等级保护思想在烟草行业信息安全体系建设的研究及应用

信息安全等级保护建设方案

信息安全等级保护（二级）建设方案 2016年3月 目录 1. 项目概述 (3) 1.1. 项目建设目标 (3) 1.2. 项目参考标准 (4) 1.3. 方案设计原则 (5)

2. 系统现状分析 (6) 2.1. 系统定级情况说明 (6) 2.2. 业务系统说明 (6) 2.3. 网络结构说明 (7) 3. 安全需求分析 (8) 3.1. 物理安全需求分析 (8) 3.2. 网络安全需求分析 (8) 3.3. 主机安全需求分析 (8) 3.4. 应用安全需求分析 (8) 3.5. 数据安全需求分析 (9) 3.6. 安全管理制度需求分析 (9) 4. 总体方案设计 (9) 4.1. 总体设计目标 (9) 4.2. 总体安全体系设计 (9) 4.3. 总体网络架构设计 (12) 4.4. 安全域划分说明 (12) 5. 详细方案设计技术部分 (13) 5.1. 物理安全 (13) 5.2. 网络安全 (13) 5.2.1. 安全域边界隔离技术 (13) 5.2.2. 入侵防范技术 (13) 5.2.3. 网页防篡改技术 (13) 5.2.4. 链路负载均衡技术 (13) 5.2.5. 网络安全审计 (14) 5.3. 主机安全 (14) 5.3.1. 数据库安全审计 (14) 5.3.2. 运维堡垒主机 (14) 5.3.3. 主机防病毒技术 (15) 5.4. 应用安全 (15) 6. 详细方案设计管理部分 (16) 6.1. 总体安全方针与安全策略 (16) 6.2. 信息安全管理制度 (17) 6.3. 安全管理机构 (17) 6.4. 人员安全管理 (17) 6.5. 系统建设管理 (18) 6.6. 系统运维管理 (18) 6.7. 安全管理制度汇总 (20) 7. 咨询服务和系统测评 (21) 7.1. 系统定级服务 (21) 7.2. 风险评估和安全加固服务 (21) 7.2.1. 漏洞扫描 (21) 7.2.2. 渗透测试 (21) 7.2.3. 配置核查 (21) 7.2.4. 安全加固 (21) 7.2.5. 安全管理制度编写 (23)

烟草专卖局公司车辆安全管理制度(20200523204326)

××市烟草专卖局（公司）车辆安全管理制度 为贯彻落实《中华人民共和国安全生产法》，确保公司安全生产顺利进行，规范车辆安全管理，特制定本制度。 一、运输安全管理： 1.所有机动车辆司机，必须经有关部门培训，并取得相应证件。 2.严格按照国家道路交通安全有关法律法规规定和厂内机动车辆驾 驶员安全操作规程要求进行运输作业。 3.严禁酒后驾车、疲劳驾车、违规驾车。 4.严禁车辆“带病”运输。发现车辆存在问题要及时进行检查、维修，保证车辆车况安全良好。 5.除驾驶室按规定乘座人员外，车辆的其它部位一律不准乘坐人员。 6.车辆驾驶员要对本车进行定期检查、维修、保养，保证车况良好。 7.所有车辆必须配备1个3公斤的干粉灭火器。 二、车辆检查 1.检查内容：方向、刹车、灯光、轮胎、发动机、仪表等其它部件和 持证情况。 2.检查规定： 2.1驾驶员应在每日班前、班中、班后对车辆进行安全检查。 2.2公司主管车辆的部门，对本公司的所有车辆每旬应进行一次安全 检查。 2.3公司安全保卫科每月应对本单位的车辆组织一次安全检查。

