网络安全等级保护2.0-通用要求-表格版
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。 二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
如何做网络安全等级保护
一、网络安全等级保护制度是什么 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 2017年6月1日颁布的《中华人民共和国网络安全法》确认并更新了等级保护制度的内容。并且随着网络安全法的发布,信息安全建设已经逐渐提升到国家安全战略的层面,后期哪个单位未落实等级保护制度,一旦出现问题将会受到主管部门的严厉处罚。 二、哪些单位需要做等级保护 《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢? (一)政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等; (二)金融行业:金融监管机构、各大银行、证券、保险公司等; (三)电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等; (四)能源行业:电力公司、石油公司、烟草公司; (五)企业单位:大中型企业、央企、上市公司等; (六)其它有信息系统定级需求的行业与单位。
信息系统安全等级保护定级报告实例
信息系统安全等级保护定级报告 (起草参考实例) 一、支付通网上支付服务系统描述 (一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机,…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信 NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作
为整个系统的分系统分别进行定级、备案。 (三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、X省邮政金融网中间业务系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。
《信息系统安全等级保护定级报告》
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
网络安全等级保护(安全通用要求)建设方案
网络安全等级保护建设方案 (安全通用要求) 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月
目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)
3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内,有两个出口, 第一个出口处部署了流控设备和控制网关,再通过 Extreme6808三层交换机接入教育网,在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备,该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、 法人和其他组织的合法权益。
侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害,会对公民、 法人和其他组织的合法权益造成影响和损害,可以表 现为:影响正常工作的开展,导致业务能力下降,泄 露公民隐私,有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知,业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求, 出现上述两个侵害客体时,优先考虑社会秩序和公共利 益,另外一个不做考虑。
信息系统安全等级保护第三级基本要求
7第三级基本要求 7.1技术要求 7.1.1物理安全 7.1.1.1物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 7.1.1.2物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 7.1.1.3防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 7.1.1.4防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 7.1.1.6防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 7.1.1.7防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 7.1.1.8温湿度控制(G3)
信息安全等级保护工作流程图
信息安全等级保护工作流程
一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等 第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统:适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 (一)管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 (二)中央在京单位。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。
对外网站安全等级保护定级报告
