促進信息化建設的要求,一年來,我廠認真貫徹落實行業和公司的總體部署,在公司和企業信息化工作的統一部署下,按照突出重點、統籌規劃,重點保障基礎信息網絡和重要信息系統安全的總體要求和原則,狠抓系統維護、培訓和流程梳理,促進管理規范,提高系統運行效率。進一步完善企業新的運行機制條件下的信息化管理工作,促進企業信息安全管理工作目標的實現。特別是今年9月以來,我廠在總結以往工作的基礎上,通過認真學習和領會《信息系統安全等級保護基本要求》精神,根據公司的統一部署,結合我廠的具體情況,認真梳理和開展了信息安全等級保護這項工作,取得一定成效。現簡要總結匯報我廠2011開展信息安全等級保護工作情況。
一、企業開展信息安全等級保護主要工作回顧
1、加強宣傳,增強認識,積極推進企業信息安全等級保護工作。為提高企業對信息安全等級保護這項工作的認識,我廠組織信息化管理部門和相關人員認真宣傳學習了工業和信息化部文件,大家充分了解到開展定級等工作內容、要求和技術標。一是增強了大家對推行信息安全等級保護制度的重要性和必要性以及信息安全等級保護工作的認識。二是在總結過去工作經驗的基礎上,確定了將信息安全等級保護工作作為今年網絡安全保障工作的一項重要任務來抓。三是采取一定措施,積極推進了公司和企業信息安全等級保護工作。從系統定級、定級評審、系統備案、測評整改、監督檢查等五個階段進行了一些有益的探索。并按照既定的工作目標和時限要求,確保等級保護定級工作保質保量完成。
2、對照要求,認真查找和消除企業信息安全等級保護工作中的差距。信息化管理部門和相關人員通過對照國家和行業有關信息安全等級保護工作文件相關規定和我廠實際,認真開展自查和總結。針對企業現狀展開分析和討論,尋找我廠開展信息安全等級保護這項工作的差距,理清工作思路,進一步確立了企業信息安全等級保護工作思路和目標。一是對企業信息安全總體情況進行了全面摸底,檢查了企業信息安全管理、信息安全技術、和信息安全運維三個體系建設情況。二是對信息安全檢查中發現的主要問題進行了及時整改,采取了相應的對策和措施。
3、落實組織,建立企業信息安全等級保護工作長效機制。我廠領導高度重視信息安全等級保護工作的開展。企業有關領導和相關信息安全職能部門充分認識到開展信息安全等級保護是保障全市政治穩定、經濟發展和社會和諧的有效手段。為適應公司組織機構調整需要,提高企業信息安全保障能力,維護國家安全、公共利益和社會穩定,促進信息化建設,我廠及時調整了信息化工作領導機構,同時,成立了潞安容海電廠關于成立信息系統安全工作領導小組,進一步落實了信息系統安全工作責任。在落實企業信息安全等級保護工作目標責任基礎上,一是重新梳理和調整了企業信息化隊伍;二是建立健全了信息安全管理制度;三是落實和發揮了系統備份、安全巡檢、安全監控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能;四是實現了集中安全管理控制,快速安全事件響應,高可信的安全防護;五是重申了對IT系統和產品開展入網前安全檢查,消除安全隱患等幾項具體措施。
4、總體規劃,分步實施和落實信息安全策略。我廠信息安全規劃堅持行業和政策實際,著眼于企業長遠的發展目標,以及高新技術迅猛發展的需要,立足企業當前的基礎和迫切需要解決的問題。信息安全規劃主要是企業部署了網絡硬件路由、防火墻和網絡防毒墻。實施和應用了中心機房安全監控、火災報警系統,瑞星網絡版企業殺毒軟件和上網行為管理系統。機房和綜合樓辦公樓實施了 UPS供電,建立了中心機房網絡雷電防護體系。安全策略主要是針對網絡進行了CISCO PIX515安全策略配置,企業內部網絡采用了路由和VLAN技術;服務器采取用戶和密碼登錄;各部門上網用戶實行等級權限,采用帳戶和密碼登錄方式進行單個PC管理。各個終端運維強調Windows補丁管理,并通過Windows安全策略向用戶提供限制性的訪問權限,有效地保護了windows機器。
