6、信息安全等级保护的工作进展、下一步等级保护工作部署

时间:2019-05-12 02:31:50下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《6、信息安全等级保护的工作进展、下一步等级保护工作部署》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《6、信息安全等级保护的工作进展、下一步等级保护工作部署》。

第一篇:6、信息安全等级保护的工作进展、下一步等级保护工作部署

信息安全等级保护的工作进展

一、2006年1月制定出台了《信息安全等级保护管理办法(试行)》。

二、2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。

三、制定了等级保护系列技术标准。

四、开展了等级保护基础调查工作。

五、部署开展信息安全等级保护试点工作。

六、出台新的《信息安全等级保护管理办法》。

七、筹备召开全国信息系统定级工作。(基本完成)

八、安全建设整改、等级测评和检查。(正在进行)

下一步等级保护工作部署

一、总体思路

充分借鉴北京奥运会信息网络安全工作成功经验,健全完善等级保护工作机制,明确重点工作对象,明确工作分工和任务要求,严格落实安全责任制,认真抓好安全建设整改、等级测评和检查等三项重点工作。

二、工作目标

各地区、各部门要依据等级保护有关政策和标准,通过开展等级测评,明确等级保护安全建设整改需求,有针对性地开展安全等级保护管理制度建设和技术措施建设,并通过监督检查,落实等级保护制度的各项要求,使重要信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。2010年底前完成涉及国家秘密的信息系统分级保护建设任务,2011年底前完成第三级以上(含)信息系统安全建设任务。

三、工作内容

(一)开展信息系统安全等级保护测评,明确安全建设整改需求。

开展信息安全等级测评工作是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确安全建设需求的有效措施。

备案单位选择符合《管理办法》和有关标准规定条件的测评机构开展等级测评 测评机构依据《信息系统安全等级保护测评要求》等进行测评

测评机构按照公安部制订的《信息系统安全等级测评报告模版》编制测评报告

备案单位根据测评报告中的改进建议,研究确定系统安全建设整改的目标、内容和要求

系统安全建设整改工作完成后,应再次进行等级测评

第三级以上信息系统每年至少一次等级测评 备案单位应及时向受理备案的公安机关提交测评报告

(二)开展信息系统安全等级保护管理制度建设

参照《信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准,建立健全符合相应等级要求的安全管理制度。定期检查制度落实情况并不断完善。

信息安全责任制。要明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;

(三)开展信息系统安全等级保护技术措施建设。

参照《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》等有关标准,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设方案。

按照建设方案,参照《信息系统安全等级保护实施指南》、《信息系统安全工程管理要求》等有关标准和信息安全产品分等级使用要求,组织实施信息系统安全建设工程,建立健全相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

既可以针对等级测评发现的问题进行整改,也可以重新全面规划安全建设。

建立并完善系统安全保障体系,提高系统的整体安全防护能力

在系统安全保护技术设计中,可以结合实际,参照《信息系统等级保护安全设计技术要求》进行。

(四)开展等级测评机构建设和管理

《关于开展信息安全等级保护测评体系建设试点工作的通知 》(公信安[2009]812号)

《信息安全等级保护等级测评实施细则》

推动测评机构建设模式,探索测评机构能力建设和确认的内容和方法 探索测评人员条件、能力以及资格等内容和要求。

根据信息安全等级测评的实际需要,有计划地开展信息安全等级测评机构建设。

等级测评机构应当符合《信息安全等级保护管理办法》的有关条件,并向当地等级保护工作协调(领导)小组办公室备案,供备案单位选择。

等级测评机构应当遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务;保守秘密,防范测评风险;对测评人员进行教育,并负责检查落实。

各级等级保护工作协调(领导)小组办公室对备案的测评机构实施管理。加强对测评过程的管理,审核、审查。

加强对测评机构的管理(条件、能力、培训、测评活动的规范)。

(五)开展信息安全等级保护工作的监督管理。

各地区、各部门和各有关单位要定期对本地区、本部门、本单位等级保护安全责任制、安全管理制度及技术保护措施等信息安全等级保护制度的落实情况进行督促,定期开展自查和抽查。

公安机关应当按照《管理办法》和《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)的有关要求,会同主管部门定期对第三、四级信息系统备案单位信息安全等级保护工作情况进行检查,及时发现问题并督促整改。

