第一篇:公安機關信息安全等級保護檢查工作規范
公安機關信息安全等級保護檢查工作規范
第一條 為規范公安機關公共信息網絡安全監察部門開 展信息安全等級保護檢查工作,根據《信息安全等級保護管 理辦法》(以下簡稱《管理辦法》),制定本規范。
第二條 公安機關信息安全等級保護檢查工作是指公安 機關依據有關規定,會同主管部門對非涉密重要信息系統運 營使用單位等級保護工作開展和落實情況進行檢查,督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理 制度、落實安全責任、落實責任部門和人員。
第三條 信息安全等級保護檢查工作由市(地)級以上 公安機關公共信息網絡安全監察部門負責實施。每年對第三 級信息系統的運營使用單位信息安全等級保護工作檢查一 次,每半年對第四級信息系統的運營使用單位信息安全等級 保護工作檢查一次。
第四條 公安機關開展檢查工作,應當按照“嚴格依法,熱情服務”的原則,遵守檢查紀律,規范檢查程序,主動、熱情地為運營使用單位提供服務和指導。
第五條 信息安全等級保護檢查工作采取詢問情況,查 閱、核對材料,調看記錄、資料,現場查驗等方式進行。
第六條 檢查的主要內容:
(一)等級保護工作組織開展、實施情況。安全責任落 實情況,信息系統安全崗位和安全管理人員設置情況;
(二)按照信息安全法律法規、標準規范的要求制定具 體實施方案和落實情況;
(三)信息系統定級備案情況,信息系統變化及定級備 案變動情況;
(四)信息安全設施建設情況和信息安全整改情況;
(五)信息安全管理制度建設和落實情況;
(六)信息安全保護技術措施建設和落實情況;
(七)選擇使用信息安全產品情況;
(八)聘請測評機構按規范要求開展技術測評工作情 況,根據測評結果開展整改情況;
(九)自行定期開展自查情況;
(十)開展信息安全知識和技能培訓情況。第七條 檢查項目:
(一)等級保護工作部署和組織實施情況
1.下發開展信息安全等級保護工作的文件,出臺有關 工作意見或方案,組織開展信息安全等級保護工作情況。
2.建立或明確安全管理機構,落實信息安全責任,落 實安全管理崗位和人員。3.依據國家信息安全法律法規、標準規范等要求制定 具體信息安全工作規劃或實施方案。
4.制定本行業、本部門信息安全等級保護行業標準規 范并組織實施。
(二)信息系統安全等級保護定級備案情況
1.了解未定級、備案信息系統情況以及第一級信息系 統有關情況,對定級不準的提出調整建議。
2.現場查看備案的信息系統,核對備案材料,備案單 位提交的備案材料與實際情況相符合情況。
3.補充提交《信息系統安全等級保護備案登記表》表 四中有關備案材料。
4.信息系統所承載的業務、服務范圍、安全需求等發 生變化情況,以及信息系統安全保護等級變更情況。
5.新建信息系統在規劃、設計階段確定安全保護等級 并備案情況。
(三)信息安全設施建設情況和信息安全整改情況
1.部署和組織開展信息安全建設整改工作。
2.制定信息安全建設規劃、信息系統安全建設整改方 案。3.按照國家標準或行業標準建設安全設施,落實安全 措施。
(四)信息安全管理制度建立和落實情況 1.建立基本安全管理制度,包括機房安全管理、網絡 安全管理、系統運行維護管理、系統安全風險管理、資產和 設備管理、數據及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。
2.建立安全責任制,系統管理員、網絡管理員、安全 管理員、安全審計員是否與本單位簽訂信息安全責任書。
3.建立安全審計管理制度、崗位和人員管理制度。
4.建立技術測評管理制度,信息安全產品采購、使用 管理制度。5.建立安全事件報告和處置管理制度,制定信息系統 安全應急處置預案,定期組織開展應急處置演練。
6.建立教育培訓制度,定期開展信息安全知識和技能 培訓。
(五)信息安全產品選擇和使用情況
1.按照《管理辦法》要求的條件選擇使用信息安全產 品。
2.要求產品研制、生產單位提供相關材料。包括營業 執照,產品的版權或專利證書,提供的聲明、證明材料,計 算機信息系統安全專用產品銷售許可證等。
3.采用國外信息安全產品的,經主管部門批準,并請 有關單位對產品進行專門技術檢測。
(六)聘請測評機構開展技術測評工作情況
1.按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統每年開展一次技術測評,對第四級信息系 統每半年開展一次技術測評。2.按照《管理辦法》規定的條件選擇技術測評機構。
3.要求技術測評機構提供相關材料。包括營業執照、聲明、證明及資質材料等。
4.與測評機構簽訂保密協議。5.要求測評機構制定技術檢測方案。
6.對技術檢測過程進行監督,采取了哪些監督措施。
7.出具技術檢測報告,檢測報告是否規范、完整,檢 查結果是否客觀、公正。
8.根據技術檢測結果,對不符合安全標準要求的,進 一步進行安全整改。
(七)定期自查情況
1.定期對信息系統安全狀況、安全保護制度及安全技 術措施的落實情況進行自查。第三級信息系統是否每年進行 一次自查,第四級信息系統是否每半年進行一次自查。
2.經自查,信息系統安全狀況未達到安全保護等級要 求的,運營、使用單位進一步進行安全建設整改。
第八條 各級公安機關按照“誰受理備案,誰負責檢查” 的原則開展檢查工作。具體要求是:
