浙江省信息安全等级保护工作实施方案
浙江省信息安全等级保护工作实施方案
为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《浙江省信息安全等级保护管理办法》,根据国家信息安全等级保护工作协调小组的部署,结合我省实际,制订本方案。
一、指导思想
以中央和省委、省政府有关加强信息安全保障工作的意见为指导,通过全面推行信息安全等级保护工作,提高我省信息安全的保障能力和防护水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的健康发展。
二、工作目标
通过实行等级保护工作,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使我省信息安全保障状况得到基本改善。
通过加强和规范信息安全等级保护管理,不断提高我省信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
三、组织管理
为加强信息安全等级保护工作的领导,成立由省公安厅牵头,省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组,负责我省信息安全等级保护工作的组织协调,并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,负责本地信息安全等级保护工作。
信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组,并确定职能部门负责本系统、本单位的信息安全等级保护工作。
省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。
为保证信息安全等级测评工作正常、有效开展,成立由省公安厅牵头,省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组,对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质,以及安全保密测评资格进行专门审查,审查后公布推荐目录,供我省基础信息网络和重要信息系统使用单位选择使用。
四、工作内容
(一)系统定级
信息系统运营、使用单位应按照国家有关规定,确定信息系统的安全保护等级,有主管部门的,应当经主管部门审核批准。系统涉及国家秘密的部分,应当按照《涉密信息系统分级保护管理办法》(国保发[2005]16号)和《涉及国家秘密的信息系统分级保护技术要求》(国家保密标准BMBl7-2006)确定信息系统的安全保护等级。跨市或者全省统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
(二)定级评审
属于基础信息网络和重要信息的系统运营、使用单位初步确定安全保护等级后,应聘请省或市信息系统保护等级专家评审组的专家进行评审。对拟确定为第四级、第五级信息系统的,运营、使用单位或主管部门应经省信息化行政主管部门初审后,请国家信息安全等级保护专家评审委员会评审。其它定级评审,依照《浙江省信息安全等级评审实施细则》执行。
(三)系统备案
安全保护等级为二级以上的信息系统,其运营、使用单位需在等级确定后的三十天内,向设区的市级以上公安机关备案。安全保护等级为五级的,由国家指定的专门部门进行备案。系统涉及国家秘密的,向设区的市级以上保密工作部门备案。系统中使用密码设备的,密码设备要向设区的市级密码管理部门备案。
省公安厅负责安全保护等级确定为第二级以上的省级基础信息网络、省级重要领域信息系统、跨设区市联网运行
的信息系统,及安全保护等级为四级的信息系统备案,其余需要备案的系统由其运营、使用单位到设区市公安机关备案。办理备案手续时,应提交《信息系统安全等级保护备案表》,安全保护等级为三级以上的应同时提供备案表所列的“系统拓扑结构及说明”等备案材料,并可利用辅助备案工具软件生成备案电子数据一并向公安机关提交。《信息系统安全等级保护备案表》和辅助备案工具软件可在省公安厅门户网站下载。
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,发现不符合国家有关规定、标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新确定。信息系统运营、使用单位重新确定信息系统安全等级后,应向公安机关重新备案。
(四)等级测评、整改
信息系统运营、使用单位在进行信息系统备案后,应当选择测评机构进行安全测评。测评机构依据《信息系统安全等级保护测评要求》等技术标准,对信息系统安全等级状况开展测评,给出相应的系统安全检测评估报告。经测评信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改,以符合安全保护等级要求。对符合等级保护要求的,公安机关应当颁发信息系统安全等级保护备案证明。安全保护等级为五级的信息系统,由国家指定的专门部门进行测评和整改。
(五)安全管理、建设
信息系统运营、使用单位应根据国家有关规定和技术标准,建立信息安全等级保护管理制度,落实安全保护责任。具体包括制定信息安全事件等级响应和处置制度;信息安全等级保护系统建设、运行维护制度;信息系统安全检测和风险评估制度;安全教育和培训制度等。根据检测评估报告中反映出的安全问题,要按照《信息系统安全等级保护基本要求》和风险评估有关标准,确定系统安全需求,制定系统总体安全策略和相关制度,细化符合安全等级保护要求的系统安全技术框架和安全管理框架方案,明确安全建设计划,并全面组织实施。
同时,基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评或者自查。第四级信息系统应当每半年至少进行一次测评或者自查,第五级信息系统应当依据特殊安全需求进行测评或者自查。经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位要进行整改,直至达到安全保护等级要求。
五、监督管理