四、工作步骤

1、部署阶段:要利用多种形式,积极开展宣贯培训。结合本部门、本行业特点和实际情况认真研究贯彻落实意见,明确具体工作目标、内容和计划安排,制定具体落实工作方案。

2、等级测评阶段:要组织信息系统运营使用单位,通过等级测评和风险评估等方法,对照相关标准进行差距评估,查找信息系统安全隐患和问题,明确信息系统安全建设整改需求,制定信息系统安全建设整改方案,经专家评审、主管部门审批后报公安机关备案。

3、建设整改阶段:各地区、各部门全面开展重要信息系统安全建设整改工作。建设整改完成后要开展等级测评,针对测评发现的问题进一步开展整改,直至符合等级保护制度要求。重要行业、重要部门可以根据实际情况,选择有代表性的信息系统进行安全建设整改试点、示范,及时总结并推广先进经验。重点行业可以根据国家标准,在有关部门指导下,结合行业特点制定行业规范。

4、总结阶段:各地区、各部门要结合开展重要信息系统安全建设工作的实际,认真总结经验,查找不足,提出改进和完善安全建设工作的意见和建议,报国家信息安全等级保护工作协调小组办公室

五、工作要求

1、加强领导,落实责任。各地区、各部门要高度重视重要信息系统等级保护安全建设工作,按照“谁主管谁负责、谁运行谁负责”的原则,切实加强对重要信息系统安全建设工作的组织领导,完善工作机制,明确安全责任,落实等级保护工作的行业主管责任。信息系统运营使用单位要落实责任部门、责任人员和安全建设经费,保障安全建设工作顺利进行。

2、明确职责,密切配合。各级公安机关、保密工作部门、国家密码管理部门要加强对各单位、各部门安全建设工作落实情况的监督、检查、指导,各级工业和信息化部门要按照《管理办法》的要求加强对等级保护工作的协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展安全建设工作,督促、指导其落实各项工作任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施安全建设工作。

3、及时总结,取得成效。自2009年起,各地区、各部门要对等级保护工作开展情况进行年度总结,于每年年底前报同级信息安全等级保护协调(领导)小组办公室。备案单位每季度要对定级备案情况、等级测评情况、安全建设整改情况和自查情况等工作进行总结,形成总结报告并报受理备案的公安机关。

第二篇:信息安全等级保护

信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)

2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;

9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路(如双路供电方式)

16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序:

3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)

4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)

7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:

8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)

11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。

13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)

14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)

15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)

2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录

3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)

4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)

7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)

8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。

10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。

11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)

12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)

五、系统建设管理

1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责

4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)

5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)

13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案

22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)

23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)

26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)

13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案

22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)

23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)

26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。

2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)

5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))

9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制

11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)

12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)

13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)

14、介质上应具有分类的标识或标签

15、应对各类设施、设备指定专人或专门部门进行定期维护。

16、应具有设备操作手册

17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)

18、应监控主机、网络设备和应用系统的运行状况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警

20、应具有日常运维的监控日志记录和运维交接日志记录

21、应定期对监控记录进行分析、评审

22、应具有异常现象的现场处理记录和事后相关的分析报告

23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理

24、应指定专人负责维护网络安全管理工作

25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)

26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。

27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)

28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。

29、对便携式和移动式设备的网络接入应进行限制管理

30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。

31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。

32、应有补丁测试记录和系统补丁安装操作记录

33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)

34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)

35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)

36、应指定专人对恶意代码进行检测,并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录

38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理

39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。

41、重要系统的变更申请书,应具有主管领导的批准

42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)

43、应定期执行恢复程序,检查和测试备份介质的有效性

44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

45、应对安全事件记录分析文档

46、应具有不同事件的应急预案

47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。

48、应对系统相关人员进行应急预案培训(应急预案培训记录)

49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录。

第三篇:信息安全等级保护工作计划

篇一:信息安全等级保护工作实施方案 白鲁础九年制学校

信息安全等级保护工作实施方案

为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。

一、指导思想

以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。

二、定级范围

学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导

(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。

(二)协调领导机制。

1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。

2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。

3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。

四、主要内容、工作步骤

(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。

(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。

(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。

五、定级工作要求

(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。

(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。

(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。

(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案篇二:医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案