對跨省或者全國聯網運行、跨市或者全省聯網運行等跨 地域的信息系統,由部、省、市級公安機關分別對所受理備 案的信息系統進行檢查。對轄區內獨自運行的信息系統,由受理備案的公安機關 獨自進行檢查。
第九條 對跨省或者全國聯網運行的信息系統進行檢查 時,需要會同其主管部門。因故無法會同的,公安機關可以 自行開展檢查。
第十條 公安機關開展檢查前,應當提前通知被檢查單 位,并發送《信息安全等級保護監督檢查通知書》。
第十一條 檢查時,檢查民警不得少于兩人,并應當向 被檢查單位負責人或其他有關人員出示工作證件。
第十二條 檢查中應當填寫《信息系統安全等級保護監 督檢查記錄》(以下簡稱《監督檢查記錄》)。檢查完畢后,《監 督檢查記錄》應當交被檢查單位主管人員閱后簽字;對記錄 有異議或者拒絕簽名的,監督、檢查人員應當注明情況。《監 督檢查記錄》應當存檔備查。
第十三條 檢查時,發現不符合信息安全等級保護有關 管理規范和技術標準要求,具有下列情形之一的,應當通知 其運營使用單位限期整改,并發送《信息系統安全等級保護 限期整改通知書》(以下簡稱《整改通知》)。逾期不改正的,給予警告,并向其上級主管部門通報:
(一)未按照《管理辦法》開展信息系統定級工作的;
(二)信息系統安全保護等級定級不準確的;
(三)未按《管理辦法》規定備案的;
(四)備案材料與備案單位、備案系統不符合的;
(五)未按要求及時提交《信息系統安全等級保護備案 登記表》表四的有關內容的;
(六)系統發生變化,安全保護等級未及時進行調整并 重新備案的;
(七)未按《管理辦法》規定落實安全管理制度、技術 措施的;
(八)未按《管理辦法》規定開展安全建設整改和安全 技術測評的;
(九)未按《管理辦法》規定選擇使用信息安全產品和 測評機構的;
(十)未定期開展自查的;
(十一)違反《管理辦法》其他規定的。
第十四條 檢查發現需要限期整改的,應當出具《整改 通知》,自檢查完畢之日起10個工作日內送達被檢查單位。
第十五條 信息系統運營使用單位整改完成后,應當將 整改情況報公安機關,公安機關應當對整改情況進行檢查。
第十六條 公安機關實施信息安全等級保護監督檢查的 法律文書和記錄,應當統一存檔備查。
第十七條 受理備案的公安機關應該配備必要的警力,專門負責信息安全等級保護監督、檢查和指導。從事檢查工 作的民警應當經過省級以上公安機關組織的信息安全等級 保護監督檢查崗位培訓。第十八條 公安機關對檢查工作中涉及的國家秘密、工 作秘密、商業秘密和個人隱私等應當予以保密。
第十九條 公安機關進行安全檢查時不得收取任何費 用。第二十條 本規范所稱“以上”包含本數(級)。第二十一條 本規范自發布之日起實施。
第二篇:公安機關信息安全等級保護檢查工作規范(試行)
公安機關信息安全等級保護檢查工作規范(試行)
2009-06-29 10:13:18
來源:本站
網友評論 0條
第一條 為規范公安機關公共信息網絡安全監察部門開展信息安全等級保護檢查工作,根據《信息安全等級保護管理辦法》(以下簡稱《管理辦法》),制定本規范。
第二條 公安機關信息安全等級保護檢查工作是指公安機關依據有關規定,會同主管部門對非涉密重要信息系統運營使用單位等級保護工作開展和落實情況進行檢查,督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。
第三條 信息安全等級保護檢查工作由市(地)級以上公安機關公共信息網絡安全監察部門負責實施。每年對第三級信息系統的運營使用單位信息安全等級保護工作檢查一次,每半年對第四級信息系統的運營使用單位信息安全等級保護工作檢查一次。
第四條 公安機關開展檢查工作,應當按照“嚴格依法,熱情服務”的原則,遵守檢查紀律,規范檢查程序,主動、熱情地為運營使用單位提供服務和指導。
第五條 信息安全等級保護檢查工作采取詢問情況,查閱、核對材料,調看記錄、資料,現場查驗等方式進行。
第六條 檢查的主要內容:
(一)等級保護工作組織開展、實施情況。安全責任落實情況,信息系統安全崗位和安全管理人員設置情況;
(二)按照信息安全法律法規、標準規范的要求制定具體實施方案和落實情況;
(三)信息系統定級備案情況,信息系統變化及定級備案變動情況;
(四)信息安全設施建設情況和信息安全整改情況;
(五)信息安全管理制度建設和落實情況;
(六)信息安全保護技術措施建設和落實情況;
(七)選擇使用信息安全產品情況;
(八)聘請測評機構按規范要求開展技術測評工作情況,根據測評結果開展整改情況;
(九)自行定期開展自查情況;
(十)開展信息安全知識和技能培訓情況。
第七條 檢查項目:
(一)等級保護工作部署和組織實施情況
1.下發開展信息安全等級保護工作的文件,出臺有關工作意見或方案,組織開展信息安全等級保護工作情況。
2.建立或明確安全管理機構,落實信息安全責任,落實安全管理崗位和人員。
3.依據國家信息安全法律法規、標準規范等要求制定具體信息安全工作規劃或實施方案。
4.制定本行業、本部門信息安全等級保護行業標準規范并組織實施。
(二)信息系統安全等級保護定級備案情況
1.了解未定級、備案信息系統情況以及第一級信息系統有關情況,對定級不準的提出調整建議。
2.現場查看備案的信息系統,核對備案材料,備案單位提交的備案材料與實際情況相符合情況。
3.補充提交《信息系統安全等級保護備案登記表》表四中有關備案材料。
4.信息系統所承載的業務、服務范圍、安全需求等發生變化情況,以及信息系統安全保護等級變更情況。
5.新建信息系統在規劃、設計階段確定安全保護等級并備案情況。
