如何结合网络安全法开展等级保护工作
如何结合网络安全法开展等级保护工作
摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解掌握的内容,本文从定级备案、整改建设和等级测评三个层面,结合网络安全法相关要求进行解读说明。
2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。
1. 定级备案
系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》
(GB/T22240-2008)(以下简称“定级指南”)分析业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益,通过查看定级指南,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在三级及以上,所以作为关键信息基础设施,其安全保护等级不得低于三级。
作为网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,准确定级。网络运营者在初步确定网络安全保护等级后,应当及时组织相关专家对定级结果的合理性进行评审,避免出现所定级别过低或过高的现象,并及时向主管部门报批系统定级结果。
2. 建设整改
在确定网络安全保护等级后,网络运营者在开展建设整改工作时,首先应当确保已完全履行了网络安全法第二十一条,所规定的全部安全保护义务。网络安全法第二十一条具体内容如下:
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第一条是安全管理方面的要求,虽说安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序,否则,安全技术只能趋于僵化和失败。所以强调网络运营者必须要有针对性的建立自己的网络安全管理体系,且至少包含管理制度和操作规范两个层面。管理制度是网络运营者制定的有关管理组织架构、人员配备、行为规范和管理责任等方面的规则。操作规程是网络运维者制定的相关人员在进行日常操作时应当遵守的程序和步骤。除此以外还需确定网络安全负责人,落实网络运营者第一责任人的责任。
第二条是安全技术防范方面的要求,强调网络运营者须采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。防范计算机病毒方面比较常见的技术措施有
防病毒软件和防毒墙,防病毒软件主要防范服务器操作系统层面的恶意病毒,防毒墙一般以硬件形式部署网络边界处,对来自外部网络的恶意代码在网络层进行检测阻拦,将恶意代码或病毒程序阻挡在网络边界外。网络攻击防范技术措施,较为常见的有防火墙设备,用于实现网络或安全域边界的隔离保护;另外除普通防火墙外,还有web应用防火墙,用于实现对来自应用层的攻击行为进行防范保护。网络侵入防范技术常见的有入侵检测(IDS)、入侵防御(IPS)等设备,IDS设备主要用于对入侵行为的检测报警不具备阻拦功能,IPS可对入侵行为进行阻拦,但对业务系统可用性要求较高的单位,一般都选用IDS,因为IPS有可能会发生误报对业务系统正常运行造成影响。作为网络运营者应结合此项要求,至少配备防范计算机病毒和网络攻击、网络侵入等方面中的一项或多项技术措施。
第三条是安全监测和审计方面的要求,强调网络运营者必须具备监测、记录网络运行状态、网络安全事件的技术措施。这块比较常见的措施有网络审计系统、主机审计系统、数据库审计系统和运维审计系统分别对信息系统各个层面进行监测记录,另外近几年逐渐出现大数据日志分析平台,主要将信息系统中各个层面的日志信息进行统一汇总分析。对于日志留存方面,还提出按照规定留存相关的网络日志不少于六个月,即相关的网络日志存储周期要大于六个月。作为网络运营者至少应当具备监测并记录网络运行状态和安全事件的技术措施,另外还要具备相关日志的备份措施,保障相关日志存储周期大于六个月。
第四条是数据保护方面的要求,网络运营者须根据数据的重要性对数据进行分类实施保护,重要数据须具备备份措施和数据加密措施。重要数据的备份要支持在发生安全事件后数据的有效恢复,另外对于重要数据的加密要从数据传输和存储两个方面去考虑实施。
第五条是法律、行政法规规定的其他义务。除网络安全法规定范围内的其他义务,如行业主管部门对行业内的网络安全要求、地方政府部门对网络安全的相关要求等。
除网络安全法第二十一条规定的内容外,网络运营者还应当按照网络安全法第二十五条规定的要求,建立网络安全事件应急预案,应急预案至少应当覆盖能够及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全事件。另外,网络运营者应定期组织应急演练,确保应急预案制度的有效执行。
第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
作为关键信息基础设施的网络运营者除履行好网络安全法第二十一条和第二十五条规
定的义务外,还应当履行网络安全法第三十四条规定网络运营者须履行的安全保护义务。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
一是网络运营者需设立专门的网络安全管理部门以及安全管理负责人,来负责制定本单位网络安全保护策略,并落实执行各项网络安全工作;另外对安全管理负责人和关键岗位人员进行背景审查,以确定其从事安全管理负责人和关键岗位的可靠性。二是网络运营者须定期对从业人员进行相关培训和考核,以提高从业人员的网络安全意识和网络安全技能,从而更好的保障网络系统的安全稳定运行。三是网络运营者须提供对重要系统和数据库系统的容灾备份措施,确保在发生安全事件时,备份系统能够替代主系统正常运行。四是网络运营者须针对系统内可能发生的安全事件建立应急预案,并定期组织演练工作,以提高应急人员处理应急事件的能力,确保在发生安全事件时能够快速有效的处理。五是除以上规定义务外,法律、行政法规规定的其他义务,如行业网络安全方面的相关技术要求等。
一般信息系统网络运营者在满足网络安全第二十一条和第二十五条要求的基础上,关键信息基础设施网络运营者在满足网络安全法第二十一条、第二十五条和第三十四条规定的基础上分别按照各自所定的安全保护级别,参照《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)和《信息安全技术信息系统等级保护安全设计技术要求》
(GB/T25070-2010)等标准,再进一步开展建设整改工作。
3. 等级测评
信息系统在完成建设整改上线运行后,为保障信息系统长期的安全稳定运行,网络运营者必须要不断的对信息系统开展检测、整改工作。网络安全法第三十八条中提出“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”另外在《信息安全等级保护管理办法》公通字[2007]43号第十四条中同样也提出“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”