2.4当班安全员要对本班车辆驾驶员持证情况和尾气净化装置使用情 况进行检查。 2.5对检查出的问题和安全隐患，应及时进行处理和整改，若发现存 在重大安全隐患要责令停止运输作业。 三、驾驶员管理 1.各单位要根据具体情况和需要，详细制定驾驶员招聘标准，确保驾驶质量和行车安全。 2.机动车辆驾驶员实行“双证制”。除持有公安交通管理机关核发的《机动车驾驶证》外，还必须持有烟草系统内部核发的《烟草系统机 动车驾驶员上岗证》（以下称上岗证）。 3.《上岗证》由国家烟草专卖局统一印制，专职驾驶员（指主要工作 职责是从事机动车驾驶工作的人员）及兼职驾驶员（指主要工作职责不是从事机动车驾驶工作的干部），都由市局（公司）交通安全委员会核发。 4.申报《上岗证》必需具备以下资格：高中以上文化程度；连续驾驶 经历两年以上；安全行驶3万公里以上；年龄控制在20－60岁；身体健康，作风正派，吃苦耐劳，遵章守纪。 5.所有驾驶员必须熟知交通安全法规、车辆电路、机械常识及简单车辆的故障排除、特殊情况的处理及单位制定的交通安全管理规定等， 并经市局（公司）交通安全委员会统一组织考试合格后，方能取得《上岗证》。 6.《上岗证》发放程序：具备资格驾驶员经考试合格后需填写《烟草

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

《烟草行业信息安全保障体系建设指南》_20080418

烟草行业信息安全保障体系建设指南 国家烟草专卖局 二〇〇八年四月

前言 烟草行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》（以下简称《指南》）。行业各单位要结合本单位实际情况认真落实《指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。 《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求，依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准，运用目前信息安全领域广泛应用的思想和方法，明确了烟草行业信息安全保障体系建设的总体原则和建设内容，对行业信息安全策略的制订，以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限，对《指南》中的不足之处，望各单位在应用过程中提出宝贵意见。 《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长：高锦；副组长：陈彤；主要成员：张雪峰，王海清，耿刚勇，张利，孙成昊，黄云海，耿欣，刘辉等。

目录 1范围 (3) 2引用和参考文献 (3) 2.1国家信息安全标准、指南 (3) 2.2国际信息安全标准 (4) 2.3行业规范 (5) 3术语定义和缩略语 (5) 3.1安全策略 (5) 3.2安全管理体系 (5) 3.3安全技术体系 (5) 3.4安全运维体系 (6) 3.5信息系统 (6) 3.6缩略语 (6) 4信息安全保障体系建设总体要求 (7) 4.1信息安全保障体系建设框架 (7) 4.2信息安全保障体系建设原则 (9) 4.3信息安全保障体系建设基本过程 (10) 5信息安全保障体系建设规划 (11) 6安全策略 (12) 6.1总体方针 (13) 6.2分项策略 (14) 7管理体系 (15)

信息安全等级保护(三级)建设方案

信息安全等级保护（三级）建设方案

目录 1. 前言 (3) 1.1 概述 (3) 1.2 相关政策及标准 (3) 2. 现状及需求分析 (5) 2.1. 现状分析 (5) 2.2. 需求分析 (5) 3. 等保三级建设总体规划 (6) 3.1. 网络边界安全建设 (6) 3.2. 日志集中审计建设 (6) 3.3. 安全运维建设 (6) 3.4. 等保及安全合规性自查建设 (6) 3.5. 建设方案优势总结 (7) 4. 等保三级建设相关产品介绍 (9) 4.1. 网络边界安全防护 (9) 4.1.1 标准要求 (9) 4.1.2 明御下一代防火墙 (10) 4.1.3 明御入侵防御系统（IPS） (13) 4.2. 日志及数据库安全审计 (15) 4.2.1 标准要求 (15) 4.2.2 明御综合日志审计平台 (17) 4.2.3 明御数据库审计与风险控制系统 (19) 4.3. 安全运维审计 (22) 4.3.1 标准要求 (22) 4.3.2 明御运维审计和风险控制系统 (23) 4.4. 核心WEB应用安全防护 (26) 4.3.1 标准要求 (26) 4.3.2 明御WEB应用防火墙 (27) 4.3.3 明御网站卫士 (30) 4.5. 等保及安全合规检查 (31) 4.5.1 标准要求 (31) 4.5.2 明鉴WEB应用弱点扫描器 (32) 4.5.3 明鉴数据库弱点扫描器 (34) 4.5.4 明鉴远程安全评估系统 (37) 4.5.5 明鉴信息安全等级保护检查工具箱 (38) 4.6. 等保建设咨询服务 (40) 4.6.1 服务概述 (40) 4.6.2 安全服务遵循标准 (41) 4.6.3 服务内容及客户收益 (41) 5. 等保三级建设配置建议 (42)