(三)信息安全設施建設情況和信息安全整改情況 1.部署和組織開展信息安全建設整改工作。
2.制定信息安全建設規劃、信息系統安全建設整改方案。
3.按照國家標準或行業標準建設安全設施,落實安全措施。
(四)信息安全管理制度建立和落實情況
1.建立基本安全管理制度,包括機房安全管理、網絡安全管理、系統運行維護管理、系統安全風險管理、資產和設備管理、數據及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。
2.建立安全責任制,系統管理員、網絡管理員、安全管理員、安全審計員是否與本單位簽訂信息安全責任書。
3.建立安全審計管理制度、崗位和人員管理制度。
4.建立技術測評管理制度,信息安全產品采購、使用管理制度。
5.建立安全事件報告和處置管理制度,制定信息系統安全應急處置預案,定期組織開展應急處置演練。
6.建立教育培訓制度,定期開展信息安全知識和技能培訓。
(五)信息安全產品選擇和使用情況
1.按照《管理辦法》要求的條件選擇使用信息安全產品。
2.要求產品研制、生產單位提供相關材料。包括營業執照,產品的版權或專利證書,提供的聲明、證明材料,計算機信息系統安全專用產品銷售許可證等。
3.采用國外信息安全產品的,經主管部門批準,并請有關單位對產品進行專門技術檢測。
(六)聘請測評機構開展技術測評工作情況
1.按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統每年開展一次技術測評,對第四級信息系統每半年開展一次技術測評。
2.按照《管理辦法》規定的條件選擇技術測評機構。
3.要求技術測評機構提供相關材料。包括營業執照、聲明、證明及資質材料等。
4.與測評機構簽訂保密協議。
5.要求測評機構制定技術檢測方案。
6.對技術檢測過程進行監督,采取了哪些監督措施。
7.出具技術檢測報告,檢測報告是否規范、完整,檢查結果是否客觀、公正。
8.根據技術檢測結果,對不符合安全標準要求的,進一步進行安全整改。
(七)定期自查情況
1.定期對信息系統安全狀況、安全保護制度及安全技術措施的落實情況進行自查。第三級信息系統是否每年進行一次自查,第四級信息系統是否每半年進行一次自查。
2.經自查,信息系統安全狀況未達到安全保護等級要求的,運營、使用單位進一步進行安全建設整改。
第八條 各級公安機關按照“誰受理備案,誰負責檢查”的原則開展檢查工作。具體要求是:
對跨省或者全國聯網運行、跨市或者全省聯網運行等跨地域的信息系統,由部、省、市級公安機關分別對所受理備案的信息系統進行檢查。對轄區內獨自運行的信息系統,由受理備案的公安機關獨自進行檢查。
第九條 對跨省或者全國聯網運行的信息系統進行檢查時,需要會同其主管部門。因故無法會同的,公安機關可以自行開展檢查。
第十條 公安機關開展檢查前,應當提前通知被檢查單位,并發送《信息安全等級保護監督檢查通知書》。
第十一條 檢查時,檢查民警不得少于兩人,并應當向被檢查單位負責人或其他有關人員出示工作證件。第十二條 檢查中應當填寫《信息系統安全等級保護監督檢查記錄》(以下簡稱 《監督檢查記錄》)。檢查完畢后,《監督檢查記錄》應當交被檢查單位主管人員閱后簽字;對記錄有異議或者拒絕簽名的,監督、檢查人員應當注明情況。《監督檢查記錄》應當存檔備查。[!--empirenews.page--] 第十三條 檢查時,發現不符合信息安全等級保護有關管理規范和技術標準要求,具有下列情形之一的,應當通知其運營使用單位限期整改,并發送《信息系統安全等級保護限期整改通知書》(以下簡稱《整改通知》)。逾期不改正的,給予警告,并向其上級主管部門通報:
(一)未按照《管理辦法》開展信息系統定級工作的;
(二)信息系統安全保護等級定級不準確的;
(三)未按《管理辦法》規定備案的;
(四)備案材料與備案單位、備案系統不符合的;
(五)未按要求及時提交《信息系統安全等級保護備案登記表》表四的有關內容的;
(六)系統發生變化,安全保護等級未及時進行調整并重新備案的;
(七)未按《管理辦法》規定落實安全管理制度、技術措施的;
(八)未按《管理辦法》規定開展安全建設整改和安全技術測評的;
(九)未按《管理辦法》規定選擇使用信息安全產品和測評機構的;
(十)未定期開展自查的;
(十一)違反《管理辦法》其他規定的。
第十四條 檢查發現需要限期整改的,應當出具《整改通知》,自檢查完畢之日起10個工作日內送達被檢查單位。
第十五條 信息系統運營使用單位整改完成后,應當將整改情況報公安機關,公安機關應當對整改情況進行檢查。
第十六條 公安機關實施信息安全等級保護監督檢查的法律文書和記錄,應當統一存檔備查。
第十七條 受理備案的公安機關應該配備必要的警力,專門負責信息安全等級保護監督、檢查和指導。從事檢查工作的民警應當經過省級以上公安機關組織的信息安全等級保護監督檢查崗位培訓。
第十八條 公安機關對檢查工作中涉及的國家秘密、工作秘密、商業秘密和個人隱私等應當予以保密。
第十九條 公安機關進行安全檢查時不得收取任何費用。
第二十條 本規范所稱“以上”包含本數(級)。
第二十一條 本規范自發布之日起實施。
第三篇:安機關信息安全等級保護檢查工作規范
安機關信息安全等級保護檢查工作規范