另外,結合企業職業健康安全管理體系建設要求,對供電體系、雷電防護體系缺陷、計算機的安全保護,信息泄露、數據備份、病毒或黑客入侵等危險源進行了認真的辨識,對二級以上危險源都制訂了預控措施,明確了各崗位的崗位職責并對相關職責抓好落實。目前,企業信息系統的安全正式納入煙草行業安全管理信息系統管理,并著手規劃建立健全信息安全技術和信息安全運維兩個體系建設。
5、完善制度,建立和落實了信息安全保護責任制。自從2009年組建信息系統網絡以來,我廠就先后制訂并修改了各項信息安全相關制度,堅持對重大節日期間的信息安全保障工作進行專門部署。今年,我廠在加強內部信息化管理制度建設方面,將國家局行業卷煙生產經營決策管理系統五個操作文件納入了企業貫標管理。另外,為加強企業網絡安全與信息管理,適應行業改革與發展機制的需要,企業除執行國家、行業和公司有關信息網絡管理法律法規和制度外,內部制訂和修訂了一系列規章制度(包括預案和管理辦法)。這些制度的制訂和修改遵循了相關流程,并形成了記錄。目前已正式印發的制度主要包括:《計算機和網絡信息系統管理辦法》、《通信管理制度》、《網絡與信息安全事件專項應急預案》、《潞安礦業(集團)公司容海熱電廠計算機安全管理規定》、《通信突發事件應急處置專項預案》。制度下發以后,日常開展督導和制度執行力檢查,促進信息安全保護責任的落實。
6、抓好人員培訓和系統演練,促進企業重要信息系統日常信息安全保護工作落到實處。另外,在下半年的10月和11月,內部分兩期采取模擬信息網絡及中心機房突發事件、發生網絡中斷等突發事件,以訓帶練的形式開展了這兩個應急預案的演練。由生技部牽頭,安全科、生產(設備)、物資科等相關部門安排相關人員參加了這次預案的培訓和演練。培訓和演練取得了預期目的。
5、日常認真抓好信息安全檢查和系統運維,促進信息安全管理和系統整治規范。為了營造良好的網絡環境,保護自身信息的安全,我廠信息化主管部門結合信息技術支持與服務本職,突出工作重點,積極抓好網絡安全管理,進一步使安全落到實處。
(一)、堅持日常信息系統運維檢查。針對企業信息網絡系統管理和因特網上病毒和欺騙木馬程序(病毒)攻擊猖獗現狀,信息化主管部門日常組織開展了專業性和群眾性的信息及安全檢查,集中消除和治理安全隱患,杜絕各種信息安全事故發生。
(二)、定期開展信息系統管理制度執行情況檢查。按照企業制度督察檢查辦法,信息化主管部門編制了《計算機網絡系統管理辦法檢查表》,對照信息系統管理制度內容開展對各部門和各崗位以及重點部位、重點項目檢查,形成檢查記錄。
(三)、結合節假日和安全生產月、6S以及內部審核活動等開展信息網絡安全專項檢查。按照節假日和安全生產月、6S以及內部審核活動要求,開展網絡設備全面檢查和現場清理整頓工作,(1)是檢查全廠各部門采用集線束對辦公設備連線的整理規范狀況;(2)是重點對兩個機房以及各網絡交換點場所的開關線路和周圍雜物及時進行清理。對檢查發現的問題,尤其是嚴重對網絡系統造成安全隱患的項目立即下達通知整改,使問題消滅在萌芽狀態,促進信息網絡安全監督檢查到位,安全記錄真實規范。(3)是按照電力行業嚴格規范的總要求,對全廠網絡的一些歷史遺留問題和以往布線(電話線、有線、網線等)凸顯瑕疵的地方,結合廠區布局的規范化,結合網絡規范和6S管理要求,嚴格按相關標準進行了一次全面清理。
二、企業信息安全工作存在的問題是和改善工作意見或建議
1、企業在網絡審計、安全設備統一管理、網站防篡改、行業數字證書(CA)認證等系統方面的建設工作未開展,建議公司加強企業信息安全技術體系建設這些方面給予特別支持和引導。另外,指導企業對信息系統備份措施的檢查,包括檢查的方法和內容。
2、公司對國家局行業生產經營決策管理系統的安全運維今年正式進行了部署,建議對每次巡檢發現的問題能給予統一解決和處理。另外,指導企業開展網絡和應用系統應急預案的編制和演練。
三、2012年企業信息安全工作重點
信息安全管理的對象是計算機網絡和相關硬件系統以及在此系統上構架應用的軟件和信息系統的決策規劃、效能應用、系統安全、網絡監察、個人上網等一切網絡管理行為。而信息和信息網絡安全的防范和監管是信息主管部門的一個重要職責。為此,需要做好以下安全防范工作。
1、明確各層組織機構和人員的信息和信息網絡安全責任,實現組織和人力上的安全保證;
