等级保护测试实施方案

浙江省信息安全等级保护工作实施方案

省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《省信息安全等级保护管理办法》，根据国家信息安全等级保护工作协调小组的部署，结合我省实际，制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全保障工作的意见为指导，通过全面推行信息安全等级保护工作，提高我省信息安全的保障能力和防护水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使我省信息安全保障状况得到基本改善。 通过加强和规信息安全等级保护管理，不断提高我省信息安全保障能力，为维护信息网络的安全稳定，促进信息化发展服务。

三、组织管理 为加强信息安全等级保护工作的领导，成立由省公安厅牵头，省局、省国家密码管理局和省信息办等有关部门参加的省信息安全等级保护工作协调小组，负责我省信息安全等级保护工作的组织协调，并下设办公室在省公安厅。设区市的公安机关、部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组，并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 为保证信息安全等级测评工作正常、有效开展，成立由省公安厅牵头，省局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组，对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质，以及安全测评资格进行专门审查，审查后公布推荐目录，供我省基础信息网络和重要信息系统使用单位选择使用。 四、工作容 （一）系统定级 信息系统运营、使用单位应按照国家有关规定，确定信

等级保护技术方案

信息系统等级保护建设 指导要求 （三级）

目录

1.方案设计要求 1.1.方案设计思想 1.1.1.构建符合信息系统等级保护要求的安全体系结构 平台安全建设需要在整体信息安全体系指导下进行实施，保证信息安全建设真正发挥效力。 随着计算机科学技术的不断发展，计算机产品的不断增加，信息系统也变得越来越复杂。从体系架构角度看，任何一个信息系统都由计算环境、区域边界、通信网络三个层次组成。所谓计算环境就是用户的工作环境，由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成，计算环境的安全是信息系统安全的核心，是授权和访问控制的源头；区域边界是计算环境的边界，对进入和流出计算环境的信息实施控制和保护；通信网络是计算环境之间实现信息传输功能的部分。在这三个层次中，如果每一个使用者都是经过认证和授权的，其操作都是符合规定的，那么就不会产生攻击性的事故，就能保证整个信息系统的安全。 1.1. 2.建立科学实用的全程访问控制机制 访问控制机制是信息系统中敏感信息保护的核心，依据《计算机信息系统安全保护等级划分准则》（GB17859-1999）（以下简称GB17859-1999）：

三级信息系统安全保护环境的设计策略，应“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求。基于“一个中心支撑下的三重保障体系结构”的安全保护环境，构造非形式化的安全策略模型，对主、客体进行安全标记，并以此为基础，按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。由安全管理中心统一制定和下发访问控制策略，在安全计算环境、安全区域边界、安全通信网络实施统一的全程访问控制，阻止对非授权用户的访问行为以及授权用户的非授权访问行为。 1.1.3.加强源头控制，实现基础核心层的纵深防御 终端是一切不安全问题的根源，终端安全是信息系统安全的源头，如果在终端实施积极防御、综合防范，努力消除不安全问题的根源，那么重要信息就不会从终端泄露出去，病毒、木马也无法入侵终端，内部恶意用户更是无法从网内攻击信息系统安全，防范内部用户攻击的问题迎刃而解。 安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支撑，终端安全就毫无保障。实现基础核心层的纵深防御需要高安全等级操作系统的支撑，以此为基础实施深层次的人、技术和操作的控制。

深信服等级保护(三级)建设方案

朔州市交警队 等级保护（三级）建设方案 深信服科技（深圳）有限公司 2017年8月

目录 1项目概述 (1) 2等级保护建设流程 (2) 3方案参照标准 (4) 4信息系统定级备案 (5) 4.1信息系统定级 (5) 4.2信息系统备案 (7) 5系统安全需求分析 (8) 6安全风险与差距分析 (12) 6.1物理安全风险与差距分析 (12) 6.2计算环境安全风险与差距分析 (12) 6.3区域边界安全风险与差距分析 (14) 6.4通信网络安全风险与差距分析 (15) 7技术体系方案设计 (17) 7.1方案设计目标 (17) 7.2方案设计框架 (17) 7.3安全域的划分 (18) 7.3.1安全域划分的依据 (18) 7.3.2安全域划分与说明 (19)

7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (21) 7.4.3区域边界安全设计 (28) 7.4.4通信网络安全设计 (30) 7.4.5安全管理中心设计 (33) 8安全管理体系设计 (37) 9系统集成设计 (39) 9.1软硬件产品部署图 (39) 9.2安全产品部署说明 (42) 9.3产品选型 (45) 9.2.1选型建议 (45) 9.2.2选型要求 (45)