(一)開展信息系統安全等級測評,為信息系統安全提供保障。選擇由省級(含)以上信息安全等級保護工作協調小組辦公室審核并備案的測評機構,對第三級(含)以上信息系統開展等級測評工作。等級測評機構依據《信息系統安全等級保護測評要求》等標準對信息系統進行測評,對照相應等級安全保護要求進行差距分析,排查系統安全漏洞和隱患并分析其風險,提出改進建議,按照公安部制訂的信息系統安全等級測評報告格式編制等級測評報告。經測評未達到安全保護要求的,要根據測評報告中的改進建議,制定整改方案并進一步進行整改。各部門要及時向受理備案的公安機關提交等級測評報告。對于重要部門的第二級信息系統,可以參照上述要求開展等級測評工作。
(二)開展信息安全等級保護安全管理制度建設,提高信息系統安全管理水平。按照《管理辦法》、《信息系統安全等級保護基本要求》,參照《信息系統安全管理要求》、《信息系統安全工程管理要求》等標準規范要求,建立健全并落實符合相應等級要求的安全管理制度:一是信息安全責任制,明確信息安全工作的主管領導、責任部門、人員及有關崗位的信息安全責任;二是人員安全管理制度,明確人員錄用、離崗、考核、教育培訓等管理內容;三是系統建設管理制度,明確系統定級備案、方案設計、產品采購使用、密碼使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等管理內容;四是系統運維管理制度,明確機房環境安全、存儲介質安全、設備設施安全、安全監控、網絡安全、系統安全、惡意代碼防范、密碼保護、備份與恢復、事件處置、應急預案等管理內容。建立并落實監督檢查機制,定期對各項制度的落實情況進行自查和監督檢查。
(三)開展信息安全等級保護安全技術措施建設,提高信息系統安全防護能力。按照《管理辦法》、《信息系統安全等級保護基本要求》,參照《信息系統安全等級保護實施指南》、《信息系統通用安全技術要求》、《信息系統安全工程管理要求》、《信息系統等級保護安全設計技術要求》等標準規范要求,結合行業特點和安全需求,制定符合相應等級要求的信息系統安全技術建設整改方案,開展信息安全等級保護安全技術措施建設,落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施,建立并完善信息系統綜合防護體系,提高信息系統的安全防護能力和水平。
(四)通過組織開展信息安全教育培訓。一是解決安全問題,抵御攻擊破壞,減少安全事故,提高安全防范水平,推動網安基礎工作,提高我局信息安全保障水平。二是加強學習,加大宣傳力度,不斷創新工作思路和方法,充分調動多方面工作的積極性,共同做好等級保護工作。
第四篇:信息安全等級保護
信息安全等級保護(二級)信息安全等級保護(二級)備注:其中黑色字體為信息安全等級保護第二級系統要求,藍色字體為第三級系統等保要求。
一、物理安全
1、應具有機房和辦公場地的設計/驗收文檔(機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施)
2、應具有有來訪人員進入機房的申請、審批記錄;來訪人員進入機房的登記記錄
3、應配置電子門禁系統(三級明確要求);電子門禁系統有驗收文檔或產品安全認證資質,電子門禁系統運行和維護記錄
4、主要設備或設備的主要部件上應設置明顯的不易除去的標記
5、介質有分類標識;介質分類存放在介質庫或檔案室內,磁介質、紙介質等分類存放
6、應具有攝像、傳感等監控報警系統;機房防盜報警設施的安全資質材料、安裝測試和驗收報告;機房防盜報警系統的運行記錄、定期檢查和維護記錄;
7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告;機房監控報警系統的運行記錄、定期檢查和維護記錄
8、應具有機房建筑的避雷裝置;通過驗收或國家有關部門的技術檢測;
9、應在電源和信號線上增加有資質的防雷保安器;具有防雷檢測資質的檢測部門對防雷裝置的檢測報告
10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統;自動消防系統的運行記錄、檢查和定期維護記錄;消防產品有效期合格;自動消防系統是經消防檢測部門檢測合格的產品
11、應具有除濕裝置;空調機和加濕器;溫濕度定期檢查和維護記錄
12、應具有水敏感的檢測儀表或元件;對機房進行防水檢測和報警;防水檢測裝置的運行記錄、定期檢查和維護記錄
13、應具有溫濕度自動調節設施;溫濕度自動調節設施的運行記錄、定期檢查和維護記錄
14、應具有短期備用電力供應設備(如UPS);短期備用電力供應設備的運行記錄、定期檢查和維護記錄
15、應具有冗余或并行的電力電纜線路(如雙路供電方式)
16、應具有備用供電系統(如備用發電機);備用供電系統運行記錄、定期檢查和維護記錄
二、安全管理制度
1、應具有對重要管理操作的操作規程,如系統維護手冊和用戶操作規程
2、應具有安全管理制度的制定程序:
3、應具有專門的部門或人員負責安全管理制度的制定(發布制度具有統一的格式,并進行版本控制)
4、應對制定的安全管理制度進行論證和審定,論證和審定方式如何(如召開評審會、函審、內部審核等),應具有管理制度評審記錄
5、應具有安全管理制度的收發登記記錄,收發應通過正式、有效的方式(如正式發文、領導簽署和單位蓋章等)----安全管理制度應注明發布范圍,并對收發文進行登記。
6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定,審定周期多長。(安全管理制度體系的評審記錄)
7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查,對需要改進的制度進行修訂。(應具有安全管理制度修訂記錄)
