信息安全等级保护管理办法

2022-06-17 来源：其他范文收藏下载本文

推荐第1篇：信息安全等级保护管理办法

关于印发《信息安全等级保护管理办法》的通知

各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国家密码管理委员会办公室）、信息化领导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室，中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员会办公室：

为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。现印发给你们，请认真贯彻执行。

公

安

部

国家保密局国家密码管理局

国务院信息工作办公室

二〇〇七年六月二十二日

信息安全等级保护管理办法

第一章总则

第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护

2 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

第三章等级保护的实施与管理

第九条信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》

3 具体实施等级保护工作。

第十条信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

第十一条信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

第十二条在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。

第十三条运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

4 经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

第十六条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

第十七条信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

第十八条受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。

对第五级信息系统，应当由国家指定的专门部门进行检查。

5 公安机关、国家指定的专门部门应当对下列事项进行检查：

（一）信息系统安全需求是否发生变化，原定保护等级是否准确；

（二）运营、使用单位安全管理制度、措施的落实情况；

（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；

（四）系统安全等级测评是否符合要求；

（五）信息安全产品使用是否符合要求；

（六）信息系统安全整改情况；

（七）备案材料与运营、使用单位、信息系统的符合情况；

（八）其他应当进行监督检查的事项。

第十九条信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：

（一）信息系统备案事项变更情况；

（二）安全组织、人员的变动情况；

（三）信息安全管理制度、措施变更情况；

（四）信息系统运行状况记录；

（五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录；

（六）对信息系统开展等级测评的技术测评报告；

（七）信息安全产品使用的变更情况；

（八）信息安全事件应急预案，信息安全事件应急处置结果报告；

（九）信息系统安全建设、整改结果报告。

第二十条公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。

第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；

（二）产品的核心技术、关键部件具有我国自主知识产权；

（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；

（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

（五）对国家安全、社会秩序、公共利益不构成危害；

（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。

第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

（一）在中华人民共和国境内注册成立（港澳台地区除外）；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）

（四）

（五）从事相关检测评估工作两年以上，无违法记录；工作人员仅限于中国公民；

法人及主要业务、技术人员无犯罪记录；

（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；

（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（八）对国家安全、社会秩序、公共利益不构成威胁。

第二十三条从事信息系统安全等级测评的机构，应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第四章涉及国家秘密信息系统的分级保护管理

第二十四条涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

非涉密信息系统不得处理国家秘密信息。

第二十五条涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机

7 密、绝密三个等级。

涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。

保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。

第二十六条涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。

第二十七条涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。

涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。

第二十八条涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。

第二十九条涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行安全保密测评。

涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。

第三十条涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

（一）系统设计、实施方案及审查论证意见；

（二）系统承建单位资质证明材料；

（三）系统建设和工程监理情况报告；

（四）系统安全保密检测评估报告；

（五）系统安全保密组织机构和管理制度情况；

（六）其他有关材料。

第三十一条涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。

第三十二条涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。

第三十三条国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：

（一）指导、监督和检查分级保护工作的开展；

（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；

（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；

（四）依法对涉密信息系统集成资质单位进行监督管理；

（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；

（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；

（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。

第五章信息安全等级保护的密码管理

第三十四条国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性

9 质等，确定密码的等级保护准则。

信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。

第三十五条信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。

第三十六条信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。

第三十七条

运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。

第三十八条

信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。

第三十九条各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

第六章法律责任

第四十条第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：

（一）未按本办法规定备案、审批的；

（二）未按本办法规定落实安全管理制度、措施的；

（三）未按本办法规定开展系统安全状况检查的；

（四）未按本办法规定开展系统安全技术测评的；

（五）接到整改通知后，拒不整改的；

（六）未按本办法规定选择使用信息安全产品和测评机构的；

（七）未按本办法规定如实提供有关文件和证明材料的；

（八）违反保密管理规定的；

（九）违反密码管理规定的；

（十）违反本办法其他规定的。

违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。

第四十一条信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。

第七章附则

第四十二条已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级；新建信息系统在设计、规划阶段确定安全保护等级。

第四十三条本办法所称“以上”包含本数（级）。

第四十四条本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。

推荐第2篇：信息安全等级保护管理办法(试行)

《信息安全等级保护管理办法（试行）》

第一章总则

第一条为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规，制定本办法。

第二条信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

第三条信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度，信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，信息和信息系统应当达到的基本的安全保护水平等因素确定。

第四条信息系统的安全保护等级分为以下五级：

（一）第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。

（二）第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。

（三）第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。

（四）第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。

（五）第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。

第五条信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。

（一）第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。

（二）第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。

（三）第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。

（四）第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。

（五）第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。

第六条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第二章信息安全等级保护工作的安全管理

第七条信息系统的运营、使用单位应当依据本办法和有关标准，确定信息系统的安全保护等级。有主管部门的，应当报主管部门审核批准。

第八条信息系统的运营、使用单位应当根据据已确定的安全保护等级，依照本办法和有关技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，进行信息系统建设。

第九条信息系统的运营、使用单位应当履行下列安全等级保护职责：

（一）落实信息安全等级保护的责任部门和人员，负责信息系统的安全等级保护管理工作；

（二）建立健全安全等级保护管理制度；

（三）落实安全等级保护技术标准要求；

（四）定期进行安全状况检测和风险评估；

（五）建立信息安全事件的等级响应、处置制度；

（六）负责对信息系统用户的安全等级保护教育和培训；

（七）其他应当履行的安全等级保护职责。

第十条信息系统建设完成后，其运营、使用单位应当依据本办法选择具有国家相关技术资质和安全资质的测评单位，按照技术标准进行安全测评，符合要求的，方可投入使用。

第十一条从事信息系统安全等级测评的单位，应当遵守国家有关法律法规和技术标准规定，保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，提供安全、客观、公正的检测评估服务。

测评单位资质管理办法由有关部门另行制定。

第十二条第三级以上信息系统的运营、使用单位应当自系统投入运行之日起三十日内，到所在地的省、自治区、直辖市公安机关指定的受理机构办理备案手续，填写《信息系统安全保护等级备案登记表》。国家另有规定的除外。

备案事项发生变更时，信息系统运营、使用单位或其主管部门应当自变更之日起三十日内将变更情况报原备案机关。

第十三条公安机关应当掌握信息系统运营、使用单位的备案情况，建立备案档案，进行备案管理。发现不符合本办法及有关标准的，应通知其予以纠正。

第十四条公安机关应当监督、检查第三级和第四级信息系统运营、使用单位履行安全等级保护职责的情况。

对安全保护等级为三级的信息系统每年至少检查一次，对安全保护等级为四级的信息系统每半年至少检查一次。

第十五条公安机关发现信息系统运营、使用单位未履行安全等级保护职责或未达到安全保护要求的，应当书面通知其整改。

第三章信息安全等级保护的保密管理

第十六条涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

不涉及国家秘密的信息系统不得处理国家秘密信息。

第十七条涉及国家秘密的信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级和绝密级三个级别，其总体防护水平分别不低于三级、四级、五级的要求。

涉及国家秘密的信息系统建设单位应当依据《中华人民共和国保守国家秘密法》和国家有关秘密及其密级具体范围的规定，确定系统处理信息的最高密级和系统的保护级别。

第十八条涉及国家秘密的信息系统的设计实施、审批备案、运行维护和日常保密管理，按照国家保密工作部门的有关规定和技术标准执行。

第十九条各级保密工作部门应当对已投入使用的涉及国家秘密的信息系统组织检查和测评。发现系统存在安全隐患或系统保护措施不符合分级保护管理规定和技术标准的，应当通知系统使用单位和管理部门限期整改。

对秘密级、机密级信息系统，每两年至少进行一次保密检查或系统测评；对绝密级信息系统，每年至少进行一次保密检查或系统测评。

第四章信息安全等级保护的密码管理

第二十条国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。

信息系统运营、使用单位采用密码进行等级保护的，应当遵照信息安全等级保护密码管理规定和相关标准。

第二十一条信息系统安全等级保护中密码的配备、使用和管理等，应严格执行国家密码管理的有关规定。

第二十二条要充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和技术标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的须遵照《商用密码管理条例》和密码分类分级保护有关规定与相关标准。

第二十三条各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或违反密码管理相关规定或者未达到密码相关标准要求的，按照国家密码管理的相关规定进行处置。

第五章法律责任

第二十四条三级、四级信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反本办法规定，有下列行为之一，造成严重损害的，由相关部门依照有关法律、法规予以处理：

（一）未按本办法规定报请备案、审批的；

（二）未按等级保护技术标准要求进行系统安全设施建设和制度建设的；

（三）接到整改通知后，拒不整改的；

（四）违反保密管理规定的；

（五）违反密码管理规定的；

（六）违反本办法和其他规定的。

第六章附则

第二十五条军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

第二十六条本管理办法自2006年3月1日起施行。

推荐第3篇：信息安全等级保护管理办法(精)

信息安全等级保护管理办法

第一章

总则

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护

1 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理

2 规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三章等级保护的实施与管理

第九条信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。

跨省或者全国统一联网运行的信息系统可以由主管部

3 门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

第十三条运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系

4 统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

5 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

第十六条办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

第十七条信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保

6 护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

对第五级信息系统，应当由国家指定的专门部门进行检查。

公安机关、国家指定的专门部门应当对下列事项进行检查：

（一）信息系统安全需求是否发生变化，原定保护等级是否准确；

（二）运营、使用单位安全管理制度、措施的落实情况；

（三）运营、使用单位及其主管部门对信息系统安全状况的检查情况；

（四）系统安全等级测评是否符合要求；

（五）信息安全产品使用是否符合要求；

（六）信息系统安全整改情况；

（七）备案材料与运营、使用单位、信息系统的符合情况；

（八）其他应当进行监督检查的事项。

（一）信息系统备案事项变更情况；

（二）安全组织、人员的变动情况；

（三）信息安全管理制度、措施变更情况；

（四）信息系统运行状况记录；

（五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录；

（六）对信息系统开展等级测评的技术测评报告；

（七）信息安全产品使用的变更情况；

（八）信息安全事件应急预案，信息安全事件应急处置结果报告；

（九）信息系统安全建设、整改结果报告。

第二十条公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知。运营、使用单位应当根据整

8 改通知要求，按照管理规范和技术标准进行整改。整改完成后，应当将整改报告向公安机关备案。必要时，公安机关可以对整改情况组织检查。

第二十一条第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；

（二）产品的核心技术、关键部件具有我国自主知识产权；

（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；

（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

（五）对国家安全、社会秩序、公共利益不构成危害；

（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。

第二十二条第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评：

（一）在中华人民共和国境内注册成立（港澳台地区除外）；

（二）由中国公民投资、中国法人投资或者国家投资的

9 企事业单位（港澳台地区除外）；

（三）从事相关检测评估工作两年以上，无违法记录；

（四）工作人员仅限于中国公民；

（五）法人及主要业务、技术人员无犯罪记录；

（六）使用的技术装备、设施应当符合本办法对信息安全产品的要求；

（七）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（八）对国家安全、社会秩序、公共利益不构成威胁。

第二十三条从事信息系统安全等级测评的机构，应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第四章涉及国家秘密信息系统的分级保护管理