1项目概述 随着信息化的发展，朔州市交警队的业务开展也越来越依托于网络平台，但纵观当前的安全形势，各种安全事件层出不穷，而朔州市交警队目前的网络中，安全设备较少，以前买的安全设备由于网络带宽升级，使用耗损等，其性能也渐渐不能满足朔州市交警队目前的网络安全需求，严重制约了朔州市交警队的信息化脚步。因此朔州市交警队希望加快信息化建设，以实现电子办公，执法信息网络公开化等。 通过对朔州市交警队信息化现状调研、分析，结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求，逐步完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得单位信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展。

信息系统等级保护测评工作方案

XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月

目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)

2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准

浙江省信息安全等级保护工作实施方案

浙江省信息安全等级保护工作实施方案 为贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》以及《浙江省信息安全等级保护管理办法》，根据国家信息安全等级保护工作协调小组的部署，结合我省实际，制订本方案。 一、指导思想 以中央和省委、省政府有关加强信息安全保障工作的意见为指导，通过全面推行信息安全等级保护工作，提高我省信息安全的保障能力和防护水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设的健康发展。 二、工作目标 通过实行等级保护工作，使基础信息网络和重要信息系统的核心要害部位得到有效保护，涉及国家安全、社会稳定和公共利益的基础信息网络和重要信息系统的保护状况有较大改善。 通过全面推行信息安全等级保护制度，逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节，使我省信息安全保障状况得到基本改善。 通过加强和规范信息安全等级保护管理，不断提高我省信息安全保障能力，为维护信息网络的安全稳定，促进信息化发展服务。

三、组织管理 为加强信息安全等级保护工作的领导，成立由省公安厅牵头，省保密局、省国家密码管理局和省信息办等有关部门参加的浙江省信息安全等级保护工作协调小组，负责我省信息安全等级保护工作的组织协调，并下设办公室在省公安厅。设区市的公安机关、保密部门、密码管理部门和信息化行政主管部门也要联合成立由公安机关牵头的信息安全等级保护工作协调小组，建立相应办事机构，负责本地信息安全等级保护工作。 信息系统的建设、运营、使用单位应成立由主管领导参加的信息安全等级保护工作领导小组，并确定职能部门负责本系统、本单位的信息安全等级保护工作。 省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组，并分别负责对涉及全省和全市的基础信息网络和重要信息系统的信息安全保护等级进行审定。 为保证信息安全等级测评工作正常、有效开展，成立由省公安厅牵头，省保密局、省国家密码管理局、省信息办和省国家安全厅等单位有关专家参加的测评机构审查小组，对在我省基础信息网络和重要信息系统中开展测评工作的测评机构及其主要业务、技术人员的资质，以及安全保密测评资格进行专门审查，审查后公布推荐目录，供我省基础信息网络和重要信息系统使用单位选择使用。 四、工作内容 （一）系统定级

(完整版)XXXX等级保护测评工作方案

广州市XXXXXX 2015-2016年XXXXXXXXXXXX项目 等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月

目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (3) 1.4.项目依据 (4) 2.测评实施内容 (4) 2.1.测评分析 (5) 2.1.1.测评范围 (5) 2.1.2.测评对象 (5) 2.1.3.测评内容 (5) 2.1.4.测评对象 (8) 2.1.5.测评指标 (9) 2.2.测评流程 (10) 2.2.1.测评准备阶段 (11) 2.2.2.方案编制阶段 (12) 2.2.3.现场测评阶段 (12) 2.2.4.分析与报告编制阶段 (14) 2.3.测评方法 (14) 2.3.1.工具测试 (14) 2.3.2.配置检查 (15) 2.3.3.人员访谈 (15) 2.3.4.文档审查 (16) 2.3.5.实地查看 (16) 2.4.测评工具 (17) 2.5.输出文档 (18) 2.5.1.等级保护测评差距报告....................... 错误!未定义书签。 2.5.2.等级测评报告............................... 错误!未定义书签。 2.5. 3.安全整改建议............................... 错误!未定义书签。 3.时间安排 (18)