2、組織建立和健全各項信息和信息網絡安全制度,實現制度和管理上的安全保證;
3、規范日常信息化管理和檢查制度。包括:軟件管理、硬件管理、機房管理、系統運行和維護管理、網絡管理等,提出并實施各系統配置和標準化設置,便于安全的維護和加固,實現基礎管理上的安全保證;
4、除采用相應的物理防火墻和安全軟件外,做好應急預案是確保萬無一失的第一步,實現技術上的安全保證;
5、組織好本單位內的項目協調、實施、推廣應用與培訓等工作,確保信息化項目的實施成效,實現規劃和應用上的安全保證;
6、定期組織開展信息和網絡安全檢查活動。通過對現場檢查和清理,系統的監管,促進網絡現場規范,營造一個整潔、規范、安全、高效的網絡和信息系統環境,實現環境上的安全保證。
2011年12月3日
第四篇:網絡安全等級保護條例
第一章第二章第三章第四章第五章第六章第七章第八章 網絡安全等級保護條例
(征求意見稿)
目錄
總 則..........................................支持與保障......................................網絡的安全保護..................................涉密網絡的安全保護.............................密碼管理.......................................監督管理.......................................法律責任.......................................附 則.........................................第一章 總 則
第一條【立法宗旨與依據】為加強網絡安全等級保護工作,提高網絡安全防范能力和水平,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,依據《中華人民共和國網絡安全法》、《中華人民共和國保守國家秘密法》等法律,制定本條例。
第二條【適用范圍】在中華人民共和國境內建設、運營、維護、使用網絡,開展網絡安全等級保護工作以及監督管理,適用本條例。個人及家庭自建自用的網絡除外。
第三條【確立制度】國家實行網絡安全等級保護制度,對網絡實施分等級保護、分等級監管。
前款所稱“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
第四條【工作原則】網絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則,建立健全網絡安全防護體系,重點保護涉及國家安全、國計民生、社會公共利益的網絡的基礎設施安全、運行安全和數據安全。
網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。
3絡安全防范意識。
國家鼓勵和支持企事業單位、高等院校、研究機構等開展網絡安全等級保護制度的教育與培訓,加強網絡安全等級保護管理和技術人才培養。
第十四條【鼓勵創新】國家鼓勵利用新技術、新應用開展網絡安全等級保護管理和技術防護,采取主動防御、可信計算、人工智能等技術,創新網絡安全技術保護措施,提升網絡安全防范能力和水平。
國家對網絡新技術、新應用的推廣,組織開展網絡安全風險評估,防范網絡新技術、新應用的安全風險。
第三章 網絡的安全保護
第十五條【網絡等級】根據網絡在國家安全、經濟建設、社會生活中的重要程度,以及其一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素,網絡分為五個安全保護等級。
(一)第一級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害,但不危害國家安全、社會秩序和公共利益的一般網絡。
(二)第二級,一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造