第二十四条涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保

10 护。

非涉密信息系统不得处理国家秘密信息。

第二十五条涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。

保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。

第二十七条涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。

涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四

11 级、第五级的水平。

第三十条涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

（一）系统设计、实施方案及审查论证意见；

（二）系统承建单位资质证明材料；

（三）系统建设和工程监理情况报告；

（四）系统安全保密检测评估报告；

（五）系统安全保密组织机构和管理制度情况；

（六）其他有关材料。

第三十三条国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：

（一）指导、监督和检查分级保护工作的开展；

（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；

（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；

（四）依法对涉密信息系统集成资质单位进行监督管理；

（五）严格进行系统测评和审批工作，监督检查涉密信

13 息系统建设使用单位分级保护管理制度和技术措施的落实情况；

（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密事件。

第五章信息安全等级保护的密码管理

第三十四条国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度，被保护对象的安全防护要求和涉密程度，被保护对象被破坏后的危害程度以及密码使用部门的性质等，确定密码的等级保护准则。

第三十五条信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。

第三十六条信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密

14 码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。

第三十七条

第三十八条

信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。

第六章法律责任

第四十条第三级以上信息系统运营、使用单位违反本

15 办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：

（一）未按本办法规定备案、审批的；

（二）未按本办法规定落实安全管理制度、措施的；

（三）未按本办法规定开展系统安全状况检查的；

（四）未按本办法规定开展系统安全技术测评的；

（五）接到整改通知后，拒不整改的；

（六）未按本办法规定选择使用信息安全产品和测评机构的；

（七）未按本办法规定如实提供有关文件和证明材料的；

（八）违反保密管理规定的；

（九）违反密码管理规定的；

（十）违反本办法其他规定的。

违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。

第七章附则

第四十三条本办法所称“以上”包含本数（级）。第四十四条本办法自发布之日起施行，《信息安全等级保护管理办法（试行）》（公通字[2006]7号）同时废止。

推荐第4篇：浙江省信息安全等级保护管理办法

浙江省信息安全等级保护管理办法省政府令223号

浙江省信息安全等级保护管理办法》已经省人民政府第77次常务会议审议通过，现予公布，自2007年1月1日起施行。

省长吕祖善

二○○六年九月三十日

第一章总则

第一条为加强和规范信息安全等级保护管理，提高信息安全保障能力，维护国家安全、公共利益和社会稳定，促进信息化建设，根据国家有关规定，结合本省实际，制定本办法。

第二条本省行政区域内建设、运营、使用信息系统的单位，均须遵守本办法。

第三条本办法所称信息安全等级保护，是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护，对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。

第四条本办法所称信息，是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。

本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

第五条信息安全等级保护应当遵循分级实施、明确责任、确保安全的原则；重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。

信息系统应当按照信息安全等级保护的要求，实行同步建设、动态调整、谁运行谁负责的原则。

第六条县级以上人民政府应当加强对信息安全等级保护工作的领导，把信息安全等级保护纳入信息化建设规划，协调、解决有关重大问题，建立必要的资金和技术的保障机制。

第七条县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定，履行监督管理职责。

县级以上人民政府其他相关部门，应当按照职责分工，落实信息安全等级保护管理的责任，配合做好相关工作。

第二章等级保护的分级与实施

第八条根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度，确定信息系统相应的保护等级。

信息系统的保护等级分为以下五级：

（一）信息系统承载的信息涉及公民、法人和其他组织的权益，信息系统遭到破坏后，业务可以直接用其他方式替代处理，对公民、法人和其他组织的权益有一定影响，但不损害国家安全、社会秩序、经济建设和公共利益的，为一级保护，由运营单位自主保护；

（二）信息系统承载的信息直接涉及公民、法人和其他组织的权益，信息系统遭到破坏后，会影响业务的正常处理，并对国家安全、社会秩序、经济建设和公共利益造成一定损害的，为二级保护，由运营单位在信息安全等级保护工作监管部门的指导下进行保护；

（三）信息系统承载的信息涉及国家、社会和公共利益，信息系统遭到破坏后，会严重影响业务的正常处理，并对国家安全、社会秩序、经济建设和公共利益造成较大损害的，为三级保护，由运营单位在信息安全等级保护工作监管部门的监督下进行保护；

（四）信息系统承载的信息直接涉及国家、社会和公共利益，信息系统遭到破坏后，业务无法正常处理，并对国家安全、社会秩序、经济建设和公共利益造成严重损害的，为四级保护，由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护；

（五）信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行，信息系统遭到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的，为五级保护，由运营单位在国家指定的专门部门、专门机构的专控下进行保护。

第九条信息系统的建设、运营、使用单位，应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。

基础信息网络和重要信息系统的保护等级，建设单位应当在信息系统规划设计时，按照本办法第十条规定报经审定。

第十条基础信息网络和重要信息系统保护等级，实行专家评审制度。

省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则，由省信息化行政主管部门会同省公安部门制定，并报省人民政府备案。

第十一条对于包含多个子系统的信息系统，应当根据各子系统的重要程度分别确定保护等级。

第十二条信息系统建设完成后，其运营、使用单位应当按照国家有关技术规范和标准进行安全测评，符合要求的，方可投入使用。

第十三条信息系统投入运行或者系统变更之日起三十日内，运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。

信息系统涉及国家秘密的，运营、使用单位应当按照有关保密法律、法规、规章的规定执行。

第十四条信息系统的运营、使用单位，应当按照国家有关技术规范和标准，建立信息安全等级保护管理制度，落实安全保护责任，采取相应的安全保护措施，切实保障信息系统正常安全运行。

第十五条信息系统的运营、使用单位，应当建立信息系统安全状况日常检测工作制度，加强对信息系统的日常维护和安全管理，及时消除安全隐患，确保信息的安全和系统的正常运行。

基础信息网络和重要信息系统的运营、使用单位，应当按照国家有关技术规范和标准，每年对系统的信息安全状况进行一次全面的测评，也可以委托有相应资质的单位进行安全测评。

第十六条信息系统发生信息安全突发公共事件时，应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度，实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。

通信基础网络发生突发公共事件时，应当按照省有关通信保障应急预案的规定执行。

第三章监督管理

第十七条县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理，并做好下列工作：

（一）督促、指导信息安全等级保护工作；

（二）监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况；

（三）受理信息系统保护等级的备案；

（四）依法查处信息系统运营、使用单位和个人的违法行为；

（五）信息安全等级保护的其他相关工作。

第十八条保密工作部门依照职责分工，依法做好下列工作：

（一）督促、指导涉及国家秘密的信息安全等级保护工作；

（二）受理涉及国家秘密的信息系统保护等级的备案；

（三）依法查处信息泄密、失密事件；

（四）信息安全等级保护中涉及国家秘密的其他相关工作。

第十九条密码管理部门应当按照职责分工依法做好相关工作，加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导，查处信息安全等级保护工作中违反密码管理的行为和事件。

第二十条信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理，并做好下列工作：

（一）指导、协调信息安全等级保护工作；

（二）组织制定信息安全等级保护工作规范;

（三）组织专家审定信息系统的保护等级；

（四）为相关单位提供信息安全等级保护的有关资讯和技术咨询；

（五）根据预案规定，组织落实信息安全突发公共事件的应急处置工作；

（六）信息安全等级保护的其他相关工作。

第二十一条信息系统建设、运营、使用单位，应当按照国家和本办法有关规定，开展信息安全等级保护工作，接受有关部门的指导、检查和监督管理。

信息系统运营、使用单位，在运营、使用中发生信息安全突发公共事件、泄密失密事件的，应当按照应急预案要求，及时采取有效措施，防止事态扩大，并立即报告有关主管部门，配合做好应急处置工作。

第四章法律责任

第二十二条违反本办法规定的行为，有关法律、法规已有行政处罚规定的，从其规定。

第二十三条信息系统运营、使用单位违反本办法规定，不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的，由公安部门责令限期改正，并给予警告；逾期拒不改正的，处一千元以上二千元以下罚款。

第二十四条信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的，由公安部门责令限期改正，并给予警告；逾期不改正的，处二千元罚款。

第二十五条信息系统运营、使用单位违反本办法第十四条规定，未建立信息安全等级保护管理制度、落实安全保护责任和措施的，由公安部门责令限期改正，并给予警告；

逾期拒不改正的，对经营性的处五千元以上五万元以下罚款，对非经营性的处二千元罚款。

第二十六条违反本办法第十五条第一款规定，信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的，由公安部门责令限期改正，并给予警告；逾期拒不改正的，处一千元以上二千元以下罚款。

违反本办法第十五条第二款规定，基础信息网络与重要信息系统的运营、使用单位，未定期对系统的信息安全状况进行测评的，由公安部门责令限期改正，并给予警告；逾期拒不改正的，对经营性的处二千元以上二万元以下罚款，对非经营性的处二千元罚款。

第二十七条信息系统运营、使用单位违反本办法第二十一条第二款规定的，由县级以上人民政府信息化行政主管部门责令改正，给予警告，对经营性的并处五千元以上三万元以下罚款，对非经营性的并处二千元罚款；涉及泄密、失密的，按照有关保密法律、法规、规章的规定处理。

第二十八条有关信息安全等级保护监管部门及其工作人员有下列行为之一的，由其主管部门或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。

（一）未按照本办法规定履行监督管理职责的；

（二）违反国家和本办法规定审定信息系统保护等级的；

（三）违反法定程序和权限实施行政处罚的；

（四）在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊的；

（五）其他应当依法给予行政或者纪律处分的行为。

第二十九条违反本办法规定，构成犯罪的，依法追究刑事责任。

第五章附则

第三十条在本办法施行前已经建成的信息系统，运营、使用单位应当依照本办法规定建立相应的保护等级。

第三十一条本办法自2007年1月1日起施行。

推荐第5篇：信息安全等级保护

信息安全等级保护(二级) 信息安全等级保护(二级) 备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路（如双路供电方式）

16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序：

3、应具有专门的部门或人员负责安全管理制度的制定（发布制度具有统一的格式，并进行版本控制）

4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录，收发应通过正式、有效的方式（如正式发文、领导签署和单位盖章等）----安全管理制度应注明发布范围，并对收发文进行登记。

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。（安全管理制度体系的评审记录）

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查，对需要改进的制度进行修订。（应具有安全管理制度修订记录）

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位（分工明确，各司其职），数量情况（管理人员名单、岗位与人员对应关系表）