根据信息安全等级保护工作的职责分工,公安机关负责信息安全等级保护工作的总体监督、检查、指导。保密工作部门负责信息安全等级保护工作中有关保密工作的监督、检查、指导。密码管理部门负责信息安全等级保护工作中有关密码工作的监督、检查、指导。信息化行政主管部门负责信息安全等级保护工作的部门间协调。
公安机关要对第三级、第四级信息系统的运营、使用单
位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨市或全省统一联网运行的信息系统检查,要会同其主管部门进行。
保密工作部门要加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评。
密码管理部门要定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况,每两年至少进行一次检查和测评。
六、工作安排
按照突出重点、统筹规划,重点保障基础信息网络和重要信息系统安全的总体要求和原则,我省信息安全等级保护工作将分批、分阶段进行。
2007年8月至10月集中开展基础信息网络和重要信息系统的定级工作。
我省重要信息系统包括:
1、党政事务处理信息系统和重要网站;
2、金融、财税、海关业务信息系统;
3、铁路、机场、交通(港口)等业务信息系统;
4、医疗、社(医)保、供水、电力、燃气等业务信息系统;
5、涉及国家秘密的信息系统;
6、国家和省规定的其他重要信息系统。
基础信息网络主要包括公用通信网、广播电视传输网等。
其它已运营、使用信息系统和新建信息系统按照相关规定开展等级保护工作。
(一)准备阶段(2007年8月25日-9月5日)
设区的市公安机关、保密工作部门、密码管理部门和信息化行政主管部门联合成立公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,积极做好信息安全等级保护工作的宣传、培训和组织工作,全面推进本地信息安全等级保护工作。
设区的市信息化行政主管部门成立市信息系统安全等级保护专家评审组,积极做好信息安全等级保护工作的咨询和定级评审工作。
各行业主管部门,信息系统运营、使用单位成立信息安全等级保护工作领导小组,对所属信息系统进行摸底调查,全面掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况,确定定级对象,并提出开展本行业、本单位等级保护工作的具体意见。
(二)组织实施阶段(2007年9月5日至2009年10月20日)
1、定级备案工作。基础信息网络和重要信息系统在2007年10月20日前完成定级、评审和初备案工作。其余信息系统在2008年6月30日前完成。
2、等级测评工作。基础信息网络和重要信息系统在
2008年7月31日前完成等级测评工作。其余信息系统在2008年12月31日前完成。
3、整改建设工作。基础信息网络和重要信息系统在2009年6月30日前完成整改建设工作。其余信息系统在2009年10月31日前完成整改建设工作。
(三)巩固完善阶段
信息系统整改建设工作完成后,应当建立完善信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。
七、工作要求
(一)提高认识,加强领导。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为此,各级公安机关、保密工作部门、密码管理部门和信息化行政主管部门,以及重要信息系统运营、使用单位和主管部门,要充分认识开展信息安全等级保护工作的重要性、必要性,切实增强政治责任感和工作紧迫感,全面贯彻落实中央、国务院和省委、省政府的要求和部署,切实做好信息安全等级保护工作。
(二)明确责任,密切配合。信息安全等级保护工作由各级公安机关牵头,会同保密工作部门、密码管理部门和信息化行政主管部门共同组织实施。四部门要在明确责任的基础上,加强协调配合,共同组织信息系统主管部门和运营、
使用单位开展信息安全等级保护工作。各信息系统主管部门组织本行业、本部门信息系统运营、使用单位开展信息安全等级保护工作,督促其落实信息安全等级保护工作的各项任务。
(三)动员部署,开展培训。各地区、各部门要按照统一部署,广泛进行宣传动员,加强培训,指导本地区、本行业信息系统运营、使用单位按照信息安全等级保护工作的总体要求,分阶段、分步骤完成各项任务。省公安厅将会同省保密局、省国家密码管理局、省信息办对省有关单位、行业以及各市公安机关、保密工作部门、国家密码管理工作部门和信息化行政主管部门就信息安全等级保护工作规范、标准等内容进行培训。信息系统主管部门对所管辖的信息系统运营、使用单位进行培训。各市参照上述培训模式开展培训工作。
(四)及时总结,形成规范。在等级保护工作中,各地、各部门要认真总结工作经验和存在的问题,探索我省在信息安全等级保护工作中有关监督管理、安全评测、安全建设等的方面具体内容、工作流程和程序,建立完善工作规范,为我省全面推行信息安全等级保护工作打好基础。各阶段有关工作情况应当及时报协调小组办公室。
信息安全策略总纲
信息安全策略总纲 1.1.适用范围及依据 第一条XXXXXX信息系统包含非生产控制系统,非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。 第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。 1.2.信息安全工作总体方针 第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。 第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策 略和具体制度,为信息化安全管理工作提供监督依据。 第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 (一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。