6用;
(八)落實違法信息發現、阻斷、消除等措施,落實防范違法信息大量傳播、違法犯罪證據滅失等措施;
(九)落實聯網備案和用戶真實身份查驗等責任;
(十)對網絡中發生的案事件,應當在二十四小時內向屬地公安機關報告;泄露國家秘密的,應當同時向屬地保密行政管理部門報告。
(十一)法律、行政法規規定的其他網絡安全保護義務。第二十一條【特殊安全保護義務】第三級以上網絡的運營者除履行本條例第二十條規定的網絡安全保護義務外,還應當履行下列安全保護義務:
(一)確定網絡安全管理機構,明確網絡安全等級保護的工作職責,對網絡變更、網絡接入、運維和技術保障單位變更等事項建立逐級審批制度;
(二)制定并落實網絡安全總體規劃和整體安全防護策略,制定安全建設方案,并經專業技術人員評審通過;
(三)對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查,落實持證上崗制度;
(四)對為其提供網絡設計、建設、運維和技術服務的機構和人員進行安全管理;
(五)落實網絡安全態勢感知監測預警措施,建設網絡安全防護管理平臺,對網絡運行狀態、網絡流量、用戶行為、網絡安全案事件等進行動態監測分析,并與同級公安機關對接;
(六)落實重要網絡設備、通信鏈路、系統的冗余、備份和恢復措施;
(七)建立網絡安全等級測評制度,定期開展等級測評,并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告;
(八)法律和行政法規規定的其他網絡安全保護義務。第二十二條【上線檢測】新建的第二級網絡上線運行前應當按照網絡安全等級保護有關標準規范,對網絡的安全性進行測試。
新建的第三級以上網絡上線運行前應當委托網絡安全等級測評機構按照網絡安全等級保護有關標準規范進行等級測評,通過等級測評后方可投入運行。
第二十三條【等級測評】第三級以上網絡的運營者應當每年開展一次網絡安全等級測評,發現并整改安全風險隱患,并每年將開展網絡安全等級測評的工作情況及測評結果向備案的公安機關報告。
第二十四條【安全整改】網絡運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。
第二十五條【自查工作】網絡運營者應當每年對本單位落實網絡安全等級保護制度情況和網絡安全狀況至少開展一次自
第二十九條【技術維護要求】第三級以上網絡應當在境內實施技術維護,不得境外遠程技術維護。因業務需要,確需進行境外遠程技術維護的,應當進行網絡安全評估,并采取風險管控措施。實施技術維護,應當記錄并留存技術維護日志,并在公安機關檢查時如實提供。
第三十條【監測預警和信息通報】地市級以上人民政府應當建立網絡安全監測預警和信息通報制度,開展安全監測、態勢感知、通報預警等工作。
第三級以上網絡運營者應當建立健全網絡安全監測預警和信息通報制度,按照規定向同級公安機關報送網絡安全監測預警信息,報告網絡安全事件。有行業主管部門的,同時向行業主管部門報送和報告。
行業主管部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,按照規定向同級網信部門、公安機關報送網絡安全監測預警信息,報告網絡安全事件。
第三十一條【數據和信息安全保護】網絡運營者應當建立并落實重要數據和個人信息安全保護制度;采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全;建立異地備份恢復等技術措施,保障重要數據的完整性、保密性和可用性。
未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息;不得違反法律、行政法規規定和雙方約
112涉密網絡中使用的安全保密產品,應當通過國家保密行政管理部門設立的檢測機構檢測。計算機病毒防護產品應當選用取得計算機信息系統安全專用產品銷售許可證的可靠產品,密碼產品應當選用國家密碼管理部門批準的產品。