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权的人员担任）

7、应对重要信息系统活动进行审批（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批部门是何部门，审批人是何人。审批程序：

8、应与其它部门之间及内部各部门管理人员定期进行沟通（信息安全领导小组或者安全管理委员会应定期召开会议）

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期：

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）

11、应与公安机关、电信公司和兄弟单位等的沟通合作（外联单位联系列表）

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。

13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录）

14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况）

15、应定期进行全面安全检查（安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格，安全检查报告，检查结果通告记录）

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作（录用过程）

2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，技能考核文档或记录

3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容）

4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的记录）

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证件和设备等的登记记录）

7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照离岗程序办理调离手续的记录，调离人员的签字）

8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、安全技能等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。

10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。

11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训（安全教育和培训的结果记录，记录应与培训计划一致）

12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录（记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等）

五、系统建设管理

1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责

4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近期和远期的安全建设计划）

5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定（配套文件的论证评审记录或文档）

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试（第三方测试机构出示的系统安全性测试验收报告）

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责。

2、应具有机房基础设施的维护记录，空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理（工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件）

5、应具有资产清单（覆盖资产责任人、所属级别、所处位置、所处部门等方面）

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中，应对存放环境实施专人管理（介质存放在安全的环境（防潮、防盗、防火、防磁，专用存储空间））

9、应具有介质使用管理记录，应记录介质归档和使用等情况（介质存放、使用管理记录）

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等环节的控制

11、应对介质的使用情况进行登记管理，并定期盘点（介质归档和查询的记录、存档介质定期盘点的记录）

12、对送出维修或销毁的介质如何管理，销毁前应对数据进行净化处理。（对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准）（送修记录、带出记录、销毁记录）

13、应对某些重要介质实行异地存储，异地存储环境是否与本地环境相同（防潮、防盗、防火、防磁，专用存储空间）

14、介质上应具有分类的标识或标签

15、应对各类设施、设备指定专人或专门部门进行定期维护。

16、应具有设备操作手册

17、应对带离机房的信息处理设备经过审批流程，由何人审批（审批记录）

18、应监控主机、网络设备和应用系统的运行状况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警

20、应具有日常运维的监控日志记录和运维交接日志记录

21、应定期对监控记录进行分析、评审

22、应具有异常现象的现场处理记录和事后相关的分析报告

23、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理

24、应指定专人负责维护网络安全管理工作

25、应对网络设备进行过升级，更新前应对现有的重要文件是否进行备份（网络设备运维维护工作记录）

26、应对网络进行过漏洞扫描，并对发现的漏洞进行及时修补。

27、对设备的安全配置应遵循最小服务原则，应对配置文件进行备份（具有网络设备配置数据的离线备份）

28、系统网络的外联种类（互联网、合作伙伴企业网、上级部门网络等）应都得到授权与批准，由何人/何部门批准。应定期检查违规联网的行为。

29、对便携式和移动式设备的网络接入应进行限制管理

30、应具有内部网络外联的授权批准书，应具有网络违规行为（如拨号上网等）的检查手段和工具。

31、在安装系统补丁程序前应经过测试，并对重要文件进行备份。

32、应有补丁测试记录和系统补丁安装操作记录

33、应对系统管理员用户进行分类（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）

34、审计员应定期对系统审计日志进行分析（有定期对系统运行日志和审计数据的分析报告）

35、应对员工进行基本恶意代码防范意识的教育，如告知应及时升级软件版本（对员工的恶意代码防范教育的相关培训文档）

36、应指定专人对恶意代码进行检测，并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录

38、应对恶意代码库的升级情况进行记录（代码库的升级记录），对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件，如何处理

39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。

41、重要系统的变更申请书，应具有主管领导的批准

42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统（备份文件记录）

43、应定期执行恢复程序，检查和测试备份介质的有效性

44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

45、应对安全事件记录分析文档

46、应具有不同事件的应急预案

47、应具有应急响应小组，应具备应急设备并能正常工作，应急预案执行所需资金应做过预算并能够落实。

48、应对系统相关人员进行应急预案培训（应急预案培训记录）

49、应定期对应急预案进行演练（应急预案演练记录） 50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录。

推荐第6篇：安全等级保护管理办法

安全等级保护管理办法

为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规制定以下办法：

第1条网络安全策略管理由安全保密管理员专职负责，未经允许任何人不得进行此项操作。

第2条根据网络信息系统的安全设计要求及主机审计系统数据的分析结果，制定、配置、修改、删除主机审计系统的各项管理策略，并做记录。

第3条根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略，并做记录。

第4条根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略，并做记录。

第5条根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略，并做记录。

第6条每周对网络信息系统安全管理策略进行数据备份，并作详细记录。第7条网络信息安全技术防护系统（主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统）由网络安全保密管理员统一负责安装和卸载。

第8条网络信息系统安全检查由安全保密管理员专职负责执行，未经允许任何人不得进行此项操作。

第9条每天根据入侵检测系统的系统策略检测、审计系统日志，检查是否有网络攻击、异常操作、不正常数据流量等，对异常情况做及时处理，遇有重大安全问题上报保密局，并做详细记录。

第10条每周登陆入侵检测系统产品网站，下载最新升级文件包，对系统进行更新，并做详细记录。

第11条每月通过漏洞扫描系统对网络系统终端进行安全评估分析，并对扫描结果进行分析，及时对终端系统漏洞及安全隐患进行处理，作详细记录，并将安全评估分析报告上报保密办。

第12条每周登录全评估产品网站，下载最新升级文件包，对系统进行更新，并作详细记录。

第13条每周备份入侵检测系统和漏洞扫描系统的审计信息，并作详细记录。第14条涉密计算机安全管理由安全保密管理员专人负责，未经允许任何人不得进行此项操作。

第15条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略，包括打印控制策略、外设输入输出控制策略、应用程序控制策略，并做记录。

第16条每日对涉密计算机进行安全审计，及时处理安全问题，并做详细记录，遇有重大问题上报保密部门。

第17条涉密计算机的新增、变更、淘汰需经保密部门审批，审批通过后由安全保密管理员统一进行操作，并做详细记录。

第18条新增涉密计算机联入涉密网络，需经保密局审批，由安全保密管理员统一进行操作，并做详细记录。

推荐第7篇：信息安全等级保护工作总结

南京林业大学

信息安全等级保护工作检查总结材料

一、部署和组织实施情况

为加强我校信息系统等级保护工作的组织领导，扎实推进信息系统等级保护工作开展，预防和杜绝信息系统安全事件发生，确保信息系统安全，我校成立了网络与信息安全工作领导小组，并组织相关专业技术力量，全面负责信息系统安全管理工作。2011年6月份信息（网络）中心召开多次会议，学习、讨论《信息系统安全等级保护定级指南》等相关文件，组织开展我校信息安全等级保护工作，由各个信息系统的使用部门专人完成相应的信息系统定级工作。

二、定级备案情况我校各个信息系统的定级报告及备案表汇总到信息（网络）中心，由信息（网络）中心统一使用专用备案工具生成备案电子数据，共8个信息系统，其中二级信息系统四个，其余的为一级系统，即将上报完成相关备案工作。

三、测评情况

我校信息安全等级保护测评工作已经开展，计划将在11月份请相关的测评机构来我校完成信息安全等级保护测评，并上报公安机关备案。

四、安全建设整改情况

我校制定了《南京林业大学计算机安全管理办法》、《南京林业大学网络安全使用制度》、《南京林业大学网络与信息安全应急处置工作

预案》等管理制度。设置信息安全管理员岗位，负责我校信息安全管理工作。在校园网络边界部署了千兆防火墙，并设置了上网行为管理平台，保存日志审计等。我校每年都有相应的专项建设经费，用于定级保护安全建设。根据即将开展的测评情况，我们将进一步完成信息安全等级保护相关的建设整改工作。

南京林业大学

2011-11-1篇二：信息安全等级保护工作汇报 xxx 信息安全等级保护工作汇报

一、医院简介 xxx拥有66年发展历史，坐落于黑龙江北部中心城市北安市的城市中心，地处政治、经济、文化中心地带，交通便利，医院学科优势突出，专业特色明显，在市内外享有较高的声誉。医院总占地面积22599平方米，业务用房建筑面积25027平方米。

医院在职职工664人，专业技术人员 557人，其中高级技术职称172 人，中级技术职称109人，床位400余张。设有内、外、妇、儿、五官等二十个临床科室，15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科，其中胸外科、脑外科是我院重点科室之一，胸外科是黑河地区该专业龙头科室，外科常规开展肺癌、脑外、食道癌等复杂手术，广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖，开创了历史先河，成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位，吸引了大量外院病人来我院检查，整合了各方优势资源。

医院环境优美，整洁。目前，现已发展成为一所集医疗、康复、

保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院，“120”急救中心设在我院，同时担负着全市司法鉴定工作。

医院拥有大型核磁共振成像系统、螺旋ct、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字x光机、数字多功能胃肠ｘ光机、ｃ型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、２４小时动态心电监测系统等先进设备百余台，抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备，精良的医疗设备为提高临床诊治水平提供了重要的保证。

医院由门诊楼，病房楼，急救中心组成，住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理，所有病房均设有中央空调、独立卫生间，配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 xxx拥有黑河地区首家具有国际先进水平的icu重症监护病房，是我省北部地区成立较早发展最快的重症科室，设备实力和省级医院相聘美，从业人员都经过正规重症医学培训学习，成立后为北安市危重症治疗开辟了新的天地，危重症抢救成功率达到省级医院水平。具

有国际水准的最先进的层流净化手术室共六个6 手术间，同时可开展胸、脑、腹、四肢、五官、妇科等高尖端手术。急诊科是黑龙江北部地区最大的急诊综合科室，科室有独立床位近30张，抢救设备齐全，实力雄厚，是我院“门神”级科室。我院拥有全区设备最先进功能最完善的烧伤病房和血液病房，发热门诊、检验科均按照国家级标准建设，为患者提供了方便、安全的就医环境。 xxx领导班子带领广大职工勇于拼搏，锐意进取实现了医院的快速、稳定、健康发展，以改革创新的精神脚，踏实地的工作作风使社会效益和经济效益稳步增长，年收入突破亿元大关。医院的各项事业蓬勃发展，硕果累累，成绩斐然。

“以病人为中心，创建人民群众最满意医院”是xxx始终坚持的办院宗旨。医院人正以执着的医志、高尚的医德、精湛的医术和严谨的学风书写着辉煌的历史，为打造“国内知名、省内一流”医院的目标而努力奋斗！

二、加强领导

根据黑龙江省卫生计生委、黑龙江省公安厅、黑龙江省工信委《关于进一步开展好卫生计生行业信息安全等级保护工作的通知》医院高度重视信息系统的信息安全保护工作，成立信息安全领导小组，具体工作由网络中心承担，负责医院信息系统等级保护工作，并开展