4.人员安排 (19) 4.1.组织结构及分工 (19) 4.2.人员配置表 (20) 4.3.工作配合 (21) 5.其他相关事项 (22) 5.1.风险规避 (22) 5.2.项目信息管理 (24) 5.2.1.保密责任法律保证 (24) 5.2.2.现场安全保密管理 (24) 5.2.3.文档安全保密管理 (25) 5.2.4.离场安全保密管理 (25) 5.2.5.其他情况说明 (25) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神，2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息 系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》的 要求，对XXXXXXXXXXXXXXXXXXX现有六个信息系统进行全面的信息安全测评与评 估工作,并且为XXXXXXXXXXXXXXXXXXX提供驻点咨询、实施等服务。(安全技术测 评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面 上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员 安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评），加大 测评与风险评估力度，对信息系统的资产、威胁、弱点和风险等要素进行全面 评估，有效提升信心系统的安全防护能力，建立常态化的等级保护工作机制， 深化信息安全等级保护工作，提高XXXXXXXXXXXXXXXXXXX网络与信息系统的安全 保障与运维能力。

xx项目等级保护(三级)建设方案

××项目 等级保护（三级）建设方案 深信服科技（深圳）有限公司 2019年12月

目录 1项目概述 (5) 2等级保护建设流程 (5) 3方案参照标准 (7) 4信息系统定级 (7) 4.1.1定级流程 (7) 4.1.2定级结果 (9) 5系统现状分析 (10) 5.1机房及配套设备现状分析 (10) 5.2计算环境现状分析 (10) 5.3区域边界现状分析 (10) 5.4通信网络现状分析............................................................................................................................................... 错误！未定义书签。 5.5安全管理中心现状分析 (10) 6安全风险与差距分析 (10) 6.1物理安全风险与差距分析 (10) 6.2计算环境安全风险与差距分析 (11) 6.3区域边界安全风险与差距分析 (13) 6.4通信网络安全风险与差距分析 (14) 6.5安全管理中心差距分析 (15) 7技术体系方案设计 (16) 7.1方案设计目标 (16) 7.2方案设计框架 (16) 7.3安全域的划分 (17) 7.3.1安全域划分的依据 (17) 7.3.2安全域划分与说明 (18)

7.4安全技术体系设计 (19) 7.4.1机房与配套设备安全设计 (19) 7.4.2计算环境安全设计 (20) 7.4.2.1身份鉴别 (20) 7.4.2.2访问控制 (21) 7.4.2.3系统安全审计 (21) 7.4.2.4入侵防范 (22) 7.4.2.5主机恶意代码防范 (23) 7.4.2.6软件容错 (23) 7.4.2.7数据完整性与保密性 (23) 7.4.2.8备份与恢复 (25) 7.4.2.9资源控制 (26) 7.4.2.10客体安全重用 (27) 7.4.2.11抗抵赖 (27) 7.4.2.12不同等级业务系统的隔离与互通 (27) 7.4.3区域边界安全设计 (28) 7.4.3.1边界访问控制入侵防范恶意代码防范与应用层防攻击 (28) 7.4.3.2流量控制 (29) 7.4.3.3边界完整性检查 (31) 7.4.3.4边界安全审计 (31) 7.4.4通信网络安全设计 (33) 7.4.4.1网络结构安全 (33) 7.4.4.2网络安全审计 (34) 7.4.4.3网络设备防护 (35) 7.4.4.4通信完整性与保密性 (35) 7.4.4.5网络可信接入 (36) 7.4.5安全管理中心设计 (37) 7.4.5.1系统管理 (37)

信息安全等级保护工作计划

篇一：信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【2011】321号文件精神，结合我校实际，制订本实施方案。 一、指导思想 以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 （一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求，开展信息系统自评工作。（二）协调领导机制。1、成立领导小组，校长任组长，副校长任副组长、各部门负责人为成员，负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任，对等级保护工作整体推进情况进行检查监督，指导安全保密方案制定。 2、成立由电教组牵头的工作机构，主要职责：在领导小组的领导下，切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训，掌握定级工作规范和技术要求，为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决，形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组，主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 （一）开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，确定定级对象。 （二）初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 （三）评审。初步确定信息系统安全保护等级后，上报学校信息系统安全等级保护评审组进行评审。（四）备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 （一）加强领导，落实保障。各部门要落实责任，并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 （二）加强培训，严格定级。为切实落实评审工作，保证定级准确，备案及时，全面提高我

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年

目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全 建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

信息安全等级保护(三级)建设方案

信息安全等级保护（三级）建设方案

目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统（IPS） (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)

