第一篇:公安机关信息安全等级保护检查工作规范
公安机关信息安全等级保护检查工作规范
第一条 为规范公安机关公共信息网络安全监察部门开 展信息安全等级保护检查工作,根据《信息安全等级保护管 理办法》(以下简称《管理办法》),制定本规范。
第二条 公安机关信息安全等级保护检查工作是指公安 机关依据有关规定,会同主管部门对非涉密重要信息系统运 营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理 制度、落实安全责任、落实责任部门和人员。
第三条 信息安全等级保护检查工作由市(地)级以上 公安机关公共信息网络安全监察部门负责实施。每年对第三 级信息系统的运营使用单位信息安全等级保护工作检查一 次,每半年对第四级信息系统的运营使用单位信息安全等级 保护工作检查一次。
第四条 公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条 信息安全等级保护检查工作采取询问情况,查 阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条 检查的主要内容:
(一)等级保护工作组织开展、实施情况。安全责任落 实情况,信息系统安全岗位和安全管理人员设置情况;
(二)按照信息安全法律法规、标准规范的要求制定具 体实施方案和落实情况;
(三)信息系统定级备案情况,信息系统变化及定级备 案变动情况;
(四)信息安全设施建设情况和信息安全整改情况;
(五)信息安全管理制度建设和落实情况;
(六)信息安全保护技术措施建设和落实情况;
(七)选择使用信息安全产品情况;
(八)聘请测评机构按规范要求开展技术测评工作情 况,根据测评结果开展整改情况;
(九)自行定期开展自查情况;
(十)开展信息安全知识和技能培训情况。第七条 检查项目:
(一)等级保护工作部署和组织实施情况
1.下发开展信息安全等级保护工作的文件,出台有关 工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落 实安全管理岗位和人员。3.依据国家信息安全法律法规、标准规范等要求制定 具体信息安全工作规划或实施方案。
4.制定本行业、本部门信息安全等级保护行业标准规 范并组织实施。
(二)信息系统安全等级保护定级备案情况
1.了解未定级、备案信息系统情况以及第一级信息系 统有关情况,对定级不准的提出调整建议。
2.现场查看备案的信息系统,核对备案材料,备案单 位提交的备案材料与实际情况相符合情况。
3.补充提交《信息系统安全等级保护备案登记表》表 四中有关备案材料。
4.信息系统所承载的业务、服务范围、安全需求等发 生变化情况,以及信息系统安全保护等级变更情况。
5.新建信息系统在规划、设计阶段确定安全保护等级 并备案情况。
(三)信息安全设施建设情况和信息安全整改情况
1.部署和组织开展信息安全建设整改工作。
2.制定信息安全建设规划、信息系统安全建设整改方 案。3.按照国家标准或行业标准建设安全设施,落实安全 措施。
(四)信息安全管理制度建立和落实情况 1.建立基本安全管理制度,包括机房安全管理、网络 安全管理、系统运行维护管理、系统安全风险管理、资产和 设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。
2.建立安全责任制,系统管理员、网络管理员、安全 管理员、安全审计员是否与本单位签订信息安全责任书。
3.建立安全审计管理制度、岗位和人员管理制度。
4.建立技术测评管理制度,信息安全产品采购、使用 管理制度。5.建立安全事件报告和处置管理制度,制定信息系统 安全应急处置预案,定期组织开展应急处置演练。
6.建立教育培训制度,定期开展信息安全知识和技能 培训。
(五)信息安全产品选择和使用情况
1.按照《管理办法》要求的条件选择使用信息安全产 品。
2.要求产品研制、生产单位提供相关材料。包括营业 执照,产品的版权或专利证书,提供的声明、证明材料,计 算机信息系统安全专用产品销售许可证等。
3.采用国外信息安全产品的,经主管部门批准,并请 有关单位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况
1.按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系 统每半年开展一次技术测评。2.按照《管理办法》规定的条件选择技术测评机构。
3.要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。
4.与测评机构签订保密协议。5.要求测评机构制定技术检测方案。
6.对技术检测过程进行监督,采取了哪些监督措施。
7.出具技术检测报告,检测报告是否规范、完整,检 查结果是否客观、公正。
8.根据技术检测结果,对不符合安全标准要求的,进 一步进行安全整改。
(七)定期自查情况
1.定期对信息系统安全状况、安全保护制度及安全技 术措施的落实情况进行自查。第三级信息系统是否每年进行 一次自查,第四级信息系统是否每半年进行一次自查。
2.经自查,信息系统安全状况未达到安全保护等级要 求的,运营、使用单位进一步进行安全建设整改。
第八条 各级公安机关按照“谁受理备案,谁负责检查” 的原则开展检查工作。具体要求是:
对跨省或者全国联网运行、跨市或者全省联网运行等跨 地域的信息系统,由部、省、市级公安机关分别对所受理备 案的信息系统进行检查。对辖区内独自运行的信息系统,由受理备案的公安机关 独自进行检查。
第九条 对跨省或者全国联网运行的信息系统进行检查 时,需要会同其主管部门。因故无法会同的,公安机关可以 自行开展检查。
第十条 公安机关开展检查前,应当提前通知被检查单 位,并发送《信息安全等级保护监督检查通知书》。
第十一条 检查时,检查民警不得少于两人,并应当向 被检查单位负责人或其他有关人员出示工作证件。
第十二条 检查中应当填写《信息系统安全等级保护监 督检查记录》(以下简称《监督检查记录》)。检查完毕后,《监 督检查记录》应当交被检查单位主管人员阅后签字;对记录 有异议或者拒绝签名的,监督、检查人员应当注明情况。《监 督检查记录》应当存档备查。
第十三条 检查时,发现不符合信息安全等级保护有关 管理规范和技术标准要求,具有下列情形之一的,应当通知 其运营使用单位限期整改,并发送《信息系统安全等级保护 限期整改通知书》(以下简称《整改通知》)。逾期不改正的,给予警告,并向其上级主管部门通报:
(一)未按照《管理办法》开展信息系统定级工作的;
(二)信息系统安全保护等级定级不准确的;
(三)未按《管理办法》规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案 登记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并 重新备案的;
(七)未按《管理办法》规定落实安全管理制度、技术 措施的;
(八)未按《管理办法》规定开展安全建设整改和安全 技术测评的;
(九)未按《管理办法》规定选择使用信息安全产品和 测评机构的;
(十)未定期开展自查的;
(十一)违反《管理办法》其他规定的。
第十四条 检查发现需要限期整改的,应当出具《整改 通知》,自检查完毕之日起10个工作日内送达被检查单位。
第十五条 信息系统运营使用单位整改完成后,应当将 整改情况报公安机关,公安机关应当对整改情况进行检查。
第十六条 公安机关实施信息安全等级保护监督检查的 法律文书和记录,应当统一存档备查。
第十七条 受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导。从事检查工 作的民警应当经过省级以上公安机关组织的信息安全等级 保护监督检查岗位培训。第十八条 公安机关对检查工作中涉及的国家秘密、工 作秘密、商业秘密和个人隐私等应当予以保密。
第十九条 公安机关进行安全检查时不得收取任何费 用。第二十条 本规范所称“以上”包含本数(级)。第二十一条 本规范自发布之日起实施。
第二篇:公安机关信息安全等级保护检查工作规范(试行)
公安机关信息安全等级保护检查工作规范(试行)
2009-06-29 10:13:18
来源:本站
网友评论 0条
第一条 为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条 公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条 信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条 公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条 信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条 检查的主要内容:
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;
(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;
(四)信息安全设施建设情况和信息安全整改情况;
(五)信息安全管理制度建设和落实情况;
(六)信息安全保护技术措施建设和落实情况;
(七)选择使用信息安全产品情况;
(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
(九)自行定期开展自查情况;
(十)开展信息安全知识和技能培训情况。
第七条 检查项目:
(一)等级保护工作部署和组织实施情况
1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。
(二)信息系统安全等级保护定级备案情况
1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。
2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。
3.补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。
4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。
5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况。
(三)信息安全设施建设情况和信息安全整改情况 1.部署和组织开展信息安全建设整改工作。
2.制定信息安全建设规划、信息系统安全建设整改方案。
3.按照国家标准或行业标准建设安全设施,落实安全措施。
(四)信息安全管理制度建立和落实情况
1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。
2.建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。
3.建立安全审计管理制度、岗位和人员管理制度。
4.建立技术测评管理制度,信息安全产品采购、使用管理制度。
5.建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。
6.建立教育培训制度,定期开展信息安全知识和技能培训。
(五)信息安全产品选择和使用情况
1.按照《管理办法》要求的条件选择使用信息安全产品。
2.要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。
3.采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况
1.按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。
2.按照《管理办法》规定的条件选择技术测评机构。
3.要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。
4.与测评机构签订保密协议。
5.要求测评机构制定技术检测方案。
6.对技术检测过程进行监督,采取了哪些监督措施。
7.出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。
8.根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改。
(七)定期自查情况
1.定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。
2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改。