相关科室的监督指导，根据安排，医院自成立信息安全领导小组以来，就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时组织培训等方式，不断加强技术人员的培养，对网络中心增加专业技术人员，强化信息安全保护能力。

三、完善制度

为落实加强和改进互联网建设与管理，根据原卫生部《关于印发卫生行业信息安全等级保护工作的指导意见》（卫办发【2011】85号）的文件要求，我们对医院信息系统安全等级保护工作做出了具体的要求，根据等级保护要求，开展了信息安全制度的前期完善工作。陆续制定了《信息系统安全组织结构及管理制度》《信息人员安全管理制度》《信息系统管理制度》《信息安全组织机构设置》《信息安全组织机构管理制度》《系统运维管理制度》等制度及《物理安全技术措施建设》、《网络安全技术措施建设》、《主机安全技术措施建设》、《应用安全技术措施建设》、《数据安全技术措施建设》等措施。

四、信息等级安全保护基本情况目前，医院已有his、院内办公网、农村合作医疗、城镇职工医保、城镇居民医保、铁路医保、低保等多个内部信息系统，根据等

级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，严格管理机房人员进出，消防设施完善，所有设备通过ups供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。机房做到防水、防火、防静电处理，温湿度控制在要求的温湿度之间。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的ip绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在医院互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用虎纹远程管理软件，对终端进行工作行为、上网行为等管理，重要的应用系统安装了计算机监控与审计系统，实现对主机的usb等外设接口的控制管理，采用key用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；安装彩蝶arp检测系统及局域网抓包工具，自部署起已多次成功篇三：2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报

一、加强领导 2013年，根据扬州市信息安全等级保护办公室的的通知，集团高度重视非涉密重要信息系统的信息安全保护工作。集团安全等级保护工作由集团信息安全领导小组负责，具体工作由网络技术部和扬州网等部门承担，负责集团信息系统等级保护工作，并开展对集团所属单位的监督指导。根据安排，集团自2011年以来就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时通过组织培训等方式，不断加强技术人员的培养，强化信息安全保护能力。

二、完善制度

为贯彻落实全市加强和改进互联网建设与管理工作会议和市委办公室、市政府办公室《扬州市深入推进信息安全等级保护工作的实施意见》（扬办发[2012]57号）文件精神，对集团信息系统安全等级保护工作做出了具体的要求，根据等级保护要求，开展了信息安全制度的前期完善工作。陆续制定了“增加扬州网一些网站新闻发布审核的制度”、《外部人员访问机房审批管理制度》、《中心机房管理办法》、《机房消防安全管理制度》等制度。

三、信息等级安全保护基本情况

目前，集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过ups供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的ip绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；

在集团互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用双硬盘及物理隔离互联网及内网应用，通过部署趋势网络防毒墙网络版，安装联软安全管理软件保障客户机系统安全，并且做到漏洞补丁及时更新，重要的应用系统安装了计算机监控与审计系统，实现对主机的usb等外设接口的控制管理，采用key用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工

作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出sql注入，ftp匿名登录，网站目录遍历，探测主机地址漏洞等。在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。

四、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，集团在该项工作上虽然取得一些进展，但是与市里要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。建议市里加强工作指导，通过多种方式的等级保护技术交流和培训，提高单位领导及员工的等级保护意识，进一步推进集团的信息系统等级保护工作。篇四：2009年信息安全等级保护工作汇报

2009年信息安全等级保护工作汇报 2010年1月20日

一、加强领导 2009年，根据部里的总体部署，我厅高度重视非涉密重要信息系统的信息安全保护工作。我厅交通信息安全等级保护工作由厅信息安全领导小组负总责，具体工作由厅信息安全领导小组办公室承担，负责厅机关信息系统等级保护工作，并开展对厅直单位的监督指导。根据安排，我厅自2007年以来就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时通过组织培训等方式，不断提高技术人员的培养，强化信息安全保护能力。

二、完善制度为了做好信息系统等级保护工作，根据《信息安全等级保护管理办法》（公通字200743号）的要求，结合我省实际，我厅制定并印发了《福建省交通运输厅信息系统等级保护管理制度》，对交通信息系统安全等级保护工作做出了具体的要求，同时在我厅开展的资源整合和服务工程建设中，根据等级保护要求，编制《厅网络安全系统建设方案》，制订了分步实施计划，并开展了数据库审计测试等前期工作。 2

三、信息等级安全保护基本情况目前，厅机关已有办公自动化、门户网站及交通地理信息系统等3个系统完成了等级保护备案和测评工作，并根据测评中心的评估报告进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过ups供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的ip绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在厅互联网出口部署网络行为管理（智能网关）系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。部署入侵防御系统监测、记录网络安全事件。在主机安全方面，终端计算机采用双硬盘及物理隔离卡隔离互联网及政务内网应用，通过部署趋势网络防毒墙网络版，安装360安全卫士等安全软件保障主机系统安全，并且做到系统漏洞补丁及时更新，内网终端全部在政务网注册，重要的应用系统安装了计算机监控与审计系统，实现对主机的usb等外设接口的控制管理，采用key用户名密码等方式控制用户登陆行为。对于应用安全，严格做好系统安全测试，配备了专门的漏洞 3 扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出sql注入，ftp匿名登录，网站目录遍历，探测主机地址漏洞等。同时还安装网页防篡改系统，保障网站正常运行。在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。此外，2009年我厅新建成的福建省卫星定位安全服务等4个系统也

及时向省网安办履行了申请备案和测评手续，具体测评正在实施中。

四、建议信息系统安全等级保护工作责任重大，技术性强，工作量巨大，我省在该项工作上虽然取得一些进展，但是与部、省要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。建议部里加强工作指导，通过多种方式的等级保护技术交流和培训，提高交通系统各级单位领导及职工的等级保护意识，进一步推进交通系统的信息系统等级保护工作。篇五：信息安全等级保护工作实施方案

白鲁础九年制学校

信息安全等级保护工作实施方案

为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【2011】321号文件精神，结合我校实际，制订本实施方案。

一、指导思想

以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。

二、定级范围

学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导

（一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。

学校办公室负责定级工作的部门间协调。

安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。

2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。

3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。

四、主要内容、工作步骤

（一）开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。

（二）初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

（三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。

（四）备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。

五、定级工作要求

（一）加强领导，落实保障。各部门要落实责任，并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。

（二）加强培训，严格定级。为切实落实评审工作，保证定级准确，备案及时，全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平，保证定级工作顺利进行，各部门要认真学习《信息安全等级保护管理办法》《文保处教育系统单位信息分级培训材料》、、《信息系统安全保护等级定级指南（国标）》、《信息系统安全等级保护基本要求（报批）》、《信息系统安全等级保护实施指南（报批）》等材料。

（三）积极配合、认真整改。各部门要认真按照评级要求，组织开展等级保护工作，切实做好重要信息系统的安全等级保护。

（四）自查自纠、完善制度。

推荐第8篇：信息安全等级保护(二级)

信息安全等级保护(二级)

备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路（如双路供电方式）

16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序：

3、应具有专门的部门或人员负责安全管理制度的制定（发布制度具有统一的格式，并进行版本控制）

4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应具有管理制度评审记录

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。（安全管理制度体系的评审记录）

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权的人员担任）

8、应与其它部门之间及内部各部门管理人员定期进行沟通（信息安全领导小组或者安全管理委员会应定期召开会议）

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期：

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）

11、应与公安机关、电信公司和兄弟单位等的沟通合作（外联单位联系列表）

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。

13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录）

14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况）

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作（录用过程）

2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，技能考核文档或记录

3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容）

4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的记录）

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证件和设备等的登记记录）

7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照离岗程序办理调离手续的记录，调离人员的签字）

8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、安全技能等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。

10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。

11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训（安全教育和培训的结果记录，记录应与培训计划一致）

12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录（记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等）

五、系统建设管理

1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责

4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近期和远期的安全建设计划）

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责。

2、应具有机房基础设施的维护记录，空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理（工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件）

5、应具有资产清单（覆盖资产责任人、所属级别、所处位置、所处部门等方面）

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中，应对存放环境实施专人管理（介质存放在安全的环境（防潮、防盗、防火、防磁，专用存储空间））

9、应具有介质使用管理记录，应记录介质归档和使用等情况（介质存放、使用管理记录）

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等环节的控制

11、应对介质的使用情况进行登记管理，并定期盘点（介质归档和查询的记录、存档介质定期盘点的记录）

13、应对某些重要介质实行异地存储，异地存储环境是否与本地环境相同（防潮、防盗、防火、防磁，专用存储空间）

14、介质上应具有分类的标识或标签

15、应对各类设施、设备指定专人或专门部门进行定期维护。

16、应具有设备操作手册

17、应对带离机房的信息处理设备经过审批流程，由何人审批（审批记录）

18、应监控主机、网络设备和应用系统的运行状况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警 20、应具有日常运维的监控日志记录和运维交接日志记录

21、应定期对监控记录进行分析、评审

22、应具有异常现象的现场处理记录和事后相关的分析报告

23、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理

24、应指定专人负责维护网络安全管理工作

25、应对网络设备进行过升级，更新前应对现有的重要文件是否进行备份（网络设备运维维护工作记录）

26、应对网络进行过漏洞扫描，并对发现的漏洞进行及时修补。

27、对设备的安全配置应遵循最小服务原则，应对配置文件进行备份（具有网络设备配置数据的离线备份）

28、系统网络的外联种类（互联网、合作伙伴企业网、上级部门网络等）应都得到授权与批准，由何人/何部门批准。应定期检查违规联网的行为。

29、对便携式和移动式设备的网络接入应进行限制管理

30、应具有内部网络外联的授权批准书，应具有网络违规行为（如拨号上网等）的检查手段和工具。

31、在安装系统补丁程序前应经过测试，并对重要文件进行备份。

32、应有补丁测试记录和系统补丁安装操作记录

33、应对系统管理员用户进行分类（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）

34、审计员应定期对系统审计日志进行分析（有定期对系统运行日志和审计数据的分析报告）

35、应对员工进行基本恶意代码防范意识的教育，如告知应及时升级软件版本（对员工的恶意代码防范教育的相关培训文档）

36、应指定专人对恶意代码进行检测，并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录

39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。

41、重要系统的变更申请书，应具有主管领导的批准

42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统（备份文件记录）

43、应定期执行恢复程序，检查和测试备份介质的有效性

44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

45、应对安全事件记录分析文档

46、应具有不同事件的应急预案

47、应具有应急响应小组，应具备应急设备并能正常工作，应急预案执行所需资金应做过预算并能够落实。

48、应对系统相关人员进行应急预案培训（应急预案培训记录）

49、应定期对应急预案进行演练（应急预案演练记录） 50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录。