第四十條【測評審查和風險評估】涉密網絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估,并經設區的市級以上保密行政管理部門審查合格,方可投入使用。
涉密網絡運營者在涉密網絡投入使用后,應定期開展安全保密檢查和風險自評估,并接受保密行政管理部門組織的安全保密風險評估。絕密級網絡每年至少進行一次,機密級和秘密級網絡每兩年至少進行一次。
公安機關、國家安全機關涉密網絡投入使用的管理,依照國家保密行政管理部門會同公安機關、國家安全機關制定的有關規定執行。
第四十一條【涉密網絡使用管理總體要求】涉密網絡運營者應當制定安全保密管理制度,組建相應管理機構,設臵安全保密管理人員,落實安全保密責任。
第四十二條【涉密網絡預警通報要求】涉密網絡運營者應建立健全本單位涉密網絡安全保密監測預警和信息通報制度,發現安全風險隱患的,應及時采取應急處臵措施,并向保密行政管理部門報告。
4密碼產品應當經過密碼管理部門批準,采用密碼技術的軟件系統、硬件設備等產品,應當通過密碼檢測。
密碼的檢測、裝備、采購和使用等,由密碼管理部門統一管理;系統設計、運行維護、日常管理和密碼評估,應當按照國家密碼管理相關法規和標準執行。
第四十七條【非涉密網絡密碼保護】非涉密網絡應當按照國家密碼管理法律法規和標準的要求,使用密碼技術、產品和服務。第三級以上網絡應當采用密碼保護,并使用國家密碼管理部門認可的密碼技術、產品和服務。
第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區市的密碼管理部門備案。
第四十八條【密碼安全管理責任】網絡運營者應當按照國家密碼管理法規和相關管理要求,履行密碼安全管理職責,加強密碼安全制度建設,完善密碼安全管理措施,規范密碼使用行為。
任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動,或者從事其他違法犯罪活動。
第六章 監督管理
第四十九條【安全監督管理】縣級以上公安機關對網絡運營者依照國家法律法規規定和相關標準規范要求,落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作,實行監督管理;對第三級以上網絡運營者按照網絡安全等級保護制度落實網絡基礎設施安全、網絡運行安全和數據安全保護責任義務,實行重點監督管理。
縣級以上公安機關對同級行業主管部門依照國家法律法規規定和相關標準規范要求,組織督促本行業、本領域落實網絡安全等級保護制度,開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作情況,進行監督、檢查、指導。
地市級以上公安機關每年將網絡安全等級保護工作情況通報同級網信部門。
第五十條【安全檢查】縣級以上公安機關對網絡運營者開展下列網絡安全工作情況進行監督檢查:
(一)日常網絡安全防范工作;
(二)重大網絡安全風險隱患整改情況;
(三)重大網絡安全事件應急處臵和恢復工作;
(四)重大活動網絡安全保護工作落實情況;
(五)其他網絡安全保護工作情況。
7自參加境外組織的網絡攻防活動。
第五十五條【事件調查】公安機關應當根據有關規定處置網絡安全事件,開展事件調查,認定事件責任,依法查處危害網絡安全的違法犯罪活動。必要時,可以責令網絡運營者采取阻斷信息傳輸、暫停網絡運行、備份相關數據等緊急措施。
網絡運營者應當配合、支持公安機關和有關部門開展事件調查和處置工作。
第五十六條【緊急情況斷網措施】網絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的,緊急情況下公安機關可以責令其停止聯網、停機整頓。
第五十七條【保密監督管理】保密行政管理部門負責對涉密網絡的安全保護工作進行監督管理,負責對非涉密網絡的失泄密行為的監管。發現存在安全隱患,違反保密法律法規,或者不符合保密標準保密的,按照《中華人民共和國保守國家秘密法》和國家保密相關規定處理。