烟草行业安全管理暂行条例.doc

烟草行业安全管理暂行条例 （1988年10月28日中国烟草总公司中烟计[1988]167号文颁发） 第一章总则 第一条为贯彻“安全第一，预防为主”的方针，加强烟草行业生产（经营）的安全管理，确保国家财产安全和职工的安全与健康，促进烟草事业的发展，根据《中华人民共和国宪法》及国家有关规定，制订本条例。 第二条保护国家财产，改善劳动条件，保障职工在生产（经营）中的安全与健康，是社会主义企业管理的重要组成部分。在生产（经营）活动中，必须坚持“管生产（经营）必须管安全”的原则。各级主要领导（经营、厂长）对本企业的安全生产（经营）负有全面责任。 第二章组织机构和人员配备 第三条省、地（市）、县三级公司和生产企业应建立安全委员会。其职能主要是宣传贯彻安全工作方针、政策、法规、条例，在安全生产（经营）中发挥组织协调作用，讨论和处理重大事故。 第四条总公司要设置专门安全机构，省级公司根据生产（经营）规模，可设置专门安全机构或配备专职安全管理人员。 第五条行业内的生产企业，要设置专门安全机构，配备相应的专职安全管理人员。经营单位及其它事业单位，应根据本单位实际需要，配备专（兼）职安全管理人员。 第六条安全管理人员应具备原则性强、作风正派、熟悉安全管理、身体健康、高中以上文化程度等条件。有条件的大、中型生产企业，应配备安全工程技术人员。安全工程技术人员要保持相对稳定。 第七条各单位要配备专（兼）职消防管理人员，建立义务消防队。距当地公安消防队较远的大、中型生产企业，应根据实际情况，经当地消防部门批准，建立专职消防队。 第八条备有机动车辆的单位，根据当地有关规定和车辆数量情况，应配有专（兼）职交通安全员。 第三章安全管理 第九条各单位要按照国家的有关规定，结合实际，建立健全各项安全生产（经营）规章制度，明确责任，实现安全管理制度化、规范化。 第十条进行生产（经营）活动时，要认真执行“五同时”（在计划、布置、检查、总结、评比生产经营工作时，同时计划、布置、检查、总结、评比安全工作），制订生产（经营）承包方案，应有安全指标和安全保证措施。 第十一条一切建设项目要符合国家劳动安全和工业卫生的有关规定。安全部门要参加新建、改建、扩建及技术改造项目中有关安全措施的设计审查和竣工验收，监督“三同时”的实施。烟草机械的设计和制造，也应有先进可靠的安全措施，否则，禁止生产和使用。

国家信息安全等级第二级保护制度

国家信息安全等级保护制度 （二级） 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 （1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； （2）应批准进入机房的来访人员，限制和监控其活动范围。 1.3 防盗窃和防破坏 （1）应将主要设备放置在物理受限的范围内； （2）应对设备或主要部件进行固定，并设置明显的不易除去的标记； （3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； （4）应对介质分类标识，存储在介质库或档案室中； （5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1.4 防雷击 （1）机房建筑应设置避雷装置; （2）应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 （1）水管安装，不得穿过屋顶和活动地板下； （2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管； （3）应采取措施防止雨水通过屋顶和墙壁渗透； （4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 （1）计算机系统供电应与其他供电分开；

（2）应设置稳压器和过电压防护设备； （3）应提供短期的备用电力供应（如UPS设备）。 1.10 电磁防护 （1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； （2）电源线和通信线缆应隔离，避免互相干扰。 2、网络安全 2.1结构安全与网段划分 （1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要； （2）应设计和绘制与当前运行情况相符的网络拓扑结构图； （3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽； （4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径； （5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； （6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。 2.2 访问控制 （1）应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。 （2）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户； （3）应限制具有拨号访问权限的用户数量。 2.3 安全审计 （1）应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录； （2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息 2.4 边界完整性检查

某单位信息安全等级保护建设方案

xxxxxx 信息安全等级保护（三级）建设项目 设计方案 二〇一八年二月

文档控制 文档名称： xxxxxx 信息安全等保保护建设（三级）设计方案 版本信息

本文档版权归xxxxxx股份有限公司所有，未经xxxx有限公司允许，本文档里的任何内容都不得被用来宣传和传播。未经xxxx有限公司书面批准，文档或任何类似的资讯都不允许被发布。