推荐第9篇：信息安全等级保护工作汇报

XXX 信息安全等级保护工作汇报

一、医院简介

XXX拥有66年发展历史，坐落于黑龙江北部中心城市北安市的城市中心，地处政治、经济、文化中心地带，交通便利，医院学科优势突出，专业特色明显，在市内外享有较高的声誉。医院总占地面积22599平方米，业务用房建筑面积25027平方米。

医院环境优美，整洁。目前，现已发展成为一所集医疗、康复、保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院，“120”急救中心设在我院，同时担负着全市司法鉴定工作。

医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠Ｘ光机、Ｃ型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、２４小时动态心电监测系统等先进设备百余台，抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备，精良的医疗设备为提高临床诊治水平提供了重要的保证。

医院由门诊楼，病房楼，急救中心组成，住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理，所有病房均设有中央空调、独立卫生间，配备集中供氧、集中负压吸引、自动对讲呼叫等设施。

XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房，是我省北部地区成立较早发展最快的重症科室，设备实力和省级医院相聘美，从业人员都经过正规重症医学培训学习，成立后为北安市危重症治疗开辟了新的天地，危重症抢救成功率达到省级医院水平。具有国际水准的最先进的层流净化手术室共六个6 手术间，同时可开展胸、脑、腹、四肢、五官、妇科等高尖端手术。急诊科是黑龙江北部地区最大的急诊综合科室，科室有独立床位近30张，抢救设备齐全，实力雄厚，是我院“门神”级科室。我院拥有全区设备最先进功能最完善的烧伤病房和血液病房，发热门诊、检验科均按照国家级标准建设，为患者提供了方便、安全的就医环境。

XXX领导班子带领广大职工勇于拼搏，锐意进取实现了医院的快速、稳定、健康发展，以改革创新的精神脚，踏实地的工作作风使社会效益和经济效益稳步增长，年收入突破亿元大关。医院的各项事业蓬勃发展，硕果累累，成绩斐然。

“以病人为中心，创建人民群众最满意医院”是XXX始终坚持的办院宗旨。医院人正以执着的医志、高尚的医德、精湛的医术和严谨的学风书写着辉煌的历史，为打造“国内知名、省内一流”医院的目标而努力奋斗！

二、加强领导

根据黑龙江省卫生计生委、黑龙江省公安厅、黑龙江省工信委《关于进一步开展好卫生计生行业信息安全等级保护工作的通知》医院高度重视信息系统的信息安全保护工作，成立信息安全领导小组，具体工作由网络中心承担，负责医院信息系统等级保护工作，并开展相关科室的监督指导，根据安排，医院自成立信息安全领导小组以来，就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时组织培训等方式，不断加强技术人员的培养，对网络中心增加专业技术人员，强化信息安全保护能力。

三、完善制度

四、信息等级安全保护基本情况

目前，医院已有HIS、院内办公网、农村合作医疗、城镇职工医保、城镇居民医保、铁路医保、低保等多个内部信息系统，根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。

在物理安全方面，严格管理机房人员进出，消防设施完善，所有设备通过UPS供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。机房做到防水、防火、防静电处理，温湿度控制在要求的温湿度之间。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的IP绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在医院互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

在主机安全方面，终端计算机采用虎纹远程管理软件，对终端进行工作行为、上网行为等管理，重要的应用系统安装了计算机监控与审计系统，实现对主机的USB等外设接口的控制管理，采用KEY用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；安装彩蝶ARP检测系统及局域网抓包工具，自部署起已多次成功检测出SQL注入，伪装IP地址，全网攻击，FTP匿名登录，探测主机地址漏洞等。

在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。

对于医院信息系统的不足，医院高度重视，在资金紧张等情况下，自筹300余万元，对系统进行改造，将在下半年投入200余万元将对医院信息系统软件升级改造。增加电子病历系统，检验科LIS系统，医学影像系统。硬件投入100余万元，增加服务器终端，网络设备等。

五、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，医院在该项工作上虽然取得一些进展，但是与上级主管部门要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

建议上级领导加强工作指导，通过多种方式的等级保护技术交流和培训，提高单位领导及员工的等级保护意识，进一步推进医院的信息系统等级保护工作。

推荐第10篇：信息安全等级保护工作汇报

2013年信息安全等级保护工作汇报

一、加强领导

2013年，根据扬州市信息安全等级保护办公室的的通知，集团高度重视非涉密重要信息系统的信息安全保护工作。集团安全等级保护工作由集团信息安全领导小组负责，具体工作由网络技术部和扬州网等部门承担，负责集团信息系统等级保护工作，并开展对集团所属单位的监督指导。根据安排，集团自2011年以来就开展了信息系统安全等级保护基础调查工作等相关工作，全面开展信息系统安全等级保护，同时通过组织培训等方式，不断加强技术人员的培养，强化信息安全保护能力。

二、完善制度

三、信息等级安全保护基本情况

目前，集团已有扬州网、扬州晚报网、扬州汽车网、艺术在线网和多个内部信息系统根据等级保护的要求进行了整改优化，积极加强信息系统安全环境建设，消除安全管理中的薄弱环节。在物理安全方面，机房安装门禁系统，严格管理机房人员进出，消防设施完善，所有设备通过UPS供电。关键网络设备和服务器做到有主有备，确保在发生物理故障时可以及时更换。

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的IP绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；

在主机安全方面，终端计算机采用双硬盘及物理隔离互联网及内网应用，通过部署趋势网络防毒墙网络版，安装联软安全管理软件保障客户机系统安全，并且做到漏洞补丁及时更新，重要的应用系统安装了计算机监控与审计系统，实现对主机的USB等外设接口的控制管理，采用KEY用户名密码等方式控制用户登陆行为。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工

作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出SQL注入，FTP匿名登录，网站目录遍历，探测主机地址漏洞等。

四、建议

信息系统安全等级保护工作责任重大，技术性强，工作量巨大，集团在该项工作上虽然取得一些进展，但是与市里要求还有相当的差距，在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。

建议市里加强工作指导，通过多种方式的等级保护技术交流和培训，提高单位领导及员工的等级保护意识，进一步推进集团的信息系统等级保护工作。

第11篇：信息安全等级保护工作汇报

2009年信息安全等级保护工作汇报

2010年1月20日

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的IP绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在厅互联网出口部署网络行为管理（智能网关）系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。部署入侵防御系统监测、记录网络安全事件。在主机安全方面，终端计算机采用双硬盘及物理隔离卡隔离互联网及政务内网应用，通过部署趋势网络防毒墙网络版，安装360安全卫士等安全软件保障主机系统安全，并且做到系统漏洞补丁及时更新，内网终端全部在政务网注册，重要的应用系统安装了计算机监控与审计系统，实现对主机的USB等外设接口的控制管理，采用KEY用户名密码等方式控制用户登陆行为。对于应用安全，严格做好系统安全测试，配备了专门的漏洞 3 扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出SQL注入，FTP匿名登录，网站目录遍历，探测主机地址漏洞等。同时还安装网页防篡改系统，保障网站正常运行。在数据安全方面，数据库通过备份系统定期备份，关键数据库服务器采用双机热备份，保证数据库服务器的可用性和高效性，在出现故障时可以快速恢复；数据库的访问按不同用户身份进行严格的权限控制。此外，2009年我厅新建成的福建省卫星定位安全服务等4个系统也

及时向省网安办履行了申请备案和测评手续，具体测评正在实施中。

第12篇：信息安全等级保护工作计划

篇1：信息安全等级保护工作实施方案白鲁础九年制学校

信息安全等级保护工作实施方案

一、指导思想

二、定级范围

学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导

（一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

四、主要内容、工作步骤

（三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。

（四）备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。

五、定级工作要求

（二）加强培训，严格定级。为切实落实评审工作，保证定级准确，备案及时，全面提高我校基础信息网络和重要信息系统的信息安全保护能力和水平，保证定级工作顺利进行，各部门要认真学习《信息安全等级保护管理办法》、《文保处教育系统单位信息分级培训材料》、《信息系统安全保护等级定级指南（国标）》、《信息系统安全等级保护基本要求（报批）》、《信息系统安全等级保护实施指南（报批）》等材料。

（三）积极配合、认真整改。各部门要认真按照评级要求，组织开展等级保护工作，切实做好重要信息系统的安全等级保护。

（四）自查自纠、完善制度。此次定级工作完成后，请各部门按照《信息安全等级保护管理办法》和有关技术标准，依据系统所定保护等级的要求，定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查，并不断完善安全管理制度，今后，若信息系统备案资料发生变化，应及时进行变更备案篇2：医院信息系统安全等级保护工作实施方案医院信息系统安全等级保护工作实施方案

医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行，根据公安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【2004】66号、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【2011】1126号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知卫办发【2011】85号和省市有关文件精神，并结合我院信息化建设的工作实际，特制定《德江县民族中医院信息系统安全等级保护工作实施方案》确保我院信息系统安全。

一、组织领导组长：副组长：组员：

领导小组办公室设在xx科，由xx同志兼任主任，xx等同志负责具体工作。

二、工作任务

1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。

2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》（gb/t22239-2008）等有关标准，结合医院工作实际，组织开展等级保护安全建设整改工作，具体要求如下：

三、工作要求

1、建立安全管理组织机构。成立信息安全工作组，网络办负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件，应视情况及时以口头或书面的形式报告院网络办。对重大信息网络安全事件、安全事故和计算机违法犯罪案件，应在24小时内向公安机关报告，并保护好现场。篇3：2013年信息安全等级保护工作汇报 2013年信息安全等级保护工作汇报

一、加强领导

二、完善制度

三、信息等级安全保护基本情况

在网络安全方面，我们严格按照内、外网物理隔离的标准建设网络系统，并采用虚拟局域网技术，通过交换机端口的ip绑定，防止非法网络接入；在网络出口以及不同网络互联边界全面部署硬件防火墙，部署日志服务器，记录并留存使用互联网和内部网络地址对应关系；在集团互联网出口部署网络行为管理系统，规范和记录上网行为，合理控制不同应用的网络流量，实现网络带宽动态分配，保障了信息系统正常应用的网络环境。

对于应用安全，严格做好系统安全测试，配备了专门的漏洞扫描仪定期扫描应用系统漏洞，并按测试结果做好安全修复和加固工作；在网站区，部属入侵防御系统，监测、记录安全事件，及时阻断入侵行为，自部署起已多次成功检测出sql注入，ftp匿名登录，网站目录遍历，探测主机地址漏洞等。

四、建议

建议市里加强工作指导，通过多种方式的等级保护技术交流和培训，提高单位领导及员工的等级保护意识，进一步推进集团的信息系统等级保护工作。

第13篇：信息安全等级保护测评

TopSec可信等级体系天融信等级保护方案

Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力作者:中安网

1.等级保护概述

1.1为什么要实行等级保护？

信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。

1.2等级保护的政策文件

信息安全等级保护工作非常重要，为此从2003年开始国家发布了一系列政策文件，具体如下：

2003年9月，中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号），这是我国第一个信息安全保障工作的纲领性文件，战略目标为经过五年努力，基本形成国家信息安全保障体系，实行等级保护制度。