第五十八條【密碼監督管理】密碼管理部門負責對網絡安全等級保護工作中的密碼管理進行監督管理,監督檢查網絡運營者對網絡的密碼配備、使用、管理和密碼評估情況。其中重要涉密信息系統每兩年至少開展一次監督檢查。監督檢查中發現存在安全隱患,或者違反密碼管理相關規定,或者不符合密碼相關標準規范要求的,按照國家密碼管理相關規定予以處理。
第五十九條【行業監督管理】行業主管部門應當組織制定本行業、本領域網絡安全等級保護工作規劃和標準規范,掌握網絡基本情況、定級備案情況和安全保護狀況;監督管理本行業、本領域網絡運營者開展網絡定級備案、等級測評、安全建設整改、安全自查等工作。
行業主管部門應當監督管理本行業、本領域網絡運營者依照網絡安全等級保護制度和相關標準規范要求,落實網絡安全管理和技術保護措施,組織開展網絡安全防范、網絡安全事件應急處臵、重大活動網絡安全保護等工作。
第六十條【監督管理責任】網絡安全等級保護監督管理部門及其工作人員應當對在履行職責中知悉的國家秘密、個人信息和重要數據嚴格保密,不得泄露、出售或者非法向他人提供。
第六十一條【執法協助】網絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協助。
第六十二條【網絡安全約談制度】省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網絡安全等級保護監督管理職責中,發現網絡存在較大安全風險隱患或者發生安全事件的,可以約談網絡運營者的法定代表人、主要負責人及其行業主管部門。
第七章 法律責任
第六十三條【違反安全保護義務】網絡運營者不履行本條例第十六條,第十七條第一款,第十八條第一款、第二款,第二十條、第二十二條第一款,第二十四條,第二十五條,第二十八條第一款,第三十一條第一款,第三十二條第二款規定的網絡安全保護義務的,由公安機關責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。
第三級以上網絡運營者違反本條例第二十一條、第二十二條第二款、第二十三條規定、第二十八條第二款,第三十條第二款,第三十二條第一款規定的,按照前款規定從重處罰。
第六十四條【違反技術維護要求】網絡運營者違反本條例第二十九條規定,對第三級以上網絡實施境外遠程技術維護,未進行網絡安全評估、未采取風險管控措施、未記錄并留存技術維護日志的,由公安機關和相關行業主管部門依據各自職責責令改正,依照《中華人民共和國網絡安全法》第五十九條第一款的規定處罰。
第六十五條【違反數據安全和個人信息保護要求】網絡運營者違反本條例第三十一條第二款規定,擅自收集、使用、提供數據和個人信息的,由網信部門、公安機關依據各自職責責令改正,依照《中華人民共和國網絡安全法》第六十四條第一款的規定處罰。
第六十六條【網絡安全服務責任】違反本條例第二十六條
1保密管理和密碼管理規定的,由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正,拒不改正的,給予警告,并通報向其上級主管部門,建議對其主管人員和其他直接責任人員依法給予處分。
第六十九條【監管部門瀆職責任】網信部門、公安機關、國家保密行政管理部門、密碼管理部門以及有關行業主管部門及其工作人員有下列行為之一,對直接負責的主管人員和其他直接責任人員,或者有關工作人員依法給予處分:
(一)玩忽職守、濫用職權、徇私舞弊的;
(二)泄露、出售、非法提供在履行網絡安全等級保護監管職責中獲悉的國家秘密、個人信息和重要數據;或者將獲取其他信息,用于其他用途的。
第七十條【法律競合處理】違反本條例規定,構成違反治安管理行為的,由公安機關依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章 附 則
第七十一條【術語解釋】本條例所稱的“內”、“以上”包含本數;所稱的“行業主管部門”包含行業監管部門。
第七十二條【軍隊】軍隊的網絡安全等級保護工作,按照軍隊的有關法規執行。
第七十三條【生效時間】本條例由自
年 月 日起施行。
第五篇:信息網絡安全等級保護
信息網絡安全等級保護
自檢自查報告