目录 第一章项目概述 (5) 项目概述 (5) 项目建设背景 (6) 1.2.1法律要求 (6) 1.2.2政策要求 (8) 项目建设目标及内容 (8) 1.3.1项目建设目标 (8) 1.3.2建设内容 (9) 第二章现状与差距分析 (10) 现状概述 (10) 2.1.1信息系统现状 (10) 现状与差距分析 (12) 2.2.1物理安全现状与差距分析 (12) 2.2.2网络安全现状与差距分析 (21) 2.2.3主机安全现状与差距分析 (34) 2.2.4应用安全现状与差距分析 (46) 2.2.5数据安全现状与差距分析 (57) 2.2.6安全管理现状与差距分析 (61) 综合整改建议 (66) 2.3.1技术措施综合整改建议 (66) 2.3.2安全管理综合整改建议 (81)

v1.0 可编辑可修改 第三章安全建设目标 (83) 第四章安全整体规划 (85) 建设指导 (85) 4.1.1指导原则 (85) 4.1.2安全防护体系设计整体架构 (86) 安全技术规划 (88) 4.2.1安全建设规划拓朴图 (88) 4.2.2安全设备功能 (89) 建设目标规划 (95) 第五章工程建设 (97) 工程一期建设 (97) 5.1.1区域划分 (97) 5.1.2网络环境改造 (97) 5.1.3网络边界安全加固 (98) 5.1.4网络及安全设备部署 (99) 5.1.5安全管理体系建设服务 (132) 5.1.6安全加固服务 (149) 5.1.7应急预案和应急演练 (157) 5.1.8安全等保认证协助服务 (157) 工程二期建设 (159) 5.2.1安全运维管理平台（soc） (159) 5.2.2APT高级威胁分析平台 (163) 产品清单 (165)

烟草行业安全管理规定(新编版)

( 安全管理 ) 单位：_________________________ 姓名：_________________________ 日期：_________________________ 精品文档 / Word文档 / 文字可改 烟草行业安全管理规定(新编 版) Safety management is an important part of production management. Safety and production are in the implementation process

烟草行业安全管理规定(新编版) 第一章总则 第一条为全面加强烟草行业安全管理，建立安全生产长效机制，保障员工生命和国家财产安全，促进行业健康平稳发展，根据《中华人民共和国安全生产法》、《中华人民共和国劳动法》、《中华人民共和国消防法》及《国务院关于进一步加强企业安全生产工作的通知》（国发〔2010〕23号）等有关安全生产法律、法规、规定，结合烟草行业实际情况，制订本规定。 第二条烟草行业安全生产工作遵守国家有关安全生产法律法规，树立“以人为本”的思想、坚持“安全第一，预防为主，综合治理”的方针，实行“行业统一领导、部门依法监管、企业全面负责、员工积极参与”的管理体制。 第三条本规定适用于烟草行业所属（含控股）的生产经营单位、事业单位。

第二章组织管理 第四条国家局设立安全生产委员会并设置安全管理专职机构，负责领导和组织全行业的安全管理工作。 第五条各省级局（公司）、工业公司及所属生产经营单位设立以主要负责人为主任的安全生产委员会。其主要职责是：宣传贯彻国家安全生产工作方针、政策、法律、法规；研究、决定安全生产工作中的重大问题；审定本单位年度安全生产工作计划；组织、协调、指导本单位的安全管理工作；研究、提出对安全责任事故的处理意见等。 第六条各省级局（公司）、地市级局（公司）、烟叶复烤企业、烟叶产区的县级局，各省级工业公司、卷烟工厂，醋酸纤维有限公司，中国烟草机械集团有限责任公司下属企业，中国烟草实业发展中心下属企业等生产经营单位必须设立专职安全管理机构。生产经营单位的车间、班组要配备专（兼）职安全管理人员。 第七条各级安全管理机构要配备与工作要求条件相符合的安全管理人员。各级安全生产管理人员要保持相对稳定，安全管理部门

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。 根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面

信息安全等级保护管理办法公通字

信息安全等级保护管理办法（公通字[2007]43号） 作者 : 来源 : 公安部、国家保密局、国家密码管理局、 字体：大中小国务院信息工作办公室时间：2007-06-22 第一章总则 第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