XXXX公司对外网站 安全等级保护定级报告 一、XXXX公司对外网站描述 XXXX公司对外网站于XX年XX月建设投运,该系统由XXXX 公司开发。目前该网站由XXXX负责运行维护。XXXX公司XXXX 部是该信息系统业务的主管部门和该信息系统定级的责任单位。 该网站硬件构成、部署模式、部署位置等的描述。 XXXX公司对外网站系统分为XXXX、XXXX等功能模块。本网站系统与其他网站的接口情况描述。 二、XXXX公司对外网站系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 XXXX公司对外网站系统业务信息包括:XXXX、XXXX等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 信息受到破坏后,会对侵害客体造成一般损害。 4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,XXXX公司网站系统业务信息安全保护等级为第一级。 (二)系统服务安全保护等级的确定 1、系统服务描述 服务范围、服务对象 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 系统服务受到破坏后,会对侵害客体造成一般损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度,XXXX 公司网站系统服务安全保护等级为第一级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安 全等级的较高者决定,最终确定XXXX公司对外网站系统安全保护
网络安全等级保护2.0—北京在信国通科技有限公司
等级保护2.0-北京在信国通科技有限公司 Q1:什么是等级保护? 答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 Q2:什么是等级保护2.0? 答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3:“等保”与“分保”有什么区别? 答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。 适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。 等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。 Q4:“等保”与“关保”有什么区别? 答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。 Q5:什么是等级保护测评? 答:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6:等级保护是否是强制性的,可以不做吗? 答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护
信息安全技术-网络安全等级保护测评要求-第1部分:安全通用要求-编制说明
信息安全技术网络安全等级保护测评要求 第1部分:安全通用要求 编制说明 1概述 1.1任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义 《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
网络安全等级保护第三级基本要求
1 第三级基本要求(共290小项) 1.1 技术要求(共136小项) 1.1.1 物理安全(共32小项) 1.1.1.1 物理位置的选择(G3) 本项要求包括: a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设 置交付或安装等过渡区域; d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)应利用光、电等技术设置机房防盗报警系统; f)应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a)机房建筑应设置避雷装置; b)应设置防雷保安器,防止感应雷; c)机房应设置交流电源地线。 1.1.1.5 防火(G3) 本项要求包括: a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
网络安全等级保护项目参数及要求【模板】
网络安全等级保护项目参数及要求 1.1项目名称 项目名称:商丘医学高等专科学校网络安全等级保护测评项目 1.2项目基本情况 1.项目概况:商丘医学高等专科学校网络安全等级保护测评项目 2.采购内容包括:智慧化校园平台、网站群、教务管理系统和财务内控管理系统。 3.采购方式:竞争性谈判 4.项目预算金额: 5.工期:合同签订生效后30个工作日(不包含整改建设时间)。 6.服务地点:采购人指定地点。 7.服务要求:满足采购人要求。 8.质量标准:符合国家或行业规定的合格标准,满足采购人提出的技术标准及要求。 9.验收标准:满足采购人的验收标准及要求。
2供应商须知 一、响应投标文件的编写 1、要求 1.1投标人应仔细阅读招标文件的全部内容,按招标文件的要求提供响应投标文件,并保证所提供的全部资料的真实性和可靠性,以使其文件对招标文件作出实质性响应。投标人应接受采购单位和采购代理机构对其中任何资料作出进一步审查的要求,否则其响应投标将有可能被拒绝。 1.2投标人应认真检查招标文件中所有的须知、格式、条款、技术、规格和其它资料,如果投标人未按照招标文件的要求提交全部资料,或者提交的资料没有对招标文件在各方面作出实质性响应,可能导致其响应投标文件被拒绝,由此导致的不利后果由投标人自行承担。 1.3响应投标文件的和资格证明文件的主要内容格式部分中的各项内容和表格为评审的重要参考内容和依据,投标人应严格按照格式要求统一填写编制,否则,其响应投标将有可能被拒绝。 2、响应语言 2.1响应投标文件及投标人、采购单位和采购代理机构就响应交换的文件和来往信件,应以中文书写。若投标人提交的资料为英文或其他语言文字文本,须附中文译文以让评审小
医院信息系统安全等级保护定级报告
医院信息系统安全等级保护定级报告 一、医院信息系统描述 (一)医院于2008年起逐步建立基于医院信息管理、电子病历的信息系统,该信息系统由医院负责系统管理运维,医院为该信息系统定级的责任单位。 (二)该信息系统使用了7台HP服务器,安装有Window2003 Server操作系统,Mysql数据库,用于医院信息管理系统的运行。使用了5台HP服务器,安装有Window 2003 Server操作系统,用于新农合即时结报平台的运行。医院在内外网之间搭建有天融信防火墙,门诊二楼安有用于无线终端连接内网的两个无线AP,各科室配有连接医院内网的终端计算机。 (三)该信息系统主要包含:医院信息管理系统(HIS),电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。 二、医院信息系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。 旨在保障医院业务正常运行,提高工作效率,增强院务透明度,扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。