医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。

一、组织领导 组 长: 副组长: 组 员:

领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。

二、工作任务

1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。

2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》(gb/t22239-2008)等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,具体要求如下:

三、工作要求

1、建立安全管理组织机构。成立信息安全工作组,网络办负责人为安全责任人,拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件,应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件,应在24小时内向公安机关报告,并保护好现场。篇三:2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报

一、加强领导

二、完善制度

为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。

三、信息等级安全保护基本情况

目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过ups供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。

在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的ip绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系; 在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。

在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的usb等外设接口的控制管理,采用key用户名密码等方式控制用户登陆行为。

对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出sql注入,ftp匿名登录,网站目录遍历,探测主机地址漏洞等。

在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。

四、建议

信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

建议市里加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进集团的信息系统等级保护工作。

第四篇:浅谈信息安全等级保护问题

浅谈信息安全等级保护问题 当今,我国关于实现信息安全的一项重要的举措就是信息系统安全等级保护。严格按照等级保护的规定,建设安全的信息系统成为了目前面临的主要问题。本文主要介绍了信息安全等级的划分以及如何对具体的信息系统实施安全等级保护措施的方法。

随着现在高科技的快速发展以及当前社会对信息系统需求的不断增加,信息系统的规模也在日益扩大,它的诸多应用都给社会创造了巨大的财富,与此同时,信息系统也成为了威胁、攻击以及破坏的对象。由于信息在网络上的存储、传输和共享等过程的非法利用,导致目前如何确保信息系统的安全性就成为了我们现阶段亟待解决的重点问题。当前,我们正在有计划的开展信息安全等级保护制度实施工作。为了确保计算机信息系统的安全,一定要系统地、深入地研究和学习信息系统安全技术和等级保护方法。

1、信息安全等级保护

2003年,中办、国办转发 国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级别是系统审计保护级。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外,它还要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督 审计。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级别是结构化保护级。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责管理访问者对访问对象的所有访问活动,管理访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。

2、信息安全等级划分

2.1按相关政策规定划分安全保护等级

对于我国中央和国家各级机关、国家重点科研部门机构、国防建设部门等需要对信息系统施行特殊隔离和保护的单位机关,均应按照相关政策、相关法律法规,实施安全等级保护。

2.2按照保护数据的价值划分保护等级

不同类别的数据信息需要实施不同安全等级的保护,这样不仅能使信息系统中的数据信息的安全得到应有的保证,而且又能缩减一部分不必要的开销。

3、信息安全等级保护具体方法

信息系统安全等级划分的最优的选择是全方位划分等级,其最基本的思想为重点保护和适度保护。在此基础上,投入合理的安全投入,运用以下两点信息安全等级保护方法,努力使信息系统得到应有的安全保护。

3.1全系统的同一安全等级的安全保护

全系统同一安全等级安全保护:在一个需要进行安全等级保护的信息系统中,在组成系统的任何部分,所存储、传输和处理的全部数据信息,都需进行相同的安全保护等级的保护措施。

当有这样要求,规定所要保护的数据信息,不管处于系统中任何位置,进行任何形式的数据处理都需采取相同安全保护等级是,都应严格按照全系统同一安全等级安全保护方法开展系统安全性设计,设计出要求所需的安全机制。

3.2分系统不同安全等级安全保护

所谓分系统不同安全等级安全保护:在一个需要进行安全等级保护的计算机信息系统中,其中所存储、传输和处理的全部数据信息,应该按照信息在组成计算机信息系统的每个分系统中的不同保护要求的原则,对其实施不同安全保护等级的安全保护。

3.3虚拟系统不同安全等级安全保护

络信息安全进行控制。具体的实施措施可以使用路由器对外界进行控制,将路由器作为网关的局域网上的诸?~llnternet等网络服务的信息流量,也可以通过对系统文件权限的设置来确认访问是否合法,以此来保证计算机网络信息的安全。

3.4计算机网络病毒的防范技术

计算机病毒是威胁计算机网络安全的重大因素,因此应该对常见的计算机病毒知识进行熟练地掌握,对其基本的防治技术手段有一定的了解,能够在发现病毒的第一时间里对其进行及时的处理,将危害降到最低。对于计算机病毒的防范可以采用以下一些技术手段,可以通过加密执行程序,引导区保护、系统监控和读写控制等手段,对系统中是否有病毒进行监督判断,进而阻止病毒侵人计算机系统。