由于关键信息基础设施的安全保护等级均在三级及以上,所以网络运营者针对关键信息基础设施,应当每年均委托具备公安部门认可的测评机构,开展等级测评工作,并将测评结果和整改措施报送给负责关键信息基础设施安全保护工作的部门。
4. 结语
网络安全法正式实施,等级保护上升为法律要求。网络运营者若拒不履行或履行不当,可能会导致单位和个人承担相应的法律责任。为避免产生相应的法律后果,保障信息系统的安全稳定运行,网络运营者应当积极开展落实网络安全等级保护工作。为适应当前安全形势,迎合信息技术的快速发展,目前部分网络安全等级保护相关标准制度,国家相关部门正在进一步改编修订中,网络运营者应当积极主动关注网络安全等级保护制度最新变化,及时根据相关要求调整安全策略,确保信息系统的各项安全保障措施满足最新安全形势需要。
来源:等级保护测评
信息安全等级保护工作实施细则.doc
内部明电 发往:签发: 信息安全等级保护工作实施细则 第一章总则 第一条信息安全等级保护制度是国家在国民经济和 社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、 社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。为加 强本局信息安全等级保护工作,规范信息安全等级保护安全管理,促进各职能 部门之间的分工与协调合作,提高信息安全保障能力和水平,制定本实施细则。 第二条信息安全等级保护,是指对国家秘密信息及公民、法人和其他组织 的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行 安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。 第三条本实施细则所指的重要信息系统,是指包括本局公共服务网络与管理信息系统。 第四条信息系统运营、使用单位是指信息系统的所有者或信息系统所承载 业务的主管单位,且对该信息系统的安全运行负主要责任的县区分局。本实施 细则适用于新建和已建的所有信息系统。 第五条本局内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负
责的原则,对其信息系统分等级进行保护,履行信息安全等级保护职责。 第六条信息系统安全保护等级分为五级: (一)第一级为自主保护级,信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 (二)第二级为指导保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时,相关职能部门可以对其信息安全等级保护工作进行指导。 (三)第三级为监督保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 (四)第四级为强制保护级,信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护,相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。 第七条市局成立信息安全等级保护领导小组,负责市局信息安 全等级保护工作的整体协调和指导。市局信息安全等级保护领导小组下设办公室负责: (一)对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查; (二)对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导;
信息安全等级保护介绍
国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。
信息安全等级保护工作汇报
XXX 信息安全等级保护工作汇报 一、医院简介 XXX拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。医院总占地面积22599平方米,业务用房建筑面积25027平方米。 医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。设有内、外、妇、儿、五官等二十个临床科室,15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科,其中胸外科、脑外科是我院重点科室之一,胸外科是黑河地区该专业龙头科室,外科常规开展肺癌、脑外、食道癌等复杂手术,广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖,开创了历史先河,成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位,吸引了大量外院病人来我院检查,整合了各方优势资源。 医院环境优美,整洁。目前,现已发展成为一所集医疗、康复、
保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院,“120”急救中心设在我院,同时担负着全市司法鉴定工作。 医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠X光机、C型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、24小时动态心电监测系统等先进设备百余台,抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备,精良的医疗设备为提高临床诊治水平提供了重要的保证。 医院由门诊楼,病房楼,急救中心组成,住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理,所有病房均设有中央空调、独立卫生间,配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房,是我省北部地区成立较早发展最快的重症科室,设备实力和省级医院相聘美,从业人员都经过正规重症医学培训学习,成立后为北安市危重症治疗开辟了新的天地,危重症抢救成功率达到省级医院水平。具
基于网络安全法的等级保护规划
基于网络安全法的等级保护规划 摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解和掌握的内容。文章从定级备案、整改建设和等级测评3个层面,结合网络安全法相关要求进行了解读说明。 关键词:等级保护;网络安全法;信息安全