臨河人民醫院的的信息網絡安全建設在上級部門的 關心指導下,近年取得了快速的進步和發展,根據市衛生局《關于開展信息系統等級保護檢查工作的通知》文件精神和要求及接到公安局文件后,醫院高度重視,及時召開院信息系統安全等級保護工作領導小組會議,積極部署工作、明確責任、具體落實,按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,認真對照信息安全等級保護自查項目表,對我院信息安全等級保護工作進行了一次摸底調查,現將此項工作自查情況匯報如下:
一、等級保護工作組織開展、實施情況:
成立了臨河區人民醫院信息系統安全等級保護工作領導小組,落實了信息安全責任制;對等級保護責任部門和崗位人員進行了確定,確保專人落實;制定了等級保護工作的文件及相關工作方案;嚴格按照國家等級保護政策、標準規范和行業主管部門的要求,組織開展各項工作;及時召開了信息系統安全等級保護工作領導小組工作會議;醫院主要領導對等級保護工作作出了重要批示,并在工作會議上提出了四點要求。
2信息安全管理制度的建立和落實情況 院信息中心制定了《臨河區人民醫院信息化建設總體規劃》、《臨河區人民醫院信息系統工作制度與人員崗位職責目錄》、《臨河區人民醫院計算機管理系統應急預案》、《臨河區人民醫院HIS信息系統工作制度》等相關制度,并在實際工作中對照制度嚴格執行各項操作流程。
3按照信息安全法律法規、標準規范的要求制定具體實施方案和落實情況
遵照有關法律法規,對醫院信息服務網遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,對醫院信息服務網信息安全保護等級進行了自主定級。
二、信息系統定級備案情況,信息系統變化及定級備案變動情況:
按照《關于開展全國重要信息系統安全等級保護定級工作的通知》(公通字,2007?861號),對本單位維護的醫院內網站(醫院信息和服務網)安全保護等級級別定位第二級。
三、信息安全設施建設情況和信息安全整改情況:
1安全設施建設情況:我院計算機、公文處理軟件和信息系統安全產品均為國產產品,包括使用360、金山安全衛士、金山毒霸、諾頓nod正版軟件等安全軟件。公文處理軟件使用了Microsoft Office系統。單位使用的工資系統、業務系統、數據傳輸平臺系統、數據庫等應用軟件均為市委、市政府政府相關部門、市財政局和市衛生局統一指定的產品系統。重點信息系統使用的服務器、路由器、交換機等均為國產產品。2信息安全整改情況:
一信息系統安全工作還需要繼續完善和提高相應的維護能力。隨著移動護理查房的展開,信息工作人員還需要繼續提高信息系統安全管理和管護工作的水平。二設備維護、更新有待加強。科室的正版nod殺毒軟件維護能夠自動更新升級,并進行了定時掃描,確保不存在系統漏洞,偶爾更換新主機ip地址會有沖突,IP網絡地址也進行了統一管理。今后將對線路、系統等的及時維護和保養,及時更新升級軟件和管理網絡地址。
三信息系統安全工作機制還有待完善。部門信息系統安全相關工作機制制度、應急預案等還不健全,還要完善信息系統安全工作機制,建立完善信息系統安全應急響應機制,以提高醫院網絡信息工作的運行效率,促進醫療、辦公秩序的進一步規范,防范風險。
四、信息安全管理制度建設和落實情況:
1制定了醫院信息服務網信息安全管理制度,按照“誰主管誰負責”的原則開展工作,我單位負責人為第一責任人,對醫院信息服務網信息安全管理負直接責任,并接受上級單位的監管。
2對醫院信息服務網機房實施了24小時值班,操作系統、數據庫系統、防病毒系統、網站軟件系統實時升級,3發現安全隱患,第一時間由技術人員解決。
五、信息安全產品選擇和使用情況:
醫院內部服務器使用了IBM和戴爾的服務器,交換機使用了H3C.六、聘請測評機構按規范要求開展技術測評工作情況,根據測評結果開展整改情況:暫無聘請測評機構開展技術測評工作。
七、自行定期開展自查情況:
1每半年對醫院信息服務網進行一次信息系統安全保護自查和應急演練措施。2開展信息安全知識和技能培訓情況:主動學習信息安全法律法規,積極參加公安機關、上級主管部門組織的信息安全知識和技能培訓。
點擊咨詢 