第八条 各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是:
对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。
第九条 对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门。因故无法会同的,公安机关可以自行开展检查。
第十条 公安机关开展检查前,应当提前通知被检查单位,并发送《信息安全等级保护监督检查通知书》。
第十一条 检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件。第十二条 检查中应当填写《信息系统安全等级保护监督检查记录》(以下简称 《监督检查记录》)。检查完毕后,《监督检查记录》应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。《监督检查记录》应当存档备查。[!--empirenews.page--] 第十三条 检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》(以下简称《整改通知》)。逾期不改正的,给予警告,并向其上级主管部门通报:
(一)未按照《管理办法》开展信息系统定级工作的;
(二)信息系统安全保护等级定级不准确的;
(三)未按《管理办法》规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并重新备案的;
(七)未按《管理办法》规定落实安全管理制度、技术措施的;
(八)未按《管理办法》规定开展安全建设整改和安全技术测评的;
(九)未按《管理办法》规定选择使用信息安全产品和测评机构的;
(十)未定期开展自查的;
(十一)违反《管理办法》其他规定的。
第十四条 检查发现需要限期整改的,应当出具《整改通知》,自检查完毕之日起10个工作日内送达被检查单位。
第十五条 信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。
第十六条 公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查。
第十七条 受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导。从事检查工作的民警应当经过省级以上公安机关组织的信息安全等级保护监督检查岗位培训。
第十八条 公安机关对检查工作中涉及的国家秘密、工作秘密、商业秘密和个人隐私等应当予以保密。
第十九条 公安机关进行安全检查时不得收取任何费用。
第二十条 本规范所称“以上”包含本数(级)。
第二十一条 本规范自发布之日起实施。
第三篇:安机关信息安全等级保护检查工作规范
安机关信息安全等级保护检查工作规范
(一)开展信息系统安全等级测评,为信息系统安全提供保障。选择由省级(含)以上信息安全等级保护工作协调小组办公室审核并备案的测评机构,对第三级(含)以上信息系统开展等级测评工作。等级测评机构依据《信息系统安全等级保护测评要求》等标准对信息系统进行测评,对照相应等级安全保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,提出改进建议,按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告。经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。各部门要及时向受理备案的公安机关提交等级测评报告。对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
(二)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度:一是信息安全责任制,明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;二是人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;三是系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;四是系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制,定期对各项制度的落实情况进行自查和监督检查。
(三)开展信息安全等级保护安全技术措施建设,提高信息系统安全防护能力。按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
(四)通过组织开展信息安全教育培训。一是解决安全问题,抵御攻击破坏,减少安全事故,提高安全防范水平,推动网安基础工作,提高我局信息安全保障水平。二是加强学习,加大宣传力度,不断创新工作思路和方法,充分调动多方面工作的积极性,共同做好等级保护工作。
第四篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第五篇:信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校
信息安全等级保护工作实施方案
为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。
一、指导思想
以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。
二、定级范围
学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导
(一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。
电教组负责定级工作的检查、指导、评审。
各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。
(二)协调领导机制。
1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。
2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。