烟草企业安全生产标准化规范

烟草企业安全生产标准化规范 1

烟草企业安全生产标准化规范 烟草企业安全生产标准化规范 第1部分:基础管理规范 1 范围 本部分规定了烟草企业安全生产标准化的基础管理规范要求。 本部分适用于烟草工业企业和商业企业,含烟叶复烤、卷烟制造、薄片制造、烟草收购、分拣配送、烟草营销等企业及下属的生产经营单位,不含烟草相关和投资的其它企业,如醋酸纤维、烟草印刷等企业;烟草相关和投资的其它企业可参照执行。 1.1 安全生产标准化 work safety standardization 经过建立安全生产责任制,制定安全管理制度和操作规程,排查治理隐患和监控重大危险源,建立预防机制,规范生产行为,使各生产环节符合有关安全生产法律法规和标准规范的要求,人、机、物、环处于良好的生产状态,不断加强企业安全生产规范化建设。 1.2 重点/重要危险源 key/important hazards 企业经过风险评价,确定的本企业相对风险较大、需重点加以控制的危险源,包括企业不可接受的风险。 2

危险作业 hazardous operation 企业确定的,作业风险较大的活动,应包括高处作业、动火作业、有限空间作业及其它危险性较大的作业。 1.3 事故隐患 accident potential 安全生产事故隐患,简称事故隐患;是指生产经营单位违反安全生产法律、法规、规章、标准、规程和安全生产管理制度的规定,或者因其它因素在生产经营活动中存在可能导致事故发生的物的危险状态、人的不安全行为和管理上的缺陷。 4 危险源管理 4.2.1 危险源管理要求 4.2.1.1危险源管理制度和资料应符合下列要求: ——建立危险源管理的制度,其中应规定危险源辨识、风险评价和控制措施策划的主管部门、范围、流程、方法、更 新频次、审批要求; ——企业下属各部门组织本部门危险源管理,建立部门危险源辨识、风险评价及控制措施清单或台帐;由外来务工人员 组成的部门应按本企业部门对待,组织其辨识危险源并形成 危险源及控制措施清单; ——在对危险源进行风险评价和控制措施策划的基础上,形成 3

烟草行业信息网络安全管理规定

烟草行业信息网络安全管理规定 第一章总则 第一条为加强烟草行业信息网络（以下简称信息网络）安全管理，提高安全防护能力，根据国家有关法律法规及行业信息化工作管理的有关要求，制订本规定。 第二条本规定适用于不涉及国家秘密及行业敏感信息的信息网络安全管理。 本规定所称的信息网络包括行业各单位的局域网、省域网，以及行业骨干网等行业内部使用的计算机网络。 第三条信息网络安全坚持积极防御、综合防护和谁主管谁负责、谁运行谁负责、谁使用谁负责的原则。 第四条行业各单位要定期开展网络安全教育和培训，提高全员信息安全防范意识。 第二章联网准入 第五条行业各级单位的信息网络与其他单位（含行业外单位）联网，要经上级网络主管部门批准。各单位信息网络结构调整需报国家局备案。 第六条行业各单位要对信息网络的互联网接入实行审批和登记制度，严格控制互联网接入数量，所有互联网接口要实行

统一安全策略。终端计算机通过互联网或其他网络远程接入信息网络，要使用数字证书方式进行身份认证。 第七条行业各单位对联入信息网络的应用系统、终端计算机实行注册管理。应用系统在上线前要经过安全评估，要符合行业有关信息安全标准和管理规定。联入信息网络的终端计算机要符合行业及本单位的安全要求，不得安装其他上网设备。 第三章网络保护 第八条信息网络采取分区分域安全防护策略。信息网络与互联网和行业外单位网络采取逻辑隔离措施及边界安全防护措施，有效防范违规接入和外联。 第九条信息网络域名和IP地址由国家局统一规划。各单位要对信息网络域名、IP地址和网络端口实行集中管理，关闭不必要的网络端口。 第十条行业各单位要对信息网络采取以下措施： 1.采取身份鉴别措施，有效防范非授权用户登录服务器、终端、应用系统以及安全保密设备。 2.采取访问控制措施，有效防范用户对信息的越权访问。 3.采取安全审计措施，准确记录用户和管理人员的操作行为，有效监控违规操作。 第十一条部署在信息网络上的应用系统要采取访问控制、