三、安全管理機構
1、應設立信息安全管理工作的職能部門
2、應設立安全主管、安全管理各個方面的負責人
3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位(分工明確,各司其職),數量情況(管理人員名單、崗位與人員對應關系表)
4、安全管理員應是專職人員
5、關鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應設立指導和管理信息安全工作的委員會或領導小組(最高領導是否由單位主管領導委任或授權的人員擔任)
7、應對重要信息系統活動進行審批(如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等),審批部門是何部門,審批人是何人。審批程序:
8、應與其它部門之間及內部各部門管理人員定期進行溝通(信息安全領導小組或者安全管理委員會應定期召開會議)
9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄,定期:
10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄(如會議記錄/紀要,信息安全工作決策文檔等)
11、應與公安機關、電信公司和兄弟單位等的溝通合作(外聯單位聯系列表)
12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。
13、聘請信息安全專家作為常年的安全顧問(具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄)
14、應組織人員定期對信息系統進行安全檢查(查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況)
15、應定期進行全面安全檢查(安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格,安全檢查報告,檢查結果通告記錄)
四、人員安全管理
1、何部門/何人負責安全管理和技術人員的錄用工作(錄用過程)
2、應對被錄用人的身份、背景、專業資格和資質進行審查,對技術人員的技術技能進行考核,技能考核文檔或記錄
3、應與錄用后的技術人員簽署保密協議(協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容)
4、應設定關鍵崗位,對從事關鍵崗位的人員是否從內部人員中選拔,是否要求其簽署崗位安全協議。
5、應及時終止離崗人員的所有訪問權限(離崗人員所有訪問權限終止的記錄)
6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等(交還身份證件和設備等的登記記錄)
7、人員離崗應辦理調離手續,是否要求關鍵崗位調離人員承諾相關保密義務后方可離開(具有按照離崗程序辦理調離手續的記錄,調離人員的簽字)
8、對各個崗位人員應定期進行安全技能考核;具有安全技能考核記錄,考核內容要求包含安全知識、安全技能等。
9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內容是否包括操作行為和社會關系等。
10、應對各類人員(普通用戶、運維人員、單位領導等)進行安全教育、崗位技能和安全技術培訓。
11、應針對不同崗位制定不同的培訓計劃,并按照計劃對各個崗位人員進行安全教育和培訓(安全教育和培訓的結果記錄,記錄應與培訓計劃一致)
12、外部人員進入條件(對哪些重要區域的訪問須提出書面申請批準后方可進入),外部人員進入的訪問控制(由專人全程陪同或監督等)
13、應具有外部人員訪問重要區域的書面申請
14、應具有外部人員訪問重要區域的登記記錄(記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等)
五、系統建設管理
1、應明確信息系統的邊界和安全保護等級(具有定級文檔,明確信息系統安全保護等級)
2、應具有系統建設/整改方案
3、應授權專門的部門對信息系統的安全建設進行總體規劃,由何部門/何人負責
4、應具有系統的安全建設工作計劃(系統安全建設工作計劃中明確了近期和遠期的安全建設計劃)
5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定(配套文件的論證評審記錄或文檔)
6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂
7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本
8、應按照國家的相關規定進行采購和使用系統信息安全產品
9、安全產品的相關憑證,如銷售許可等,應使用符合國家有關規定產品
10、應具有專門的部門負責產品的采購
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
11、采購產品前應預先對產品進行選型測試確定產品的候選范圍,形成候選產品清單,是否定期審定和更新候選產品名單
12、應具有產品選型測試結果記錄和候選產品名單及更新記錄(產品選型測試結果文檔)
13、應具有軟件設計相關文檔,專人保管軟件設計的相關文檔,應具有軟件使用指南或操作手冊