3、信息受到破坏后对侵害客体的侵害程度 当此信息受到破坏后,会对患者、医院和医院职工造成严重损害。 4、确定业务信息安全等级 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的日常运行,日常办公活动正常开展和提供医疗咨询等服务。 2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也会损害社会秩序和公共利益但不侵害国家安全。 客观方面表现的侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务 能力下降,造成不良影响,引起医患法律纠纷等)。可以对社会秩序和公共利益造成一般的损害(造成社会不良影响,引起公共利益的损害等)。 3、信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为:患者、医院和医院职工的合法权益造成损害,会出现一定范围的社会不良影响和一定程度的公共利益的损害等。 4、确定系统服务安全等级 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为第二级。 (三)安全保护等级的确定
网络安全等级保护工作流程【最新版】
网络安全等级保护工作流程 2017年6月1日《网络安全法》正式实施,网络安全等级保护进入有法可依的2.0时代,网路安全等级保护系列标准于2019年5月陆续发布,12月1日起正式实施,标志着等级保护正式迈入2.0时代。 网络安全等级保护2.0时代,落实等级保护制度的五个规定基本动作仍然是:定级、备案、建设整改、等级测评、监督检查。 本文全面介绍网络安全等级保护工作流程。 网络安全等级保护基本概述 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护,对网络中使用的安全技术和管理制度实行按等级管理,对网络中发生的信息安全事件分等级响应、处置。 为开展网络安全等级保护工作,国家制定了一系列等级保护相关标准,其中主要的标准有:
计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术网络安全等级保护定级指南(GB/T22240-2020) 信息安全技术网络安全等级保护实施指南(GB/T25058-2019) 信息安全技术网络安全等级保护基本要求(GB/T22239-2019) 信息安全技术网络安全等级保护设计技术要求(GB/T25070-2019) 信息安全技术网络安全等级保护测评要求(GB/T28448-2019) 信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018) 开展网络安全等级保护工作的原因 开展网络安全等级保护的原因大致可以概括为下列三点: 合规要求:落实网络安全等级保护制度,满足国家法律法规要求。
网络安全法第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 网络安全法第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 网络安全等级保护基本对各行业进行全覆盖,主要行业有:政府机关、金融行业、卫生医疗、教育行业、运营商、能源电力、企业单位及其他行业等。 安全需求:基于等级保护构建安全防护体系,推动安全保障建设,合理规避风险。 网络安全等级保护是信息系统安全领域实施的基本国策,是是国家信息安全保障工作的基本制度、基本方法。 网络运营者依据国家网络安全等级保护政策和标准,开展组织管
信息安全等级保护二级
信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。 一、物理安全 1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料 具有相应的耐火等级说明、接地防静电措施) 2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录 3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系 统运行和维护记录 4、主要设备或设备的主要部件上应设置明显的不易除去的标记 5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放 6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告; 机房防盗报警系统的运行记录、定期检查和维护记录; 7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录 8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测; 9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测 报告 10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和 定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品 11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录 12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期 检查和维护记录 13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录 14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护 记录 15、应具有冗余或并行的电力电缆线路(如双路供电方式) 16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
网络安全等级保护工作须知