2004年11月，四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。 2005年9月，国信办文件，《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）：基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。

2005年，公安部标准：《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。

2006年1月，四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）。

1.3 等级保护的管理结构－北京为例

等级保护的实施和落实离不开各级管理机构的指导和监督，这在等级保护的相关文件中已经得到了规定，下面以北京市为例来说明管理机构的组成和职责，具体如下图所示：

1.4等级保护理论的技术演进

在等级保护理论被提出以后，经过相关部门的努力工作，逐渐提出了一系列原则、技术和框架，已经具备实施等级保护工作的基础条件了，其具体演进过程如下图所示：

1.5等级保护的基本需求

一个机构要实施等级保护，需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度，因此各级组织在这方面就存在如下需求：

（1）政策要求－符合等级保护的要求。系统符合《基本要求》中相应级别的指标，符合《测评准则》中的要求。

（2）实际需求－适应客户实际情况。适应业务特性与安全要求的差异性，可工程化实施。

1.6基本安全要求的结构

对系统进行定级后，需要通过努力达到相应等级的基本安全要求，在总体上分为技术要求和管理要求，技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全，在管理要求中又分为安全管理机构、安全管理制度等5项，具体如下图所示：

2.等级保护实施中的困难与出路

由于等级保护制度还处于探讨阶段，目前来看，尚存在如下困难：

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统，否则：

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

4.大型客户最关注的关键要求指标超出《基本要求》规定

针对上述问题，在下面几小节分别给出了坚决办法。

2.1安全体系设计方法

需求分析－1

问题1：标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

需求：从组织整体出发，综合考核所有系统

方法：引入体系设计方法

2.2保护对象框架设计方法

需求分析－2

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

需求：准确地进行大系统的分解和描述，反映实际特性和差异性安全要求

方法：引入保护对象框架设计方法

保护对象框架－政府行业

保护对象框架－电信行业

保护对象框架－银行业

2.3安全平台的设计与建设方法

需求分析－3

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

需求：统一规划，集中建设，避免重复和分散，降低成本，提高建设水平

方法：引入安全平台的设计与建设方法

平台定义：为系统提供互操作性及其服务的环境

2.4建立安全运行体系

需求分析－4

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

需求：建立长效机制，建立可持续运行、发展和完善的体系

方法：建立安全运行体系

2.5安全运维工作过程

需求分析－5

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

需求：需要高水平、自动化的安全管理工具

方法：TSM安全管理平台

2.6 TNA可信网络架构模型

需求分析－6

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

4.大型客户最关注的关键指标超出《基本要求》规定

需求：在《基本要求》基础上提出更强的措施，满足客户最关注的指标

方法：引入可信计算的理念，提供可信网络架构

3.总体解决方案－TopSec可信等级体系

按照上面解决等级保护目前困难的方法，总体解决方案就是建立TopSec可信等级体系：

遵照国家等级保护制度、满足客户实际需求，采用等级化、体系化和可信保障相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标

特质：

等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求

整体性：结构化，内容全面，可持续发展和完善，持续运行

针对性：针对实际情况，符合业务特性和发展战略

3.1可信等级体系设计方法

3.2信息安全保障体系总体框架

3.3体系设计的成果

安全组织体系

安全策略体系

安全技术体系

安全运行体系

3.4安全体系的实现

4.成功案例

某国有大型企业已经采用了我们的可信等级体系，取得了良好的效果。

第14篇：《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法

第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。

第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐

1 的等级测评机构进行监督管理。

省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件：

（一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；

（三）从事信息系统安全相关工作两年以上，无违法记录；

（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（五）具有信息系统安全相关工作经验的技术人员，不少于10人；

（六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；

（七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；

（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；

（九）不涉及信息安全产品开发、销售或信息系统安全

2 集成等业务；

（十）应具备的其他条件。

第七条申请时，申请单位应向等保办提交以下材料：

（一）《信息安全等级保护测评机构申请表》；

（二）从事信息系统安全相关工作情况；

（三）检测评估工作所需软硬件及其他服务保障设施配备情况；

（四）有关管理制度建设情况；

（五）申请单位及其测评人员基本情况；

（六）应提交的其他材料。

等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

第八条通过初审的申请单位，应及时参加指定评估机构组织的测评人员培训。考试合格的人员，取得等级测评师证书。

等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书，其中高级和中级测评师均不得少于1人。

第九条指定评估机构应根据标准规范对申请单位开展能力评估，出具信息安全等级保护测评机构能力评估报告，并及时将申请单位能力评估有关情况报送等保办。

第十条等保办组织专家对通过能力评估的申请单位进

3 行审核。审核通过的，颁发《信息安全等级保护测评机构推荐证书》。

省级等保办应及时将本地等级测评机构推荐情况报国家等保办，国家等保办定期发布公告，在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。

第十一条下列事项发生变更时，等级测评机构应在变更后5个工作日内向等保办报告。

（一）等级测评机构名称、地址、测评人员和主要负责人发生变更的；

（二）等级测评机构法人、股权结构发生变更的；

（三）其他重大事项发生变更的。

省级等保办应及时将等级测评机构变更情况报国家等保办。

第十二条信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内，向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的，等保办应督促其限期整改。

省级等保办应及时将等级测评机构期满复审情况报国家等保办。

第十三条等级测评师上岗前，等级测评机构应组织岗前培训。培训合格的，由等级测评机构配发上岗证。未取得

4 测评师证书和上岗证的，不得参与等级测评项目。

等级测评师离职前，等级测评机构应与其签订离职保密承诺书，并收回上岗证。

第十四条等级测评师应妥善保管等级测评师证书、上岗证，不得涂改、出借、出租和转让。

第十五条等级测评机构应加强对本机构等级测评师的监督管理，定期组织开展安全保密教育和业务培训。

第十六条等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作，依据模板出具信息系统安全等级测评报告，确保测评质量，全面、客观地反映被测信息系统的安全保护状况。

第十七条等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内，向受理信息系统备案的公安机关报告等级测评项目有关情况。

第十八条测评项目实施过程中，等级测评机构应接受等保办的监督、检查和指导。测评项目完成后，等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价，评价情况由被测单位反馈等保办。

第十九条等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践，每年底编制并报送信息系统安全状况分析报告。

5 第二十条等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标，对等级测评机构划分为五个星级，最低为一星级，最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。

第二十一条等级测评机构应于每年底向等保办提交星级评定所需材料。

等保办负责组织所推荐等级测评机构的星级评定审核工作，并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定，国家等保办定期发布星级评定结果。

第二十二条取得信息安全等级保护测评机构推荐证书未满一年的，不参加星级评定。

第二十三条等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作，及时掌握等级测评机构工作情况。

第二十四条等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的，当年可免予年审。年审时，等级测评机构应提交以下材料：

（一）《信息安全等级保护测评机构年审表》；

（二）信息安全等级保护测评机构推荐证书副本；

（三）年度测评工作总结；

（四）其他所需材料。

第二十五条

国家等保办负责组织开展等级测评机构能

6 力验证和抽查工作。

第二十六条等级测评机构有下列情形之一的，等保办应责令其限期整改；情形严重的，予以通报。

（一）未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的；

（二）影响被测评信息系统正常运行，危害被测评信息系统安全的；

（三）非授权占有、使用，未妥善保管等级测评相关资料及数据文件的；

（四）分包或转包等级测评项目，以及扰乱测评市场秩序的；

（五）限定被测评单位购买、使用指定信息安全产品的；

（六）测评人员未取得等级测评师证书和上岗证从事等级测评活动的；

（七）未按本办法规定向等保办提交材料、报告情况或弄虚作假的；

（八）其他违反等级测评有关规定的行为。

第二十七条等级测评机构有下列情形之一的，等保办应取消其信息安全等级保护测评机构推荐证书，并向社会公告。

（一）因单位股权、人员等情况发生变动，不符合等级测评机构基本条件的；

（二）有信息安全产品开发、销售或信息系统安全集成行为的；

（三）故意泄露被测评单位工作秘密、重要信息系统数据信息的；

（四）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的；

（五）一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的；

（六）连续两年年审不合格或限期整改后仍未通过复审的；

（七）违反本办法第二十六条规定，情节特别严重的。第二十八条等级测评师有下列行为之一的，等保办应责令等级测评机构督促其限期改正；情节严重的，责令等级测评机构暂停其参与测评工作；情形特别严重的，应注销其等级测评师证书，并对其所在等级测评机构进行通报。

（一）未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的；

（二）违反本办法第十四条规定，未妥善保管等级测评师证书、上岗证，有涂改、出借、出租和转让等行为的；

（三）测评行为失误或不当，影响信息系统安全或造成运营使用单位利益损失的；

（四）其他违反等级测评有关规定的行为。

8 第二十九条等级测评机构及其等级测评师违反本办法的相关规定，给被测评信息系统运营使用单位造成严重危害和损失的，由相关部门依照有关法律、法规予以处理。

第三十条任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的，可向国家等保办举报、投诉。

第三十一条本办法由国家等保办负责解释。第三十二条本办法自发布之日起实施。

第15篇：公安部颁布《信息安全等级保护管理办法(试行)》

公安部颁布《信息安全等级保护管理办法（试行）》

第一章总则

第一条为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化

建设,根据《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规,制定本办法。

第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

第三条信息系统的安全保护等级应当根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。

第四条信息系统的安全保护等级分为以下五级：

(一) 第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。

(二) 第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。

(三) 第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。

(四) 第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。

(五) 第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。

第五条信息系统,运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。

(一) 第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。

(二) 第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。 (三) 第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。

(四) 第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。

(五) 第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护, 国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。

第六条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码;工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门问协调。

第16篇：信息安全等级保护工作实施方案

白鲁础九年制学校

信息安全等级保护工作实施方案

一、指导思想

二、定级范围

学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。

三、组织领导

（一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。

学校办公室负责定级工作的部门间协调。

安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。

各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。

（二）协调领导机制。

四、主要内容、工作步骤

（三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。

（四）备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。

五、定级工作要求

（三）积极配合、认真整改。各部门要认真按照评级要求，组织开展等级保护工作，切实做好重要信息系统的安全等级保护。

（四）自查自纠、完善制度。此次定级工作完成后，请各部门按照《信息安全等级保护管理办法》和有关技术标准，依据系统所定保护等级的要求，定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查，并不断完善安全管理制度，今后，若信息系统备案资料发生变化，应及时进行变更备案

第17篇：信息安全等级保护体系设计

信息安全等级保护体系设计

《关于加强信息安全保障工作的意见》指出，实行等级保护是信息安全保障的基本政策，各部门、各单位都要根据等级保护制度的要求，结合各自的特点，建立相应的安全保护策略、计划和措施。