目录 1. 定级备案 (3) 2. 建设整改 (4) 3. 等级测评 (7) 4. 结语 (8)
2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评3个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作 要求。 1.定级备案 系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)(以下简称《定级指南》)分析业务信息和系统服务遭到破坏后,所 侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出,关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益。根据《定级指南》,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在3级及以上。所以,作为关键信息基础设施,其安全保护 等级不得低于3级。 网络运营者一定要仔细分析信息系统业务信息和系统服务遭到破坏后,所侵害的客体以及对相应客体的侵害程度,准确定级[1]。网络运营者在初步确定网络安全保护等级后,应 当及时组织相关专家对定级结果的合理性进行评审,避免出现所定级别过低或过高的现象,并及时向主管部门报批系统定级结果。
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
信息安全等级保护工作计划
篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【2011】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。 三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。(二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务咨询;二是参与信息安全等级保护定级评审工作;三是参与重要信息与网络安全突发公共事件的分析研判和为领导决策提供依据。 四、主要内容、工作步骤 (一)开展信息系统基本情况的摸底调查。各部门要组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求,确定定级对象。 (二)初步确定安全保护等级。各使用部门要按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草定级报告。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。 (三)评审。初步确定信息系统安全保护等级后,上报学校信息系统安全等级保护评审组进行评审。(四)备案。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统统一由电教组负责备案工作。 五、定级工作要求 (一)加强领导,落实保障。各部门要落实责任,并于12月15日前将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》上报九年制学校。 (二)加强培训,严格定级。为切实落实评审工作,保证定级准确,备案及时,全面提高我
信息系统安全等级保护定级报告实例
信息系统安全等级保护定级报告 (起草参考实例) 一、支付通网上支付服务系统描述 (一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机,…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信 NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作
为整个系统的分系统分别进行定级、备案。 (三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、X省邮政金融网中间业务系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。
信息安全等级保护工作历程
信息安全等级保护工作历程 1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。 2004年9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),计划“经过三年的努力,逐步将信息安全等级保护制度落实到信息安全规划、建设、评估、运行维护等各个环节,使我国信息安全保障状况得到基本改善”。 2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 2006年6月,四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试
如何结合网络安全法开展等级保护工作
如何结合网络安全法开展等级保护工作 摘要:从1994年2月18日国务院147号令发布,规定计算信息系统实行安全等级保护,到2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共日和国网络安全法》,并于2017年6月1日起正式实施,网络安全等级保护制度已然上升为法律要求。作为网络运营者如何落实网络安全等级保护制度,确保信息系统满足《中华人民共和国网络安全法》中的相关要求,成为广大网络运营者急需了解掌握的内容,本文从定级备案、整改建设和等级测评三个层面,结合网络安全法相关要求进行解读说明。 2017年6月1日《中华人民共和国网络安全法》(以下简称“网络安全法”)正式实施。第二十一条提出“国家实行网络安全等级保护制度”,第三十一条提出“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。至此,网络安全等级保护制度上升为法律要求,网络运营者必须按照网络安全等级保护制度,采取相应的管理措施和技术防范措施,履行相应的网络安全保护义务。本文从网络安全等级保护定级备案、建设整改和等级测评三个方面,结合网络安全法相关内容阐述作为网络运营者需要履行的安全保护义务及工作要求。 1. 定级备案 系统定级作为网络安全等级保护工作的第一步,定级结果直接影响到后续工作的顺利开展。作为网络运营者应当依据《信息安全技术信息系统安全等级保护定级指南》 (GB/T22240-2008)(以下简称“定级指南”)分析业务信息和系统服务遭到破坏后,所侵害的客体,以及对相应客体的侵害程度,确定信息系统安全保护级别,并及时到当地市级以上公安机关办理备案手续。另外,针对关键信息基础设施,从网络安全法第三十一条可以看出关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能会严重危害国家安全、国计民生、公共利益,通过查看定级指南,可能严重危害到国家安全、国计民生、公共利益的信息系统,安全保护等级至少在三级及以上,所以作为关键信息基础设施,其安全保护等级不得低于三级。