14、對程序資源庫的修改、更新、發布應進行授權和批準
15、應具有程序資源庫的修改、更新、發布文檔或記錄
16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測
17、軟件安裝之前應檢測軟件中的惡意代碼(該軟件包的惡意代碼檢測報告),檢測工具是否是第三方的商業產品
18、應具有軟件設計的相關文檔和使用指南
19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔
20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制
21、應具有工程實施過程應按照實施方案形成各種文檔,如階段性工程進程匯報報告,工程實施方案
22、在信息系統正式運行前,應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試(第三方測試機構出示的系統安全性測試驗收報告)
23、應具有工程測試驗收方案(測試驗收方案與設計方案或合同要求內容一致)
24、應具有測試驗收報告
25、應指定專門部門負責測試驗收工作(具有對系統測試驗收報告進行審定的意見)
26、根據交付清單對所交接的設備、文檔、軟件等進行清點(系統交付清單)
27、應具有系統交付時的技術培訓記錄
28、應具有系統建設文檔(如系統建設方案)、指導用戶進行系統運維的文檔(如服務器操作規程書)以及系統培訓手冊等文檔。
29、應指定部門負責系統交付工作
30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議(文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容
31、選定的安全服務商應提供一定的技術培訓和服務
32、應與安全服務商簽訂的服務合同或安全責任合同書
六、系統運維管理
1、應指定專人或部門對機房的基本設施(如空調、供配電設備等)進行定期維護,由何部門/何人負責。
2、應具有機房基礎設施的維護記錄,空調、溫濕度控制等機房設施定期維護保養的記錄
3、應指定部門和人員負責機房安全管理工作
4、應對辦公環境保密性進行管理(工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件)
5、應具有資產清單(覆蓋資產責任人、所屬級別、所處位置、所處部門等方面)
6、應指定資產管理的責任部門或人員
7、應依據資產的重要程度對資產進行標識
8、介質存放于何種環境中,應對存放環境實施專人管理(介質存放在安全的環境(防潮、防盜、防火、防磁,專用存儲空間))
9、應具有介質使用管理記錄,應記錄介質歸檔和使用等情況(介質存放、使用管理記錄)
10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制
11、應對介質的使用情況進行登記管理,并定期盤點(介質歸檔和查詢的記錄、存檔介質定期盤點的記錄)
12、對送出維修或銷毀的介質如何管理,銷毀前應對數據進行凈化處理。(對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準)(送修記錄、帶出記錄、銷毀記錄)
13、應對某些重要介質實行異地存儲,異地存儲環境是否與本地環境相同(防潮、防盜、防火、防磁,專用存儲空間)
14、介質上應具有分類的標識或標簽
15、應對各類設施、設備指定專人或專門部門進行定期維護。
16、應具有設備操作手冊
17、應對帶離機房的信息處理設備經過審批流程,由何人審批(審批記錄)
18、應監控主機、網絡設備和應用系統的運行狀況等
19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警
20、應具有日常運維的監控日志記錄和運維交接日志記錄
21、應定期對監控記錄進行分析、評審
22、應具有異常現象的現場處理記錄和事后相關的分析報告
23、應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理
24、應指定專人負責維護網絡安全管理工作
25、應對網絡設備進行過升級,更新前應對現有的重要文件是否進行備份(網絡設備運維維護工作記錄)
26、應對網絡進行過漏洞掃描,并對發現的漏洞進行及時修補。
27、對設備的安全配置應遵循最小服務原則,應對配置文件進行備份(具有網絡設備配置數據的離線備份)
28、系統網絡的外聯種類(互聯網、合作伙伴企業網、上級部門網絡等)應都得到授權與批準,由何人/何部門批準。應定期檢查違規聯網的行為。
29、對便攜式和移動式設備的網絡接入應進行限制管理
30、應具有內部網絡外聯的授權批準書,應具有網絡違規行為(如撥號上網等)的檢查手段和工具。
31、在安裝系統補丁程序前應經過測試,并對重要文件進行備份。
32、應有補丁測試記錄和系統補丁安裝操作記錄
33、應對系統管理員用戶進行分類(比如:劃分不同的管理角色,系統管理權限與安全審計權限分離等)
34、審計員應定期對系統審計日志進行分析(有定期對系統運行日志和審計數據的分析報告)
35、應對員工進行基本惡意代碼防范意識的教育,如告知應及時升級軟件版本(對員工的惡意代碼防范教育的相關培訓文檔)
36、應指定專人對惡意代碼進行檢測,并保存記錄。
37、應具有對網絡和主機進行惡意代碼檢測的記錄