等级保护技术方案范本

等级保护技术方案

信息系统等级保护建设 指导要求 （三级）

目录 1. 范围.......................................................................... 错误!未定义书签。 2. 项目背景 .................................................................. 错误!未定义书签。 2.1. 前言 ................................................................. 错误!未定义书签。 2.2. 开展信息安全等级保护的法规、政策和技术依据错误!未定义 书签。 2.2.1信息安全等级保护有关法规、政策、文件错误!未定义书 签。 2.2.2信息安全等级保护技术标准体系及其关系错误!未定义书 签。 3. 方案设计要求 .......................................................... 错误!未定义书签。 3.1. 方案设计思想.................................................. 错误!未定义书签。 3.1.1构建符合信息系统等级保护要求的安全体系结构错误! 未定义书签。 3.1.2建立科学实用的全程访问控制机制 ....... 错误!未定义书签。 3.1.3加强源头控制，实现基础核心层的纵深防御错误!未定义 书签。 3.1.4面向应用，构建安全应用支撑平台 ....... 错误!未定义书签。 3.2. 建设原则.......................................................... 错误!未定义书签。 3.3. 建设内容.......................................................... 错误!未定义书签。 3.3.1信息系统定级整改规划........................... 错误!未定义书签。 3.3.2信息系统安全等级保护整体架构设计（三级）错误!未 定义书签。

医院信息系统安全等级保护工作实施方案

关于做好信息安全等级保护工作的通知 各科室： 医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度，确保我院信息系统安全可靠运行，根据《湖北省卫生厅湖北省公安厅关于开展全省卫生行业信息安全等级保护工作通知》（鄂卫发〔2012〕14号）精神，并结合我院信息系统应用的特点，就相关事项通知如下。 一、组织领导 组长： 副组长： 组员： 领导小组办公室设在XX科，由XX同志兼任主任，ＸＸＸ等同志负责具体工作。 二、工作任务 1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政管理信息系统、网络直报系统及门户网站，定级方法由市卫生局统一与市公安局等信息安全相关部门协商。 2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。 3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。 4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，组织开展等级保护安全建设整改工作，具体要求如下：?安全类别 控制项 主要安全措施 二级保护措施 三级保护措施 物理安全 物理访问控制 机房安排专人负责，来访人员须审批和陪同 √

信息安全等级保护工作实施方案标准范本

解决方案编号：LX-FS-A69506 信息安全等级保护工作实施方案标 准范本 In the daily work environment, plan the important work to be done in the future, and require the personnel to jointly abide by the corresponding procedures and code of conduct, so that the overall behavior or activity reaches the specified standard 编写：_________________________ 审批：_________________________ 时间：________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑

信息安全等级保护工作实施方案标 准范本 使用说明：本解决方案资料适用于日常工作环境中对未来要做的重要工作进行具有统筹性，导向性的规划，并要求相关人员共同遵守对应的办事规程与行动准则，使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整，套用时请仔细阅读。 为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【2011】321号文件精神，结合我校实际，制订本实施方案。 一、指导思想 以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系统安全

信息安全等级保护工作实施方案正式版

In the schedule of the activity, the time and the progress of the completion of the project content are described in detail to make the progress consistent with the plan.信息安全等级保护工作实施方案正式版

信息安全等级保护工作实施方案正式 版 下载提示：此解决方案资料适用于工作或活动的进度安排中，详细说明各阶段的时间和项目内容完成 的进度，而完成上述需要实施方案的人员对整体有全方位的认识和评估能力，尽力让实施的时间进度 与方案所计划的时间吻合。文档可以直接使用，也可根据实际需要修订后使用。 为加强信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进我校信息化建设。根据商教发【2011】321号文件精神，结合我校实际，制订本实施方案。 一、指导思想 以科学发展观为指导，以党的十七大、十七届五中全会精神为指针，深入贯彻执行《信息安全等级保护管理办法》等文件精神，全面推进信息安全等级保护工作，维护我校基础信息网络和重要信息系

统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 （一）工作分工。定级工作由电教组牵头，会同学校办公室、安全保卫处等共同组织实施。 学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理

信息安全等级保护工作实施方案(word版)

信息安全等级保护工作实施 方案 （完整正式规范） 编制：___________________ 审核：___________________ 日期：___________________

信息安全等级保护工作实施方案 为加强信息安全等级保护, 规范信息安全等级保护管理, 提高信息安全保障能力和水平, 维护国家安全、社会稳定和公共利益, 保障和促进我校信息化建设。根据商教发【20__】321号文件精神, 结合我校实际, 制订本实施方案。 一、指导思想 以__为指导, 以党的十_届五中全会精神为指针, 深入贯彻执行《信息安全等级保护管理办法》等文件精神, 全面推进信息安全等级保护工作, 维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 （一）工作分工。定级工作由电教组牵头, 会同学校办公室、安全保卫处等共同组织实施。 学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。