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内,有两个出口, 第一个出口处部署了流控设备和控制网关,再通过 Extreme6808三层交换机接入教育网,在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备,该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、 法人和其他组织的合法权益。
侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害,会对公民、 法人和其他组织的合法权益造成影响和损害,可以表 现为:影响正常工作的开展,导致业务能力下降,泄 露公民隐私,有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知,业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求, 出现上述两个侵害客体时,优先考虑社会秩序和公共利 益,另外一个不做考虑。
信息安全等级保护工作计划
竭诚为您提供优质文档/双击可除信息安全等级保护工作计划 篇一:信息安全等级保护工作计划 篇一:信息安全等级保护工作实施方案 白鲁础九年制学校 信息安全等级保护工作实施方案 为加强信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进我校信息化建设。根据商教发【20XX】321号文件精神,结合我校实际,制订本实施方案。 一、指导思想 以科学发展观为指导,以党的十七大、十七届五中全会精神为指针,深入贯彻执行《信息安全等级保护管理办法》等文件精神,全面推进信息安全等级保护工作,维护我校基础信息网络和重要信息系统安全稳定运行。 二、定级范围 学校管理、办公系统、教育教学系统、财务管理等重要信息系统以及其他重要信息系统。
三、组织领导 (一)工作分工。定级工作由电教组牵头,会同学校办公室、安全保卫处等共同组织实施。学校办公室负责定级工作的部门间协调。 安全保卫处负责定级工作的监督。 电教组负责定级工作的检查、指导、评审。 各部门依据《信息安全等级保护管理办法》和本方案要求,开展信息系统自评工作。 (二)协调领导机制。1、成立领导小组,校长任组长,副校长任副组长、各部门负责人为成员,负责我校信息安全等级保护工作的领导、协调工作。督促各部门按照总体方案落实工作任务和责任,对等级保护工作整体推进情况进行检查监督,指导安全保密方案制定。 2、成立由电教组牵头的工作机构,主要职责:在领导小组的领导下,切实抓好我校定级保护工作的日常工作。做好组织各信息系统运营使用部门参加信息系统安全等级保 护定级相关会议;组织开展政策和技术培训,掌握定级工作规范和技术要求,为定级工作打好基础;全面掌握学校各部门定级保护工作的进展情况和存在的问题,对存在的问题及时协调解决,形成定级工作总结并按时上报领导小组。 3、成立由赴省参加过计算机培训的教师组成的评审组,主要负责:一是为我校信息与网络安全提供技术支持与服务
等级保护工作各环节服务方案
等级保护工作各环节服 务方案 -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
等级保护工作开展参考资料 文档说明 1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员 2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法 一.等级保护整体服务方案 图 1 等级保护整体服务方案工作流程图 等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系“保驾护航”。 测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。具体包括: 1)等级保护定级备案 对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评服务方将协助用户完成保护等级的备案工作。 2)等级保护差距分析 通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
3)等级保护整改建议方案 测评服务方根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。 依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规和技术标准进行安全建设和整改,使用符合有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。 等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。 4)等级保护整改实施 测评服务方将依据规划向用户提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。 5)等级保护测评咨询 在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,测评服务方提供的测评咨询服务将协助用户通过等级保护测评工作。 6)等级保护检查咨询 在信息系统进行完成定级和整改实施之后,主管机关将对信息系统的安全技术和安全管理各个层面的安全控制进行检查,测评服务方将协助用户准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。 二.等级保护定级过程方法/方案 .定级工作的重要性 信息系统的定级是等级保护工作的首要环节。从等级保护角度看,安全级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地
信息安全等级保护工作流程介绍
信息安全等级保护工作流程介绍 导语 信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。 解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为: 一是定级。信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。 二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到