38、應對惡意代碼庫的升級情況進行記錄(代碼庫的升級記錄),對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件,如何處理
39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。
41、重要系統的變更申請書,應具有主管領導的批準
42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統(備份文件記錄)
43、應定期執行恢復程序,檢查和測試備份介質的有效性
44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔
45、應對安全事件記錄分析文檔
46、應具有不同事件的應急預案
47、應具有應急響應小組,應具備應急設備并能正常工作,應急預案執行所需資金應做過預算并能夠落實。
48、應對系統相關人員進行應急預案培訓(應急預案培訓記錄)
49、應定期對應急預案進行演練(應急預案演練記錄)50、應對應急預案定期進行審查并更新
51、應具有更新的應急預案記錄、應急預案審查記錄。
第五篇:信息安全等級保護工作計劃
篇一:信息安全等級保護工作實施方案 白魯礎九年制學校
信息安全等級保護工作實施方案
為加強信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進我校信息化建設。根據商教發【2011】321號文件精神,結合我校實際,制訂本實施方案。
一、指導思想
以科學發展觀為指導,以黨的十七大、十七屆五中全會精神為指針,深入貫徹執行《信息安全等級保護管理辦法》等文件精神,全面推進信息安全等級保護工作,維護我校基礎信息網絡和重要信息系統安全穩定運行。
二、定級范圍
學校管理、辦公系統、教育教學系統、財務管理等重要信息系統以及其他重要信息系統。
三、組織領導
(一)工作分工。定級工作由電教組牽頭,會同學校辦公室、安全保衛處等共同組織實施。學校辦公室負責定級工作的部門間協調。安全保衛處負責定級工作的監督。
電教組負責定級工作的檢查、指導、評審。
各部門依據《信息安全等級保護管理辦法》和本方案要求,開展信息系統自評工作。
(二)協調領導機制。
1、成立領導小組,校長任組長,副校長任副組長、各部門負責人為成員,負責我校信息安全等級保護工作的領導、協調工作。督促各部門按照總體方案落實工作任務和責任,對等級保護工作整體推進情況進行檢查監督,指導安全保密方案制定。
2、成立由電教組牽頭的工作機構,主要職責:在領導小組的領導下,切實抓好我校定級保護工作的日常工作。做好組織各信息系統運營使用部門參加信息系統安全等級保護定級相關會議;組織開展政策和技術培訓,掌握定級工作規范和技術要求,為定級工作打好基礎;全面掌握學校各部門定級保護工作的進展情況和存在的問題,對存在的問題及時協調解決,形成定級工作總結并按時上報領導小組。
3、成立由赴省參加過計算機培訓的教師組成的評審組,主要負責:一是為我校信息與網絡安全提供技術支持與服務咨詢;二是參與信息安全等級保護定級評審工作;三是參與重要信息與網絡安全突發公共事件的分析研判和為領導決策提供依據。
四、主要內容、工作步驟
(一)開展信息系統基本情況的摸底調查。各部門要組織開展對所屬信息系統的摸底調查,全面掌握信息系統的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求,確定定級對象。
(二)初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》,初步確定定級對象的安全保護等級,起草定級報告。涉密信息系統的等級確定按照國家保密局的有關規定和標準執行。
(三)評審。初步確定信息系統安全保護等級后,上報學校信息系統安全等級保護評審組進行評審。
(四)備案。根據《信息安全等級保護管理辦法》,信息系統安全保護等級為第二級以上的信息系統統一由電教組負責備案工作。
五、定級工作要求
(一)加強領導,落實保障。各部門要落實責任,并于12月15日前將《信息系統安全等級保護備案表》、《信息系統安全等級保護定級報告》上報九年制學校。
(二)加強培訓,嚴格定級。為切實落實評審工作,保證定級準確,備案及時,全面提高我校基礎信息網絡和重要信息系統的信息安全保護能力和水平,保證定級工作順利進行,各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統單位信息分級培訓材料》、《信息系統安全保護等級定級指南(國標)》、《信息系統安全等級保護基本要求(報批)》、《信息系統安全等級保護實施指南(報批)》等材料。
(三)積極配合、認真整改。各部門要認真按照評級要求,組織開展等級保護工作,切實做好重要信息系統的安全等級保護。
(四)自查自糾、完善制度。此次定級工作完成后,請各部門按照《信息安全等級保護管理辦法》和有關技術標準,依據系統所定保護等級的要求,定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查,并不斷完善安全管理制度,今后,若信息系統備案資料發生變化,應及時進行變更備案篇二:醫院信息系統安全等級保護工作實施方案 醫院信息系統安全等級 保護工作實施方案