烟草行业安全管理规定

烟草行业安全管理 规定

烟草行业安全管理规定 第一章总则 第一条为全面加强烟草行业安全管理，建立安全生产长效机制，保障员工生命和国家财产安全，促进行业健康平稳发展，根据《中华人民共和国安全生产法》、《中华人民共和国劳动法》、《中华人民共和国消防法》及《国务院关于进一步加强企业安全生产工作的通知》（国发〔〕23号）等有关安全生产法律、法规、规定，结合烟草行业实际情况，制订本规定。 第二条烟草行业安全生产工作遵守国家有关安全生产法律法规，树立“以人为本”的思想、坚持“安全第一，预防为主，综合治理”的方针，实行“行业统一领导、部门依法监管、企业全面负责、员工积极参与”的管理体制。 第三条本规定适用于烟草行业所属（含控股）的生产经营单位、事业单位。 第二章组织管理 第四条国家局设立安全生产委员会并设置安全管理专职机构，负责领导和组织全行业的安全管理工作。 第五条各省级局（公司）、工业公司及所属生产经营单位设立以主要负责人为主任的安全生产委员会。其主要职责是：宣传贯彻国家安全生产工作方针、政策、法律、法规；研究、决定安全生产工作中

的重大问题；审定本单位年度安全生产工作计划；组织、协调、指导本单位的安全管理工作；研究、提出对安全责任事故的处理意见等。 第六条各省级局（公司）、地市级局（公司）、烟叶复烤企业、烟叶产区的县级局，各省级工业公司、卷烟工厂，醋酸纤维有限公司，中国烟草机械集团有限责任公司下属企业，中国烟草实业发展中心下属企业等生产经营单位必须设立专职安全管理机构。生产经营单位的车间、班组要配备专（兼）职安全管理人员。 第七条各级安全管理机构要配备与工作要求条件相符合的安全管理人员。各级安全生产管理人员要保持相对稳定，安全管理部门负责人因工作需要变动岗位，要事先听取上级安全管理部门的意见。各省级局（公司）、地市级局（公司）、烟叶复烤企业，各省级工业公司、卷烟工厂，醋酸纤维有限公司，中国烟草机械集团有限责任公司下属企业，中国烟草实业发展中心下属企业等生产经营单位要按照行业有关规定设置安全工程师岗位并将人员聘任到位。 第八条工会组织要协助本单位做好安全生产工作，参加职工因工伤亡事故的调查处理。 第三章安全管理 第九条各生产经营单位是安全生产的责任主体，必须建立健全以安全生产责任制为核心的安全生产规章制度和安全操作规程。坚持“谁主管、谁负责”的原则，明确各部门、各岗位相应的安全生产职

信息安全等级保护安全建设项目方案

信息系统安全等级保护安全建设项目 技术方案

目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)

4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)

烟草行业安全管理规定(正式)

编订：__________________ 单位：__________________ 时间：__________________ 烟草行业安全管理规定 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-9921-82 烟草行业安全管理规定(正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 第一章总则 第一条为全面加强烟草行业安全管理，建立安全生产长效机制，保障员工生命和国家财产安全，促进行业健康平稳发展，根据《中华人民共和国安全生产法》、《中华人民共和国劳动法》、《中华人民共和国消防法》及《国务院关于进一步加强企业安全生产工作的通知》（国发〔2010〕23号）等有关安全生产法律、法规、规定，结合烟草行业实际情况，制订本规定。 第二条烟草行业安全生产工作遵守国家有关安全生产法律法规，树立“以人为本”的思想、坚持“安全第一，预防为主，综合治理”的方针，实行“行业统一领导、部门依法监管、企业全面负责、员工积极参与”的管理体制。 第三条本规定适用于烟草行业所属（含控股）