省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。备案的时候带上定级资料去网安部门,一般两份纸质文档,一份电子档,纸质的首页加盖单位公章。 三是系统安全建设。信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。 四是等级测评。信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然符合基本是不可能的,那是理想状态。 五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
对外网站安全等级保护定级报告
XXXX公司对外网站 安全等级保护定级报告 一、XXXX公司对外网站描述 XXXX公司对外网站于XX年XX月建设投运,该系统由XXXX 公司开发。目前该网站由XXXX负责运行维护。XXXX公司XXXX 部是该信息系统业务的主管部门和该信息系统定级的责任单位。 该网站硬件构成、部署模式、部署位置等的描述。 XXXX公司对外网站系统分为XXXX、XXXX等功能模块。本网站系统与其他网站的接口情况描述。 二、XXXX公司对外网站系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 XXXX公司对外网站系统业务信息包括:XXXX、XXXX等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 信息受到破坏后,会对侵害客体造成一般损害。 4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,XXXX公司网站系统业务信息安全保护等级为第一级。 (二)系统服务安全保护等级的确定 1、系统服务描述 服务范围、服务对象 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 系统服务受到破坏后,会对侵害客体造成一般损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度,XXXX 公司网站系统服务安全保护等级为第一级。 (三)安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安 全等级的较高者决定,最终确定XXXX公司对外网站系统安全保护
等级保护与安全信息建设工作意义及必要性
一、信息系统安全等级保护建设的必要性 信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。 中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。 公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。 二、确定综合经营管理系统的保护级别 根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国
信息安全等级保护测评工作管理规范(试行)完整篇.doc
信息安全等级保护测评工作管理规范(试 行)1 附件一: 信息安全等级保护测评工作管理规范 (试行) 第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条等级测评机构应当具备以下基本条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); (三)产权关系明晰,注册资金100万元以上; (四)从事信息系统检测评估相关工作两年以上,无违法记录; (五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; (七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求; (八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (九)对国家安全、社会秩序、公共利益不构成威胁; (十)应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
网络安全等级保护项目参数及要求【模板】
网络安全等级保护项目参数及要求 1.1项目名称 项目名称:商丘医学高等专科学校网络安全等级保护测评项目 1.2项目基本情况 1.项目概况:商丘医学高等专科学校网络安全等级保护测评项目 2.采购内容包括:智慧化校园平台、网站群、教务管理系统和财务内控管理系统。 3.采购方式:竞争性谈判 4.项目预算金额: 5.工期:合同签订生效后30个工作日(不包含整改建设时间)。 6.服务地点:采购人指定地点。 7.服务要求:满足采购人要求。 8.质量标准:符合国家或行业规定的合格标准,满足采购人提出的技术标准及要求。 9.验收标准:满足采购人的验收标准及要求。
2供应商须知 一、响应投标文件的编写 1、要求 1.1投标人应仔细阅读招标文件的全部内容,按招标文件的要求提供响应投标文件,并保证所提供的全部资料的真实性和可靠性,以使其文件对招标文件作出实质性响应。投标人应接受采购单位和采购代理机构对其中任何资料作出进一步审查的要求,否则其响应投标将有可能被拒绝。 1.2投标人应认真检查招标文件中所有的须知、格式、条款、技术、规格和其它资料,如果投标人未按照招标文件的要求提交全部资料,或者提交的资料没有对招标文件在各方面作出实质性响应,可能导致其响应投标文件被拒绝,由此导致的不利后果由投标人自行承担。 1.3响应投标文件的和资格证明文件的主要内容格式部分中的各项内容和表格为评审的重要参考内容和依据,投标人应严格按照格式要求统一填写编制,否则,其响应投标将有可能被拒绝。 2、响应语言 2.1响应投标文件及投标人、采购单位和采购代理机构就响应交换的文件和来往信件,应以中文书写。若投标人提交的资料为英文或其他语言文字文本,须附中文译文以让评审小
- 信息安全等级保护工作总结
- 信息安全等级保护工作实施方案正式样本
- 信息安全等级保护工作计划
- 信息系统安全等级保护工作介绍
- 信息安全系统等级保护培训精彩试题集
- 信息安全等级保护工作总结
- 信息安全等级保护工作流程图
- 信息安全等级保护 二级
- 信息安全等级保护工作计划
- 信息安全等级保护管理制度
- 信息安全等级保护工作实施方案
- 信息安全等级保护工作总结
- 信息安全等级保护工作汇报
- 信息安全等级保护工作检查表
- 信息安全等级保护测评工作管理规范(试行)完整篇.doc
- 信息安全等级保护工作总结
- 信息安全等级保护标准规范
- 信息安全等级保护工作流程图
- 信息安全等级保护工作汇报(ppt 65张)
- 信息安全等级保护工作流程图