醫院信息系統是醫療服務的重要支撐體系。為確保我院信息系統安全可靠運行,根據公安部等四部、局、辦印發的《關于信息安全等級保護工作的實施意見》公通字【2004】66號、《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》衛辦綜函【2011】1126號、衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的通知 衛辦發【2011】85號和省市有關文件精神,并結合我院信息化建設的工作實際,特制定《德江縣民族中醫院信息系統安全等級保護工作實施方案》確保我院信息系統安全。
一、組織領導 組 長: 副組長: 組 員:
領導小組辦公室設在xx科,由xx同志兼任主任,xx等同志負責具體工作。
二、工作任務
1、做好系統定級工作。定級系統包括基礎支撐系統,面向患者服務信息系統,內部行政管理信息系統、網絡直報系統及門戶網站,定級方法由市衛生局統一與市公安局等信息安全相關部門協商。
2、做好系統備案工作。按照市衛生系統信息安全等級保護劃分定級要求,對信息系統進行定級后,將本單位《信息系統安全等級保護備案表》《信息系統定級報告》和備案電子數據報衛生局,由衛生局報屬地公安機關辦理備案手續。
3、做好系統等級測評工作。完成定級備案后,選擇市衛生局推薦的等級測評機構,對已確定安全保護等級信息系統,按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準開展等級測評,信息系統測評后,及時將測評機構出具的《信息系統等級測評報告》向屬地公安機關報備。
4、完善等級保護體系建設做好整改工作。按照測評報告評測結果,對照《信息系統安全等級保護基本要求》(gb/t22239-2008)等有關標準,結合醫院工作實際,組織開展等級保護安全建設整改工作,具體要求如下:
三、工作要求
1、建立安全管理組織機構。成立信息安全工作組,網絡辦負責人為安全責任人,擬定實施醫院信息系統安全等級保護的具體方案,并制定相應的崗位責任制,確保信息安全等級保護工作順利實施。
2、建立健全信息系統安全管理制度。根據信息安全等級保護的要求,制定各項信息系統安全管理制度,對安全管理人員或操作人員執行的重要管理操作建立操作規程和執行記錄文檔。
3、制定保障醫療活動不中斷的應急預案。應急預案是安全等級保護的重要組成部分,按可能出現問題的不同情形制定相應的應急措施,在系統出現故障和意外且無法短時間恢復的情況下能確保醫療活動持續進行。
4、嚴格執行安全事故報告和處置管理制度。醫院信息系統所有使用或管理人員均有責任發現和報告信息安全可疑事件,應視情況及時以口頭或書面的形式報告院網絡辦。對重大信息網絡安全事件、安全事故和計算機違法犯罪案件,應在24小時內向公安機關報告,并保護好現場。篇三:2013年信息安全等級保護工作匯報 2013年信息安全等級保護工作匯報
一、加強領導
二、完善制度
為貫徹落實全市加強和改進互聯網建設與管理工作會議和市委辦公室、市政府辦公室《揚州市深入推進信息安全等級保護工作的實施意見》(揚辦發[2012]57號)文件精神,對集團信息系統安全等級保護工作做出了具體的要求,根據等級保護要求,開展了信息安全制度的前期完善工作。陸續制定了“增加揚州網一些網站新聞發布審核的制度”、《外部人員訪問機房審批管理制度》、《中心機房管理辦法》、《機房消防安全管理制度》等制度。
三、信息等級安全保護基本情況
目前,集團已有揚州網、揚州晚報網、揚州汽車網、藝術在線網和多個內部信息系統根據等級保護的要求進行了整改優化,積極加強信息系統安全環境建設,消除安全管理中的薄弱環節。在物理安全方面,機房安裝門禁系統,嚴格管理機房人員進出,消防設施完善,所有設備通過ups供電。關鍵網絡設備和服務器做到有主有備,確保在發生物理故障時可以及時更換。
在網絡安全方面,我們嚴格按照內、外網物理隔離的標準建設網絡系統,并采用虛擬局域網技術,通過交換機端口的ip綁定,防止非法網絡接入;在網絡出口以及不同網絡互聯邊界全面部署硬件防火墻,部署日志服務器,記錄并留存使用互聯網和內部網絡地址對應關系; 在集團互聯網出口部署網絡行為管理系統,規范和記錄上網行為,合理控制不同應用的網絡流量,實現網絡帶寬動態分配,保障了信息系統正常應用的網絡環境。
在主機安全方面,終端計算機采用雙硬盤及物理隔離互聯網及內網應用,通過部署趨勢網絡防毒墻網絡版,安裝聯軟安全管理軟件保障客戶機系統安全,并且做到漏洞補丁及時更新,重要的應用系統安裝了計算機監控與審計系統,實現對主機的usb等外設接口的控制管理,采用key用戶名密碼等方式控制用戶登陸行為。
對于應用安全,嚴格做好系統安全測試,配備了專門的漏洞 掃描儀定期掃描應用系統漏洞,并按測試結果做好安全修復和加固工作;在網站區,部屬入侵防御系統,監測、記錄安全事件,及時阻斷入侵行為,自部署起已多次成功檢測出sql注入,ftp匿名登錄,網站目錄遍歷,探測主機地址漏洞等。
在數據安全方面,數據庫通過備份系統定期備份,關鍵數據庫服務器采用雙機熱備份,保證數據庫服務器的可用性和高效性,在出現故障時可以快速恢復;數據庫的訪問按不同用戶身份進行嚴格的權限控制。
四、建議
信息系統安全等級保護工作責任重大,技術性強,工作量巨大,集團在該項工作上雖然取得一些進展,但是與市里要求還有相當的差距,在等級保護意識、宣傳力度、技術人才的培養和制度的建立上仍然存在問題。
建議市里加強工作指導,通過多種方式的等級保護技術交流和培訓,提高單位領導及員工的等級保護意識,進一步推進集團的信息系統等級保護工作。
點擊咨詢 