(二)《总纲》是制定XXXXXX信息安全管理制度和规定的依据 (三)信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。 (四)信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。 (五)信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。 1.3.系统总体安全策略 第一条XXXXXX信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。 第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。 第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标,结合XXXXXX自身的实际情况,依据国家、监管部门有关安全法规和标准,授权制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。
信息安全等级保护工作实施细则.doc
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
信息安全等级保护介绍
国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。
1-信息安全工作总体方针和安全策略
信息安全工作 总体方针和安全策略
第一章总则 第一条为加强和规范技术部及各部门信息系统安全工作,提高技术部信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为技术部信息系统安全管理提供一个 总体的策略性架构文件。该文件将指导技术部信息系统的安全管理体系的建立。安全管理体系的建立是为技术部信息系统的安全管理工作提供参照,以实现技术部统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第二章适用范围 第三条本文档适用于技术部信息系统资产和信息技术人员的 安全管理和指导,适用于指导公司信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于公司安全管理体系中安全管理措施的选择。 第三章引用标准及参考文件 第四条本文档的编制参照了以下国家、中心的标准和文件 一 《中华人民共和国计算机信息系统安全保护条例》 二 《关于信息安全等级保护建设的实施指导意见》信息运安〔2009〕
27 号 三 《信息安全技术信息系统安全等级保护基本要求》 GB/T 22239-2008 四 《信息安全技术信息系统安全管理要求》 GB/T 20269—2006 五 《信息系统等级保护安全建设技术方案设计要求》 报批稿 六 《关于开展信息安全等级保护安全建设整改工作的指导意见》 公信安[2009]1429号 第四章总体方针 第五条企业信息服务平台系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。 第五章总体目标 第六条信息系统安全总体目标是确保企业信息服务平台系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。 第六章信息安全工作的总体原则
信息安全等级保护工作汇报
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
浙江省信息安全等级保护工作实施方案
省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《省信息安全等级保护管理办法》,根据国家信息安全等级保护工作协调小组的部署,结合我省实际,制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全保障工作的意见为指导,通过全面推行信息安全等级保护工作,提高我省信息安全的保障能力和防护水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作,使基础信息网络和重要信息系统的核心要害部位得到有效保护,涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使我省信息安全保障状况得到基本改善。 通过加强和规信息安全等级保护管理,不断提高我省信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
三、组织管理 为加强信息安全等级保护工作的领导,成立由省公安厅牵头,省局、省国家密码管理局和省信息办等有关部门参加的省信息安全等级保护工作协调小组,负责我省信息安全等级保护工作的组织协调,并下设办公室在省公安厅。设区市的公安机关、部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组,建立相应办事机构,负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组,并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 为保证信息安全等级测评工作正常、有效开展,成立由省公安厅牵头,省局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组,对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质,以及安全测评资格进行专门审查,审查后公布推荐目录,供我省基础信息网络和重要信息系统使用单位选择使用。 四、工作容 (一)系统定级 信息系统运营、使用单位应按照国家有关规定,确定信
信息安全工作总体方针