通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。

设计思路与原则

信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时一般应遵循以下四条原则：

清晰定义安全模型；

合理划分安全等级；

科学设计防护深度；

确保可实施易评估。

具体来说：

1.清晰定义安全模型

面对的难题：政府或大型企业组织的信息系统结构复杂，难以描述。

政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇，地域辽阔，规模庞大；各地信息化发展程度不一，东西部存在较大差别；前期建设缺乏统一规划，各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此，设计保障体系时也就无的放矢，缺乏针对性，也不具备实用性。

解决方法：针对信息系统的安全属性定义一个清晰的、可描述的安全模型，即信息安全保护对象框架。

在设计信息安全保障体系时，首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来，参照IATF（美国信息安全保障技术框架），通过建立“信息安全保护对象框架”的方法来建立安全模型，从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性，将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。

2.合理划分安全等级

面对的难题：如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。因为信息系统的差异性，从而其安全要求的属性和强度存在较大差异性；又因为经济性的考虑，需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切，必须考虑差异性和经济性。

解决方法：针对保护对象和保障措施划分安全等级。

首先进行信息系统的等级化:

通过将保护对象进行等级化划分，实现等级化的保护对象框架，来反映等级化的信息系统。其次，设计等级化的保障措施:根据保护对象的等级化，有针对性地设计等级化的安全保障措施，从而通过不同等级的保护对象和保障措施的一一对应，形成整体的等级化安全保障体系。

等级化安全保障体系为用户提供以下价值：

满足大型组织中不同分支机构的个性化安全需求；

可动态地改变保护对象的安全等级，能方便地调整不同阶段的安全目标；

可综合平衡安全成本与风险，能优化信息安全资源配置；

可清晰地比对目标与现状，能准确、完备地提取安全需求。

3.科学设计防护深度

面对的难题：现有安全体系大多属于静态的单点技术防护，缺乏多重深度保障，缺乏抗打击能力和可控性。

信息安全问题包含管理方面问题、技术方面问题以及两者的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效，整个安全体系将会失效，从而威胁将影响到整个信息系统，后果是灾难性的。

解决方法：设计多重深度保障，增强抗打击能力。

国家相关指导文件提出“坚持积极防御、综合防范的方针”，《美国国家安全战略》中也指出，国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。我们在设计安全体系时，将安全组织、策略和运作流程等管理手段和安全技术紧密结合，从而形成一个具有多重深度保障手段的防护网络，构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。

4.确保可实施易评估

面对的难题：许多安全体系缺乏针对性，安全方案不可实施，安全效果难以评估。我国许多安全项目在安全体系框架设计方面，由于缺乏深入和全面的需求调研，往往不能切实反映信息系统的业务特性和安全现状，安全体系框架中缺乏可行的实施方案与项目规划，在堆砌安全产品的过程中没有设计安全管理与动态运维流程，缺乏安全审计与评估手段，因此可实施性和可操作性不强。

解决方法：综合运用用户访谈、资产普查、风险评估等手段，科学设计安全体系框架，确保可实施易评估。

我们在设计安全体系时，充分考虑到了上述问题，采取如下措施：

在设计安全体系前，通过对目标信息系统的各方面进行完整和深入调研，采取的手段包括选取典型抽样节点的深入调查和安全风险评估，以及全范围的信息资产和安全状况普查。综合两种手段，得出反映现状的安全保护对象框架及下属的信息资产数据库，以及全面的安全现状报告。

在体系框架设计的同时设计工程实施方案和项目规划；安全体系本身具有非常详尽的描述，具备很强的可工程化能力。在描述安全对策时，不是原则性的，而应是可操作和可落实的。

设计方法

1.总体设计方法

设计政府/大型企业组织安全体系的具体内容包括：

安全保护对象框架

信息系统保护对象框架是根据对大型政府/企业组织总部及各省的评估调查和普查，参照信息保障体系的建模方法，按照威胁分析，将信息资产划分为若干保护对象。

安全保护对策框架

信息系统安全保护对策框架是参照国内外先进的信息安全标准，参考业界通用的最佳实施，并结合大型政府/企业组织的实际情况和现实问题进行定制，对大量可行的安全对策进行等级划分。

信息系统安全体系

信息系统安全体系是以保护对象为经，以安全等级框架为纬，对保护对象逐个进行威胁和风险分析，从而形成信息系统安全体系，其表现形式示意图如图1所示。

2.等级化安全保护对象框架设计

由于政府/大型企业组织的信息系统规模庞大，各分支机构的信息系统之间存在差异，因此必须对信息系统进行抽象，形成统一的保护对象框架。

安全保护对象框架模型的设计（以银行业为例）如图2所示。

3.等级化安全对策框架设计

根据组织的特点设计和定制等级化安全对策框架，并针对组织的现状选择安全对策及其等级。

(1) 安全框架层次结构和分类

大型政府/企业组织安全对策框架体系包括安全策略、安全组织、安全运作和安全技术四个子安全对策框架，分别包括一系列对策类，对策类可进一步细分对策子类，甚至对策子类也可以再次细分为对策子类。细分到最后的对策类和对策子类由对策构成。对策中则是一些较为具体的安全控制。通过对不同强度和数量安全控制的组合，将对策分级。

(2) 安全对策框架等级划分

每个安全对策可分为三个等级，每一等级由若干条安全控制细则组成。一般通过安全控制细则的增强、增加来提高对策的等级。当安全对策某一等级中的所有安全控制细则均已实现时，可认为已达到该等级的对策。安全对策的等级划分，大体参考了GB 178

59、GB/T 183

36、TCSEC、SP800-53等国内外信息安全标准。不同框架的对策，参照的标准有所不同。

4.等级化安全保障体系设计

安全保障体系的深度防御战略模型将防御体系分为组织、技术和运作三个要素。信息安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系，明确技术实施和安全操作中相关人员的安全职责，从而达到对安全风险的及时发现和有效控制，提高安全问题发生时的反应速度和恢复能力，增强网络的整体安全保障能力。

安全策略体系指的是从信息资产安全管理的角度出发，为了保护信息资产，消除或降低风险而制订的各种纲领、制度、规范和操作流程的总和。

安全组织体系作为安全工作的管理和实施体系，主要负责安全策略、制度、规划的制订和实施，确定各种安全管理岗位和相应的安全职责，并负责选用合适的人员来完成相应岗位的安全管理工作，监督各种安全工作的开展，协调各种不同部门在安全实施中的分工和合作，保证安全目标的实现。

安全运作体系，包括安全生命周期中各个安全环节的要求，包括：安全工程管理机制，安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。安全技术体系包含鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应五个部分内容。

总结

等级化安全体系的设计需要充分考虑信息系统的复杂性和信息安全保障的系统性与长期性，需要系统化的统一规划设计。在安全体系设计时应该考虑如何有效实施，并同时设计实施方案和建设规划；通过将安全体系指标和安全现状的对比，产生安全需求，并将类似的一组安全需求打包并设计解决方案；然后将一组类似的解决方案打包成可以工程化实施的项目，并通过规划，排出实施的先后顺序，从而分步进行实施。

第18篇：信息安全等级保护自查项目表

信息安全等级保护自查项目表

一、备案单位基本情况单位全称责任部门负责人责任部门联系人已定级备案的信息系统数量姓姓名名职务或职称职务或职称三级系统等级保护工作责任部门办公电话办公电话二级系统移动电话移动电话合计四级系统

二、备案单位等级保护工作开展情况

（一）等级保护工作的组织部署和实施情况序号 1-1 1-2 1-3 检查内容具体情况等级保护协调领导机构设置、落实信息安全责任情况。等级保护责任部门和岗位人员确定情况。等级保护工作的文件，有关工作意见或方案的制定情况。 1-4 1-5 1-6 依据国家等级保护政策、标准规范和行业主管部门等要求，组织开展各项工作情况。等级保护工作会议、业务培训情况。单位主要领导对等级保护工作批示、指示情况。

（二）信息安全管理制度的建立和落实情况 2-1 2-2 2-3 2-4 2-5 2-6 人员安全管理制度建设情况。包括人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度。是否建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。是否有完善的机房安全管理制度，是否建立了机房进出人员管理和日常监控制度。信息安全产品采购、使用管理、工程实施、验收交付、服务外包等系统建设相关管理制度建设情况。信息安全事件报告和处置管理制度建设情况，是否建立了日常信息安全监测和预警机制。制定信息系统安全应急处置预案情况，是否定期组织开展应急处置演练，并根据演练情况进行完善。

（三）信息系统安全等级保护定级备案情况 3-1 3-2 3-3 3-4 本单位是否有未定级、备案信息系统，已定级信息系统是否定级准确。新建信息系统是否在规划、设计阶段确定安全保护等级并备案。信息系统所承载的业务、服务范围、安全需求等是否发生变化，信息系统安全保护等级是否及时进行变更。是否对本单位重要信息系统的重要性有清楚的认识，是否开展重要信息系统相关的威胁分析和相互依赖分析。 (四）重要信息系统开展等级测评和安全建设整改情况。 4-1 4-2 是否对本单位信息系统等级测评和安全建设整改工作进行总体部署，具体工作计划是什么？重要信息系统等级测评和安全建设整改工作是否纳入年度经费预算，如何予以保障？是否每年对第三级（含）以上信息系统进行等级测评，开展等级测评时，《全国信息安全等级保护测评机构推荐目录》从中选择测评机构。是否要求测评机构和测评人员提供相关证明和资质材料；是否与测评机构签订保密协议

并对测评过程进行监督。 4-3 4-4 4-5 是否按照国家标准或行业标准建设安全设施，落实安全措施；是否根据等级测评结果，对不符合安全标准要求的，进一步进行安全整改。

（五）信息安全产品使用、等级保护自查整改等情况。是否按照《管理办法》要求的条件选择使用信息安全产品；采用国外信息安全产品的，是否经主管部门批准，并请有关单位对产品进行专门技术检测。本单位如采用国外信息安全产品，主要是哪几类产品，所占比例如何？本单位是否采用国外信息安全服务，如采用，主要是哪几个方面，主要原因是什么？本单位等级保护自查工作组织部署情况；如接收过公安机关反馈意见或整改通知书，具体落实情况。重要信息系统 2011 年以来发生的重大信息安全事件（事故）等情况。 5-1 5-2 5-3 5-4 5-5

（七）其他需要说明的自查情况以及对等级保护工作的意见和建议情况填表时间：自查单位主管人员（签字）：本单位信息系统基本情况表是否定级备案安全保护等级等级测评工作开展情况未测评已制定测已测评评机构安全建设整改工作开展情况未整改已制定整改方案完成整改正在组织实施并达标信息系统名称总数总数总数总数总数总数总数填表人：审核人：填表日期：