的生产经营单位、事业单位。 第二章组织管理 第四条国家局设立安全生产委员会并设置安全管理专职机构，负责领导和组织全行业的安全管理工作。 第五条各省级局（公司）、工业公司及所属生产经营单位设立以主要负责人为主任的安全生产委员会。其主要职责是：宣传贯彻国家安全生产工作方针、政策、法律、法规；研究、决定安全生产工作中的重大问题；审定本单位年度安全生产工作计划；组织、协调、指导本单位的安全管理工作；研究、提出对安全责任事故的处理意见等。 第六条各省级局（公司）、地市级局（公司）、烟叶复烤企业、烟叶产区的县级局，各省级工业公司、卷烟工厂，醋酸纤维有限公司，中国烟草机械集团有限责任公司下属企业，中国烟草实业发展中心下属企业等生产经营单位必须设立专职安全管理机构。生产经营单位的车间、班组要配备专（兼）职安全管理人

信息安全等级保护建设方案

信息安全等级保护 建设方案 1 2020年4月19日

信息安全等级保护（二级）建设方案 3月 目录 1.项目概述错误!未定义书签。 1.1.项目建设目标 2 2020年4月19日

1.2.项目参考标准 错误!未定义书签。 1.3.方案设计原则 错误!未定义书签。 2. 系统现状分析........................................ 错误!未定义书签。 2.1.系统定级情况说明 错误!未定义书签。 2.2.业务系统说明 错误!未定义书签。 2.3.网络结构说明 错误!未定义书签。 3. 安全需求分析........................................ 错误!未定义书签。 3.1.物理安全需求分析 错误!未定义书签。 3.2.网络安全需求分析 错误!未定义书签。 3.3.主机安全需求分析 错误!未定义书签。 3.4.应用安全需求分析 错误!未定义书签。 3.5.数据安全需求分析 错误!未定义书签。 3.6.安全管理制度需求分析 3 2020年4月19日

4. 总体方案设计........................................ 错误!未定义书签。 4.1.总体设计目标 错误!未定义书签。 4.2.总体安全体系设计 错误!未定义书签。 4.3.总体网络架构设计 错误!未定义书签。 4.4.安全域划分说明 错误!未定义书签。 5. 详细方案设计技术部分................................ 错误!未定义书签。 5.1.物理安全 错误!未定义书签。 5.2.网络安全 错误!未定义书签。 5.2.1.安全域边界隔离技术 错误!未定义书签。 5.2.2.入侵防范技术 错误!未定义书签。 5.2.3.网页防篡改技术 错误!未定义书签。 5.2.4.链路负载均衡技术 错误!未定义书签。 5.2.5.网络安全审计 4 2020年4月19日

烟草行业安全管理规定正式样本

文件编号：TP-AR-L3907 There Are Certain Management Mechanisms And Methods In The Management Of Organizations, And The Provisions Are Binding On The Personnel Within The Jurisdiction, Which Should Be Observed By Each Party. （示范文本） 编制：_______________ 审核：_______________ 单位：_______________ 烟草行业安全管理规定 正式样本

烟草行业安全管理规定正式样本 使用注意：该管理制度资料可用在组织/机构/单位管理上，形成一定的管理机制和管理原则、管理方法以及管理机构设置的规范，条款对管辖范围内人员具有约束力需各自遵守。材料内容可根据实际情况作相应修改，请在使用时认真阅读。 第一章总则 第一条为全面加强烟草行业安全管理，建立安全生产长效机制，保障员工生命和国家财产安全，促进行业健康平稳发展，根据《中华人民共和国安全生产法》、《中华人民共和国劳动法》、《中华人民共和国消防法》及《国务院关于进一步加强企业安全生产工作的通知》（国发〔2010〕23号）等有关安全生产法律、法规、规定，结合烟草行业实际情况，制订本规定。 第二条烟草行业安全生产工作遵守国家有关安全生产法律法规，树立“以人为本”的思想、坚持

“安全第一，预防为主，综合治理”的方针，实行“行业统一领导、部门依法监管、企业全面负责、员工积极参与”的管理体制。 第三条本规定适用于烟草行业所属（含控股）的生产经营单位、事业单位。 第二章组织管理 第四条国家局设立安全生产委员会并设置安全管理专职机构，负责领导和组织全行业的安全管理工作。 第五条各省级局（公司）、工业公司及所属生产经营单位设立以主要负责人为主任的安全生产委员会。其主要职责是：宣传贯彻国家安全生产工作方针、政策、法律、法规；研究、决定安全生产工作中的重大问题；审定本单位年度安全生产工作计划；组织、协调、指导本单位的安全管理工作；研究、提出

国家信息安全等级保护制度介绍

信息安全等级保护制度介绍 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业