信息安全工作总体方针 第一章总则 第一条为加强和规范信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为本公司信息系统安全管理提供一个总体的策略性架构文件,该文件将指导信息系统的交全管理体系的建立。立全管理体系的建立是为信息系统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第三条本文档适用各单位信息系统资产和信息技术人员的安全管理和指导,适用于信息系统安全策略的制定、安全方案的规划和安全建设的实施、适用于安全管理体系中安全管理措施的选择。 第四条引用标准及参考文件 本文档的编制参照了以下国家的标准和文件: (一)《中华人民共和国计算机信息系统安全保护条例》 (二)《关于信息安全等级保护建设的实施指异意见》(信息运安
(2009)27号)
(三)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) (四)《信息安全技术信息系统安全管理要求》(GB/T 20269一 2006) (五)《信息系统等级保护交全建设技术方案设计要求》(报批稿) (六)《关于开展信息安全等级保护安全建设整改工作的指异意见》(公信交[2009]1429号) 第二章方针、目标和原则 第五条信息系统安全坚持"安全第一、预防为主,管理和技术并重,综合防范“的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。 第六条信息系统安全总体目标是确保信息系统持续、隐定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统朋溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据云失和失密,防止有害信息在网上传播,防止对
信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我
信息安全实施方案
办公信息安全保密方案 选择加密技术来防范企业数据的扩散,以下为实现方式和采用的相关产品。 首先,对企业内部制定并实施办公自动化保密管理规定相关规则和章程,从制度和意识上让企业员工遵从保密管理规定,自觉形成对企业信息的安全保密意识和行为工作。 其次,采取相应的物理措施实现反侦听侦视行为,做好安全保密工作。 1、实现电子载体、纸质载体信息、文档的存储、传递、销毁环节加密和授权控制。 1)电子文档安全管理系统专注于企业内部电子文件的细 粒权限管理,通过控制电子文件的阅读、复制、编辑、打印、截屏权限,以及分发、离线、外发、解密等高级权限, 实现企业内部电子文件的安全共享及安全交换。 2)保密文件柜主要用于存放纸质文件、光盘、优盘等载体。保密文件柜的核心技术是符合保密要求的保密锁,随 着科技的发展,目前保密锁通常是电子密码锁或者指纹锁。至于销毁方面可以配置相应的安全销毁设备。 2、使用加密的定制化加密通讯工具,设置保密会议室。 1)进入重要会议室前可对进入人士进行物理扫描检查检查,可设置手机检测门:
以下为对产品手机检测门介绍: 2)在保密会议室设置移动手机通信干扰信号仪器,干扰屏蔽信号的外在接收,如移动通信干扰仪器:
保密移动通信干扰器又名手机信号屏蔽器能有效屏蔽在一定场所内的CDMA、GSM、DCS、PHS、TD-SCDMA、WCDMA、CDMA2000、FDD-LTE、TD-LTE、WIFI的手机信号。移动通信干扰器采用了完全自有知识产权的先进屏蔽技术,只在一定范围内屏蔽基站的下行信号,使处于该场所的任何移动电话(包括2G、3G、4G、WIFI)收发功能失效,无法拨打和接听电话,无法收/发短信,无法上网,从而达到强制性禁用手机的目的。移动通信干扰器具有辐射强度低、干扰半径大且不干扰移动电话基站、性能稳定、安装方便、对人体无害等特点,是一种理想的净化特定场所移动通信环境的产品。 Mp-3000干扰器: 可对CDMA、GSM、PHS、TD-SCDMA、WCDMA、3G、WIFI信号进行必要的通信干扰。
信息安全等级保护工作历程
信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试
信息安全应急演练实施方案
信息安全应急演练实施方 案 This model paper was revised by the Standardization Office on December 10, 2020
信息安全应急演练实施方案 根据国网相关文件精神,为妥善应对和处置我公司重要信息系统突发事件,确保重要信息系统安全、稳定、持续运行,防止造成重大损失和影响,进一步提高网络与信息系统应急保障能力,特制定本演练方案: 一、指导思想 以维护我公司重要业务系统网络及设备的正常运行为宗旨。按照“预防为主,积极处置”的原则,进一步完善应急处置机制,提高突发事件的应急处置能力。 二、组织机构 (一)应急演练指挥部: 总指挥:刘玉珍 成员:各部门经理; 职责是:负责信息系统突发事件应急演练的指挥、组织协调和过程控制;向上级部门报告应急演练进展情况和总结报告,确保演练工作达到预期目的。 (二)应急演练工作组 组长:张铭 成员: 唐灵峰;庄严;李天然 职责是:负责信息系统突发事件应急演练的具体工作;对信息系统突发事件应急演练业务影响情况进行分析和评估;收集分析信息系统突发事件应急演练处置过程中的数据信息和记录;向应急指挥部报告应急演练进展情况和事态发展情况。 三、演练方案 (一)演练时间 2014年9月10日举行应急演练,各部门相关成员参加。
(二)演练内容: 1、网络与信息安全突发事件 (三)演练的目的: 突发事件应急演练以提高各部门应对突发事件的综合水平和应急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造成的损失。 四、演练的准备阶段 (一)学习教育。组织员工学习《华商电力公司(筹备处)信息安全管理暂行规定》、《华商电力公司人员信息安全责任书》、《华商电力公司信息工作管理办法》、《华商电力公司信息化工作通报管理办法》、《华商电力公司信息系统应急管理办法》以部门为单位认真学习和模拟演练我社制订的应急预案,提高员工对于突发事件的应急处置意识;熟悉在突发事件中各自的职责和任务,保证信用社业务的正常开展。 (二)下发《华商电力公司信息系统应急管理办法》; (三)演练指挥部全面负责各项准备工作的协调与筹划。明确责任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效果。 (四)应急演练组要提前在中心机房要做好充分准备,在演练前一天准备好所有应急需要联系的电话号码,检查网络线路,计划好断电点,演练时模拟网络信息安全突发事件;并按演练背景做好其它准备。 五、应急演练阶段 (一)请我公司信息安全员,讲解演练知识及演练过程中的注意事项,并与其他相关同事一起温习应急预案。