网络安全等级保护工作须知 一、为什么要落实网络安全等级保护工作 1、法律有明确规定。《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。因此,不落实网络安全等级保护制度就是违法。(<中华人民共和国网络安全法>节选见附件1) 2、有效提高自身网络安全。实践证明,对网络信息系统分等级保护能够有效提高安全防护水平,降低单位网站被篡改、系统瘫痪、数据泄露或被勒索的风险(相关案例见附件2)。 3、有效保障和控制网络安全建设成本。在网络信息系统规划、建设和使用过程中同步建设安全设施,保证网络安全与网络信息系统建设相协调,可有效保障和控制网络安全建设成本,避免不必要的支出。 二、网络安全等级保护基本知识 1、等级保护对象。指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,等级保护对象覆盖全社会和所有网络信息系统,包括:非涉密的基础信息网络、信息系统、大数据应用/平台/资源、物联网、云平台/系统、工业控制系统和采用移动互联技术的系统等。 2、三同步原则。各单位应遵循网络安全与网络信息系统“同步规划、同步建设、同步使用”的原则,确保网络安全落实到位。 3、级别。根据网络信息系统在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,从第一级开始,从低到高分为五个安全保护等级。 4、工作流程。包括定级备案、安全建设、等级测评、安全整改和监督检查。 三、如何落实网络安全等级保护工作 1、自定级。单位确定网络安全等级保护对象后,参照《GA/T 1389—2017信息安全技术网络安全等级保护定级指南》自行确定网络系统的等级,填写《网络安全等
《xx系统网络安全等级保护定级报告》
xx系统 网络安全等级保护定级报告 一、xx系统描述 (一)xx系统于20xx年x月x日上线,由xx公司(以下简称“本公司”)自主研发和维护。xx公司为xx系统定级的责任单位。 (二)xx系统通过APP客户端为国内K12院校及培训机构师生提供基于移动互联网方式的智慧教育及管理服务,提供教学资源、测试习题、教学管理、在线课程等内容和工具为学校解决智慧教学的核心需求。目前该系统由本公司运维部负责运维工作,本公司是该信息系统业务的主要负责机构,该信息系统业务主要包含:用户信息管理、平台内容管理、课堂教学管理、在线课程学习、数据采集分析、增值服务购买支付等业务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 (三)业务处理系统以学校内部集中结构模式,负责各学校教学环节的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集分析、业务处理逻辑的实现等。xx系统选用了阿里云提供的IAAS服务,核心业务区与外界网络互联的边界设备采用了阿里云的云防火墙(高级版),核心业务区部署
了x台阿里云ECS服务器,每台ECS服务器安装了云安全中心(企业版),xx系统使用阿里云的RDS数据库作为业务数据中心,同时配备了数据库审计(高级版),运维区部署了运维终端和日志审计服务,核心业务区的运维操作只能由该运维终端进行,日志审计服务可记录不少于6个月的原始操作日志供回溯分析。 二、xx系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 xx公司是为国内学校提供智慧化教学解决方案的教育高科技企业,旗下的xx系统主要通过提供教学资源、测试习题、教学管理、在线课程等内容和工具满足学校教学核心需求,业务信息包含:用户信息(用户名、手机号码等)、学校班级信息、教学活动数据信息、在线课程信息、服务购买支付信息等。xx多
等级保护定级专家评审申请报告范本
附件1 X市邮政金融网信息系统 信息安全等级专家评审申请报告 (示例,试用参考版本) 申报单位:(盖章) 申报日期: 受理单位:市经济和信息化委员会 受理日期: 二零零×年××月
目录 填写说明 (1) 1 单位基本情况 (3) 2 申请评审的信息系统汇总表 (4) 3 信息系统划分 (5) 3.1 管理机构 (5) 3.2 网络结构 (5) 3.3 业务应用 (6) 3.4 信息系统划分结果 (6) 4 邮政金融网中间业务系统自定级报告 (8) 5 邮政综合计算机网系统自定级报告 (13) 6 系统使用的安全产品清单及认证、销售许可证明 (14)
填写说明 1、填报依据。根据《省信息安全等级保护管理办法》(省政府令223号)和《省信息安全等级评审实施细则》之规定制作本表。 2、填报围。本报告由基础信息网络与重要信息系统的运营、使用单位或主管部门填写。 3、申报方式。本报告一式五份,由申请单位向受理申请的信息化机构提交。同时将电子版本申请材料发电子:nbjwyqh163.。 4、单位基本情况表:单位负责人,是指主管本单位信息安全工作的领导;责任部门,是指单位负责信息系统安全工作的部门;隶属关系,是指信息系统运营使用单位与上级行政机构的从属关系。 5、系统自定级报告:是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。 6、系统使用的安全产品清单及认证、销售许可证明:是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型(功能)产品中该产品的使用率等信息。 7、信息系统定级评审专家意见表:由参加评审的专家组填写。 8、重要提示。本报告模板第8、9页的蓝色标记部分,属于定级工作
- 信息系统安全等级保护定级报告-中国网络安全等级保护网
- 网络安全等级保护定级流程ppt
- 《xx系统网络安全等级保护定级报告》
- 网络安全等级保护定级指南解读
- 网络安全等级保护定级报告三级(模板)
- 新版网络安全等级保护定级指南解读
- 对外网站安全等级保护定级报告
- 新版《网络安全等级保护定级指南》解读教学提纲
- 网络安全等级保护定级概述【最新版】
- 网络安全等级保护定级报告一级(模板)
- 信息系统安全等级保护定级报告实例
- 网络安全等级保护定级指南解读
- 网络安全等级保护定级报告二级(模板)
- 信息安全-等级保护新标准2.0介绍
- 网络安全等级保护定级报告一级(模板)
- 《网络安全等级保护定级指南》专家解读
- 《网络安全等级保护条例》
- 广播电视网络安全等级保护定级
- 网络安全等级保护定级流程ppt(完整版)
- 信息系统安全等级保护定级报告示例