3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。
四、主要内容、工作步骤
(一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。
(二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
(三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。
(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。
五、定级工作要求
(一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。
(二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平,保证定级工作顺利进行,各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南(国标)》、《信息系统安全等级保护基本要求(报批)》、《信息系统安全等级保护实施指南(报批)》等材料。
(三)积极配合、认真整改。各部门要认真按照评级要求,组织开展等级保护工作,切实做好重要信息系统的安全等级保护。
(四)自查自纠、完善制度。此次定级工作完成后,请各部门按照《信息安全等级保护管理办法》和有关技术标准,依据系统所定保护等级的要求,定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查,并不断完善安全管理制度,今后,若信息系统备案资料发生变化,应及时进行变更备案篇二:医院信息系统安全等级保护工作实施方案 医院信息系统安全等级 保护工作实施方案
医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行,根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫办发【2011】85号和省市有关文件精神,并结合我院信息化建设的工作实际,特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。
一、组织领导 组 长: 副组长: 组 员:
领导小组办公室设在xx科,由xx同志兼任主任,xx等同志负责具体工作。
二、工作任务
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者服务信息系统,内部行政管理信息系统、网络直报系统及门户网站,定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局,由卫生局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结果,对照《信息系统安全等级保护基本要求》(gb/t22239-2008)等有关标准,结合医院工作实际,组织开展等级保护安全建设整改工作,具体要求如下:
三、工作要求
1、建立安全管理组织机构。成立信息安全工作组,网络办负责人为安全责任人,拟定实施医院信息系统安全等级保护的具体方案,并制定相应的岗位责任制,确保信息安全等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。
4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件,应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件,应在24小时内向公安机关报告,并保护好现场。篇三:2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报
一、加强领导
二、完善制度
为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》(扬办发[2012]57号)文件精神,对集团信息系统安全等级保护工作做出了具体的要求,根据等级保护要求,开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。
三、信息等级安全保护基本情况
目前,集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化,积极加强信息系统安全环境建设,消除安全管理中的薄弱环节。在物理安全方面,机房安装门禁系统,严格管理机房人员进出,消防设施完善,所有设备通过ups供电。关键网络设备和服务器做到有主有备,确保在发生物理故障时可以及时更换。
在网络安全方面,我们严格按照内、外网物理隔离的标准建设网络系统,并采用虚拟局域网技术,通过交换机端口的ip绑定,防止非法网络接入;在网络出口以及不同网络互联边界全面部署硬件防火墙,部署日志服务器,记录并留存使用互联网和内部网络地址对应关系; 在集团互联网出口部署网络行为管理系统,规范和记录上网行为,合理控制不同应用的网络流量,实现网络带宽动态分配,保障了信息系统正常应用的网络环境。
在主机安全方面,终端计算机采用双硬盘及物理隔离互联网及内网应用,通过部署趋势网络防毒墙网络版,安装联软安全管理软件保障客户机系统安全,并且做到漏洞补丁及时更新,重要的应用系统安装了计算机监控与审计系统,实现对主机的usb等外设接口的控制管理,采用key用户名密码等方式控制用户登陆行为。
对于应用安全,严格做好系统安全测试,配备了专门的漏洞 扫描仪定期扫描应用系统漏洞,并按测试结果做好安全修复和加固工作;在网站区,部属入侵防御系统,监测、记录安全事件,及时阻断入侵行为,自部署起已多次成功检测出sql注入,ftp匿名登录,网站目录遍历,探测主机地址漏洞等。
在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。
四、建议
信息系统安全等级保护工作责任重大,技术性强,工作量巨大,集团在该项工作上虽然取得一些进展,但是与市里要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。
建议市里加强工作指导,通过多种方式的等级保护技术交流和培训,提高单位领导及员工的等级保护意识,进一步推进集团的信息系统等级保护工作。
点击咨询 