电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求, 开展信息系统自评工作。 （二）协调领导机制。 1、成立领导小组, 校长任组长, 副校长任副组长、各部门负责人为成员, 负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任, 对等级保护工作整体推进情况进行检查监督, 指导安全保密方案制定。 2、成立由电教组牵头的工作机构, 主要职责：在领导小组的领导下, 切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议；组织开展政策和技术培训, 掌握定级工作规范和技术要求, 为定级工作打好基础；全面掌握学校各部门定级保护工作的进展情况和存在的问题, 对存在的问题及时协调解决, 形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组, 主要负责：一是为我校信息与网络安全提供技术支持与服务咨询；二是参与信息安全等级保护定级评审工作；三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 （一）开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息

(完整word版)安全等级保护建设方案

Xx 信息安全等级保护（三级）建设方案

目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统（IPS） (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)

医院信息安全等级保护建设方案讲解

医院信息系统等级保护 建设方案

1.为什么需要等级保护？ 1.1 什么是等级保护？ 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 1.2 等级保护的重要性 等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。 在医疗行业的信息化建设过程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视。便捷、开放的网络环境，是医疗行业信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能保障医疗信息化业务的正常运行。然而，我们的数据却面临着越来越多的安全风险，时刻对业务的正常运行带来威胁。 1.3 国家强制性等保要求 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级划分的原则，医疗信息系统构筑至少应达到二级或以上防护要求。 2. 等级保护实施过程 “等级化安全体系”是依据国家信息安全等级保护制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。 根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行： 1.系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及业务对 系统的依赖程度确定系统的等级。 2.安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全

信息安全等级保护工作计划

信息安全等级保护工作计划篇一：信息安全等级保护工作计划 医院信息系统安全等级保护工作实施方案医院信息系统是医疗服务的重要支撑体系。为确保我院信息系统安全可靠运行，根据公 安部等四部、局、办印发的《关于信息安全等级保护工作的实施意见》公通字【XX】66号、 《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函【XX】1126 号、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知卫办发【XX】 85号和省市有关文件精神，并结合我院信息化建设的工作实际，特制定《德江县民族中医院 信息系统安全等级保护工作实施方案》确保我院信息系统安全。 一、组织领导组长：副组长：组员：领导小组办公室设在xx科，由xx同志兼任主任，xx等同志负责具体工作。二、工作 任务 1、做好系统定级工作。定级系统包括基础支撑系统，面向患者服务信息系统，内部行政

管理信息系统、络直报系统及门户站，定级方法由市卫生局统一与市公安局等信息安全 相关部门协商。 2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求，对信息系统进 行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据 报卫生局，由卫生局报属地公安机关办理备案手续。 3、做好系统等级测评工作。完成定级备案后，选择市卫生局推荐的等级测评机构，对已 确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系 统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出 具的《信息系统等级测评报告》向属地公安机关报备。 4、完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全 等级保护基本要求》（gb/t22239-XX）等有关标准，结合医院工作实际，组织开展等级保护 安全建设整改工作，具体要求如下： 三、工作要求

信息系统等级保护测评工作设计方案

. XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全有限公司 201X年X月

目录 1 目录 ....................................................................................................................................... 2 1.项目概述.......................................................................................................................... 2 1.1.项目背景................................................................................................................... 1.2.项目目标 ............................................................................................................... 2 3 1.3.项目原则 ............................................................................................................... 3 1.4.项目依据 ............................................................................................................... 2.测评实施内容.................................................................................................................. 5 5 2.1.测评分析................................................................................................................... 5 2.1.1.测评范围............................................................................................................ 2.1.2.测评对象............................................................................................................ 5 6 2.1. 3.测评内容............................................................................................................ 8 2.1.4.测评对象............................................................................................................ 9 2.1.5.测评指标............................................................................................................ 11 2.2.测评流程................................................................................................................. 12 2.2.1.测评准备阶段 ................................................................................................. 2.2.2.方案编制阶段 ................................................................................................. 13 13 2.2. 3.现场测评阶段 ................................................................................................. 16 2.2.4.分析与报告编制阶段..................................................................................... 16 2.3.测评方法................................................................................................................. 17 2.3.1.工具测试.......................................................................................................... 17 2.3.2.配置检查.......................................................................................................... 18 2.3.3.人员访谈.......................................................................................................... 18 2.3.4.文档审查.......................................................................................................... 19 2.3.5.实地查看..........................................................................................................