信息安全工作总体方针和安全策略
1.总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
信息安全活动策划方案(草案)
信息安全活动策划方案(草案) 信息安全公益主题活动策划方案 一、活动背景如今在我们的生活当中,使用智能手机的人是越来越多了,而智能手机上安装的软件也越来越多了,不少的软件让很多人有了很多新的消费体验,但消费者使用手机使用的不亦乐乎的时候,不可想象的是,就在这样的软件或程序当中,有可能藏着“内鬼”呢? 摘自xx 年3、15 晚会随着人们生活水平的不断提高,电话、手机、网络等等通讯设备几乎已经成为了人们日常工作、学习、生活的必需品。 不可否认的是,智能手机为我们的生活带来了巨大的便利,已经不再是通话、发短信的工具了;大家可以通过智能手机进行网页浏览、播放高清电影、甚至于可以取代个人电脑进行网上的在线支付;但是,也有越来越多的不法分子通过给智能手机植入恶意软件,窃取用户的个人隐私信息,不仅造成手机用户在话费方面的损失,更令人发指的是在用户完全不知情的情况下,窃取了客户包括身份信息、支付密码等重要安全信息,造成用户巨大的财务损失;据不完全统计,截止至xx 年,我市移动通信客户(包含中移动、中联通以及中电信)已经达到万户;其中,智能手机用户达到的万户;在如此庞大的通讯客户群面前,个人信息安全的保障将不可避免的成为一个需要重点关注的问题。 二、活动目的活动将通过现场咨询 +文艺汇演 +现场互动的方式,由无线电通信管理局以及通信公司(移动、电信、联通)的专业工作人员为市民解答信息安全的保障、恶意软件的扫描、清理,常用业务的受理等眼下大家较为关注的问题,从而提升市民对信息安全的保护意识,为南平打造绿色的移动通信、支付平台保驾护航。 三、活动概况 (一)活动主题:关注信息安全、共建和谐延平 (二)活动时间:xx 年5 月17 日,星期 X (三)活动地点:南平市延平区文化广场
信息安全等级保护工作流程介绍
信息安全等级保护工作流程介绍 导语 信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。 解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为: 一是定级。信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。 二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到
省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。备案的时候带上定级资料去网安部门,一般两份纸质文档,一份电子档,纸质的首页加盖单位公章。 三是系统安全建设。信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。 四是等级测评。信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然符合基本是不可能的,那是理想状态。 五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运
信息安全等级保护工作计划
竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务
加强网络和信息安全管理工作方案
加强网络和信息安全管理工作方案 各单位: 根据**、**和**、**有关要求,为进一步加强网络和信息安全管理工作,经**领导同意,现就有关事项通知如下。 一、建立健全网络和信息安全管理制度 各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任 ,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。 二、切实加强网络和信息安全管理 各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。 三、严格执行计算机网络使用管理规定 各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉
使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。 四、加强网站信息发布审查监管 各单位通过门户网站在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。 五、组织开展网络和信息安全清理检查 各单位要在近期集中开展一次网络安全清理自查工作。对办公网络和门户网站的安全威胁和风险进行认真分析,制定并组织实施本单位各种网络与信息安全工作计划、工作方案,及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度,及时发现问题、堵塞漏洞、消除隐患;要全面清查,严格把关,对自查中发现的问题要立即纠正,
信息安全等级保护安全建设项目方案
信息系统安全等级保护安全建设项目 技术方案
目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)
4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业