第19篇：浅谈信息安全等级保护问题

浅谈信息安全等级保护问题当今，我国关于实现信息安全的一项重要的举措就是信息系统安全等级保护。严格按照等级保护的规定，建设安全的信息系统成为了目前面临的主要问题。本文主要介绍了信息安全等级的划分以及如何对具体的信息系统实施安全等级保护措施的方法。

随着现在高科技的快速发展以及当前社会对信息系统需求的不断增加，信息系统的规模也在日益扩大，它的诸多应用都给社会创造了巨大的财富，与此同时，信息系统也成为了威胁、攻击以及破坏的对象。由于信息在网络上的存储、传输和共享等过程的非法利用，导致目前如何确保信息系统的安全性就成为了我们现阶段亟待解决的重点问题。当前，我们正在有计划的开展信息安全等级保护制度实施工作。为了确保计算机信息系统的安全，一定要系统地、深入地研究和学习信息系统安全技术和等级保护方法。

1、信息安全等级保护

2003年，中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级别是系统审计保护级。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外，它还要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督审计。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该级别是结构化保护级。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责管理访问者对访问对象的所有访问活动，管理访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。

2、信息安全等级划分

2．1按相关政策规定划分安全保护等级

对于我国中央和国家各级机关、国家重点科研部门机构、国防建设部门等需要对信息系统施行特殊隔离和保护的单位机关，均应按照相关政策、相关法律法规，实施安全等级保护。

2．2按照保护数据的价值划分保护等级

不同类别的数据信息需要实施不同安全等级的保护，这样不仅能使信息系统中的数据信息的安全得到应有的保证，而且又能缩减一部分不必要的开销。

3、信息安全等级保护具体方法

信息系统安全等级划分的最优的选择是全方位划分等级，其最基本的思想为重点保护和适度保护。在此基础上，投入合理的安全投入，运用以下两点信息安全等级保护方法，努力使信息系统得到应有的安全保护。

3．1全系统的同一安全等级的安全保护

全系统同一安全等级安全保护：在一个需要进行安全等级保护的信息系统中，在组成系统的任何部分，所存储、传输和处理的全部数据信息，都需进行相同的安全保护等级的保护措施。

当有这样要求，规定所要保护的数据信息，不管处于系统中任何位置，进行任何形式的数据处理都需采取相同安全保护等级是，都应严格按照全系统同一安全等级安全保护方法开展系统安全性设计，设计出要求所需的安全机制。

3．2分系统不同安全等级安全保护

所谓分系统不同安全等级安全保护：在一个需要进行安全等级保护的计算机信息系统中，其中所存储、传输和处理的全部数据信息，应该按照信息在组成计算机信息系统的每个分系统中的不同保护要求的原则，对其实施不同安全保护等级的安全保护。

3．3虚拟系统不同安全等级安全保护

络信息安全进行控制。具体的实施措施可以使用路由器对外界进行控制，将路由器作为网关的局域网上的诸?~llnternet等网络服务的信息流量，也可以通过对系统文件权限的设置来确认访问是否合法，以此来保证计算机网络信息的安全。

3．4计算机网络病毒的防范技术

计算机病毒是威胁计算机网络安全的重大因素，因此应该对常见的计算机病毒知识进行熟练地掌握，对其基本的防治技术手段有一定的了解，能够在发现病毒的第一时间里对其进行及时的处理，将危害降到最低。对于计算机病毒的防范可以采用以下一些技术手段，可以通过加密执行程序，引导区保护、系统监控和读写控制等手段，对系统中是否有病毒进行监督判断，进而阻止病毒侵人计算机系统。

3.5漏洞扫描及修复技术

计算机系统中的漏洞是计算机网络安全中存在的极大隐患，因此，要定期对计算机进行全方位的系统漏洞扫描，以确认当前的计算机系统中是否存在着系统漏洞。一旦发现计算机中存在系统漏洞，要及时的对其进行修复，避免被黑客等不放法子利用。漏洞的修复分两种，有的漏洞系统自身可以进行恢复，而有一部分漏洞则需要手动进行修复。

4、结语

在当前通信与信息产业高速发展的形势下，计算机网络安全技术的研究与应用也应该与时俱进，不断地研究探讨更加优化的计算机网络防范技术，将其应用到计算机网络系统的运行中，减少计算机网络使用的安全风险。实现安全的进行信息交流，资源共享的目的，使计算机网络系统更好的为人们的生活工作服务。

第20篇：某信息等级安全保护自查报告

xx区地税局信息系统安全自查报告

根据xx市地税局对我局网络与终端物理隔离和安全使用检查情况反馈意见，参照《xx省地税局2010年税务信息系统安全检查方案》，从“安全管理检查”、“安全技术检查”、“终端和移动存储介质检查和加固”等三大方面对xx区地税局信息安全系统进行了认真地自查与整改，现将自查情况报告如下：

一、领导高度重视，组织、部门健全

xx区地税局领导班子高度重视信息系统安全工作，本着“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，成立了xx区地税局信息系统安全领导小组，区局一把手担任领导小组组长，分管领导为副组长，下属各单位负责人为成员。

各基层分局设立计算机管理员岗位，分别有责任心、取得全国计算机等级二级以上（含二级）证书、熟悉业务操作的人员担任，负责本单位计算机软、硬件及网络安全管理。对本单位计算机出现的软、硬件问题及时上报区局信息中心。区局结合本部门的信息系统安全管理需求，不定期地对计算机管理员开展相关业务培训。

二、结合安徽地税系统安全自查方案，认真开展自查工作

（一）安全管理方面：区局制定了《xx区地税局公文处理应急预案》、《xx区地税局内部网站应急预案》、《xx区地税局网络故障应急预案》、《xx区地税局计算机机房运行维护管理办法》，并着重落实上级部门下发的信息安全政策、法规和规章制度。

确定信息中心一名工作人员担任信息系统安全管理员，具体处理信息系统安全的相关工作。区局中心机房于2008年建成，面积约90平方米，安装了接地保护装置，配备了手持式灭火器，配有两台柜式空调，并确保空调24小时正常运转。加强中心机房的供电管理，配备一台专用的10KV UPS电源专供中心机房设备使用，配备一台专用的6KV UPS电源专供征收大厅设备使用，并定期对UPS电池性能进行相应测试。

xx区地税局办公网络已于2009年元月实行内、外网物理隔离，内外网均通过2套线路和隔离卡实现内外网切换。内网分为应用服务区与办公区，通过一台硬件防火墙进行对外与对外的访问控制，所有内网服务器与终端均安装网络版病毒防火墙。外网通过硬件防火墙、上网行为管理工和防病毒网关实行访问控制。局机关所有计算机安装隔离卡进行内外网物理隔离，基层分局只在分局负责人计算机上安装隔离卡实行内外网物理隔离，其他计算机只允许上内网。

征管数据市局集中后，区局目前的重要数据库有区局内网数据库、公文处理数据库、车辆税及触摸查询系统数据库，定期对上述数据库进行备份，并将备份数据复制到文件服务器上。

（二）安全技术方面：区局的网络通过租用联通的专线，实现市局、区局及分局三级网络互联，各基层分局通过路由交换和以太网两种方式按入区局，区局机关按股室按分VLAN。

区局中心机房内网设备目前有1台华为2631路由器、1台华为3680路由器和2台华为3552交换机为核心层，3台华为3026交换机作为接入层。除华为3552交换机有热备份，其他网络设备没有冷、热备份，通过1台东软硬件防火墙进一步加强网络安全管理。

区局中心机房外网设备目前有5台华为3928交换机，1台防病毒网关，1台上网行为管理，1台防火墙，另外租用网通地址，各基层分局以以太网方式接入互联网。

xx区地税局共有服务器6台，5台服务器的操作系统为Windows 2000 Server SP4,1台服务器的操作系统为Windows 2003 Server，所有服务器根据账号策略设置用户密码，强化安全管理。 xx区地税局所有内外网中的路由器和交换机均按照省局网络运行管理规范进行命名管理，并对其用户口令进行加密。内外网中的防火墙均设置访问控制策略，提高系统的网络安全系数。

（三）工作用台式机、笔计本电脑和移动存储介质检查和加固：及时更新台式机和笔计本电脑的操作系统和应用程序补丁，禁用GUEST用户组，统一安装网络版瑞星防病毒软件，并通过设置自动升级和定时对计算机进行扫描，对外接的USB设备，必须进行病毒扫描。

三、存在的主要问题

通过本次自查发现，我局信息系统存在不少安全隐患问题，主要有以下几方面：

（一）安全保护意识有待增强，各种安全保护措施有待加强，部分管理人员的安全保护意识薄弱。

（二）数据的存储及备份机制还不够完善，存在信息丢失的隐患，存在移动存储介质内外网混用，个别笔记本电脑存在内外网混用。

（三）因区局搬迁新办公楼后，对区局的内网进行了重新规划，路由策略进行了了修改，核心网络设备失效的路由策略未即时清理。

（四）重技术建设、轻安全保护。进行计算机信息系统建设规划时，主要考虑了业务需求和系统技术性能要求，没有很好地将系统的安全保护措施一并考虑，造成安全保护工作相对滞后。

四、加强安全保护工作的意见和建议

根据信息安全自查的情况，结合区局实际情况，现就加强区局信息系统安全工作，提出以下意见和建议：

（一）加强领导，提高对信息系统安全重要性和紧迫性的认识。组织相关人员认真学习与信息系统安全有关的管理规定，不断增强信息系统安全保护意识，做到认识到位、措施到位、管理到位。

（二）认真落实技术防范措施，着重落实以下等安全保护技术措施：

1、系统重要数据的冗余或备份措施；

2、计算机病毒防治措施；

3、网络攻击防范、追踪措施；

4、研究有关内网补丁升级的措施。

（三）严格防范内外网移动存储混用，加强对移动存储的分类管理，严禁在外网机器处理或保存涉税文件，严格执行内、外网物理隔离制度。

（四）停用内外到外网出口，瑞星防病毒托管服务器升级下挂到市局。

（五）加强网络和安全设备管理，调整网络和安全设备配置，严格网络访问控制策略，保护网络安全。

（六）加强中心机房的管理工作，提高机房运行环境，保障设备安全。

《信息安全等级保护管理办法.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

信息安全等级保护管理办法

推荐第1篇：信息安全等级保护管理办法

推荐第2篇：信息安全等级保护管理办法(试行)

推荐第3篇：信息安全等级保护管理办法(精)

推荐第4篇：浙江省信息安全等级保护管理办法

推荐第5篇：信息安全等级保护

推荐第6篇：安全等级保护管理办法

推荐第7篇：信息安全等级保护工作总结

推荐第8篇：信息安全等级保护(二级)

推荐第9篇：信息安全等级保护工作汇报

推荐第10篇：信息安全等级保护工作汇报

相关推荐