3.5漏洞扫描及修复技术

计算机系统中的漏洞是计算机网络安全中存在的极大隐患,因此,要定期对计算机进行全方位的系统漏洞扫描,以确认当前的计算机系统中是否存在着系统漏洞。一旦发现计算机中存在系统漏洞,要及时的对其进行修复,避免被黑客等不放法子利用。漏洞的修复分两种,有的漏洞系统自身可以进行恢复,而有一部分漏洞则需要手动进行修复。

4、结语

在当前通信与信息产业高速发展的形势下,计算机网络安全技术的研究与应用也应该与时俱进,不断地研究探讨更加优化的计算机网络防范技术,将其应用到计算机网络系统的运行中,减少计算机网络使用的安全风险。实现安全的进行信息交流,资源共享的目的,使计算机网络系统更好的为人们的生活工作服务。

第五篇:信息安全等级保护(二级)

信息安全等级保护(二级)

备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)

2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;

9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路(如双路供电方式)

16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序:

3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)

4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)

7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:

8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)

11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。

13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)

14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)

15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)

2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录

3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)

4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)

7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)

8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。

10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。

11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)

12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)

五、系统建设管理

1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责

4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)

5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)

13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案

22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)

23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)

26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。

2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)

5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))

9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制

11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)

12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)

13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)

14、介质上应具有分类的标识或标签

15、应对各类设施、设备指定专人或专门部门进行定期维护。

16、应具有设备操作手册

17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)

18、应监控主机、网络设备和应用系统的运行状况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警 20、应具有日常运维的监控日志记录和运维交接日志记录

21、应定期对监控记录进行分析、评审

22、应具有异常现象的现场处理记录和事后相关的分析报告

23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理

24、应指定专人负责维护网络安全管理工作

25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)

26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。

27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)

28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。

29、对便携式和移动式设备的网络接入应进行限制管理

30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。

31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。

32、应有补丁测试记录和系统补丁安装操作记录

33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)

34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)

35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)

36、应指定专人对恶意代码进行检测,并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录

38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理

39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。

41、重要系统的变更申请书,应具有主管领导的批准

42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)

43、应定期执行恢复程序,检查和测试备份介质的有效性

44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

45、应对安全事件记录分析文档

46、应具有不同事件的应急预案

47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。

48、应对系统相关人员进行应急预案培训(应急预案培训记录)

49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录。

下载6、信息安全等级保护的工作进展、下一步等级保护工作部署word格式文档
下载6、信息安全等级保护的工作进展、下一步等级保护工作部署.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    信息安全等级保护管理办法

    关于印发《信息安全等级保护管理办法》的通知 各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公......

    信息安全等级保护测评

    TopSec可信等级体系 天融信等级保护方案 Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网 1.等级保护概述 1.1为什么要实行等级保护? 信息系统与社会组织体......

    信息网络安全等级保护

    信息网络安全等级保护 自检自查报告 临河人民医院的的信息网络安全建设在上级部门的 关心指导下,近年取得了快速的进步和发展,根据市卫生局《关于开展信息系统等级保护检查工......

    xx信息等级安全保护自查报告

    xx区地税局信息系统安全自查报告 根据xx市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见,参照《xx省地税局2010年税务信息系统安全检查方案》,从“安全管理检查......

    信息安全等级保护自查项目表

    信息安全等级保护自查项目表 一、备案单位基本情况 单位全称 责任部门负责人 责任部门联系人 已定级备案的信 息系统数量 姓 姓 名 名 职务或职称 职务或职称 三级系统 等......

    信息安全等级保护管理办法(精)

    信息安全等级保护管理办法 第一章 总则 第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华......

    信息安全等级保护工作检查总结材料

    南京林业大学 信息安全等级保护工作检查总结材料 一、部署和组织实施情况 为加强我校信息系统等级保护工作的组织领导,扎实推进信息系统等级保护工作开展,预防和杜绝信息系统......

    国家信息安全等级保护制度

    《信息安全等级保护管理办法》 1 四部委下发公通字[2007]43号文 《信息安全等级保护管理办法》是为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社......