第一篇：寧波市信息安全等級(jí)保護(hù)工作實(shí)施方案

寧波市信息安全等級(jí)保護(hù)工作實(shí)施方案

為進(jìn)一步提高我市信息安全的保障能力和防護(hù)水平，確保國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全運(yùn)行，維護(hù)國(guó)家安全和社會(huì)穩(wěn)定，保障公共利益，促進(jìn)信息化建設(shè)，根據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室《關(guān)于印發(fā)＜信息安全等級(jí)保護(hù)辦法＞（試行）的通知》（公通字2006［7］號(hào)）的要求，計(jì)劃用三年左右的時(shí)間在我市實(shí)施信息安全等級(jí)保護(hù)制度。

一、指導(dǎo)思想

以“三個(gè)代表”重要思想為指導(dǎo)，以黨的十六大、十六屆四中、五中全會(huì)精神以及國(guó)家信息化領(lǐng)導(dǎo)小組《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》為指針，深入貫徹執(zhí)行公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息化工作辦公室《關(guān)于印發(fā)＜信息安全等級(jí)保護(hù)辦法＞（試行）的通知》的要求，全面推進(jìn)信息安全等級(jí)保護(hù)工作，維護(hù)全市信息網(wǎng)絡(luò)安全。

二、工作目標(biāo)

經(jīng)過(guò)三年努力，全面落實(shí)在信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行、維護(hù)等各個(gè)環(huán)節(jié)的等級(jí)保護(hù)制度，信息安全風(fēng)險(xiǎn)評(píng)估、信息安全產(chǎn)品認(rèn)證、信息安全應(yīng)急協(xié)調(diào)機(jī)制等制度逐步確立，進(jìn)一步提高我市信息安全的保障能力和防護(hù)水平，切實(shí)保護(hù)我市基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。

三、職責(zé)分工 公安部門(mén)依法對(duì)運(yùn)營(yíng)、使用信息系統(tǒng)的單位的信息安全等級(jí)保護(hù)工作實(shí)施監(jiān)督管理。督促、指導(dǎo)信息安全等級(jí)保護(hù)工作；監(jiān)督、檢查信息系統(tǒng)運(yùn)營(yíng)、使用單位的安全保護(hù)管理制度和技術(shù)措施的落實(shí)情況；受理信息系統(tǒng)保護(hù)等級(jí)的備案；依法查處信息系統(tǒng)運(yùn)營(yíng)、使用單位和個(gè)人的違法行為。保密部門(mén)按照國(guó)家有關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)，對(duì)涉及國(guó)家秘密的信息系統(tǒng)的設(shè)計(jì)實(shí)施、審批備案、運(yùn)行維護(hù)和日常保密管理等工作進(jìn)行監(jiān)督、檢查、指導(dǎo)。督促、指導(dǎo)涉及國(guó)家秘密的信息安全等級(jí)保護(hù)工作；受理涉及國(guó)家秘密的信息系統(tǒng)保護(hù)等級(jí)的備案；依法查處信息泄密、失密事件。密碼管理部門(mén)加強(qiáng)對(duì)涉及密碼管理的信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查和指導(dǎo)，查處信息安全等級(jí)保護(hù)工作中違反密碼管理的行為和事件。信息化工作領(lǐng)導(dǎo)小組辦公室協(xié)調(diào)信息安全等級(jí)保護(hù)工作。指導(dǎo)、協(xié)調(diào)信息安全等級(jí)保護(hù)工作；組織制定信息安全等級(jí)保護(hù)工作規(guī)范；組織專(zhuān)家審定信息系統(tǒng)的保護(hù)等級(jí);為相關(guān)單位提供信息安全等級(jí)保護(hù)的有關(guān)咨詢(xún)；根據(jù)預(yù)案規(guī)定，組織落實(shí)信息安全突發(fā)公共事件的應(yīng)急處置工作。

四、方法步驟

（一）準(zhǔn)備實(shí)施階段（2006年底前）。一是做好宣傳動(dòng)員工作。《信息安全等級(jí)保護(hù)辦法（試行）》已于今年3月1日起實(shí)施，各地各部門(mén)要積極協(xié)同新聞媒體，集中力量、集中時(shí)間，充分運(yùn)用專(zhuān)題、專(zhuān)欄、評(píng)論等形式，組織開(kāi)展征文、講座等活動(dòng)，多角度、全方位地開(kāi)展國(guó)家信息安全等級(jí)保護(hù)制度的宣傳，寧波市計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)網(wǎng)站(http://004km.cn/)開(kāi)設(shè)信息安全等級(jí)保護(hù)專(zhuān)欄，刊發(fā)國(guó)家重要法規(guī)文件、技術(shù)標(biāo)準(zhǔn)和綜述性文章；積極組織各地門(mén)戶(hù)網(wǎng)站和各部門(mén)政府網(wǎng)站，建立和完善信息安全等級(jí)保護(hù)制度的宣傳網(wǎng)頁(yè)、專(zhuān)欄；充分發(fā)揮協(xié)會(huì)民間社團(tuán)作用，組織各部門(mén)、各單位的信息系統(tǒng)主管領(lǐng)導(dǎo)和安全員開(kāi)展信息安全等級(jí)保護(hù)專(zhuān)業(yè)培訓(xùn)，進(jìn)一步提高對(duì)信息安全等級(jí)保護(hù)工作重要性和緊迫性的認(rèn)識(shí)，掌握等級(jí)保護(hù)的基本業(yè)務(wù)知識(shí)，積極推動(dòng)各有關(guān)單位做好信息安全等級(jí)保護(hù)工作的前期準(zhǔn)備。二是做好基礎(chǔ)調(diào)查工作。根據(jù)公安部、國(guó)務(wù)院信息化工作辦公室《關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》要求，由公安機(jī)關(guān)負(fù)責(zé)、指導(dǎo)全市各重要信息系統(tǒng)運(yùn)營(yíng)、使用單位基礎(chǔ)數(shù)據(jù)調(diào)查工作，信息化工作領(lǐng)導(dǎo)小組辦公室做好基礎(chǔ)調(diào)查的協(xié)調(diào)工作。各級(jí)公安機(jī)關(guān)必須充分認(rèn)識(shí)開(kāi)展基礎(chǔ)調(diào)查的重要性、必要性和緊迫性，制訂工作方案，明確調(diào)查對(duì)象，落實(shí)專(zhuān)人負(fù)責(zé)，按規(guī)定做好調(diào)查和上報(bào)工作，確保調(diào)查工作取得實(shí)效。三是實(shí)施信息安全等級(jí)保護(hù)試點(diǎn)工作。公安機(jī)關(guān)要及時(shí)匯總?cè)兄匾畔⑾到y(tǒng)基礎(chǔ)調(diào)查情況，在不同領(lǐng)域、不同地區(qū)確定6-8家全市信息安全等級(jí)保護(hù)試點(diǎn)單位。各信息系統(tǒng)主管部門(mén)應(yīng)根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（試用稿V3.2）(下載網(wǎng)站：http://004km.cn/)對(duì)本單位信息系統(tǒng)進(jìn)行定級(jí)。由信息化工作領(lǐng)導(dǎo)小組辦公室組織專(zhuān)家審定信息系統(tǒng)的保護(hù)等級(jí)。定級(jí)在三、四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位到公安機(jī)關(guān)進(jìn)行備案登記工作。公安機(jī)關(guān)要督促定級(jí)在三、四級(jí)的信息系統(tǒng)的運(yùn)營(yíng)單位委托信息安全等級(jí)保護(hù)評(píng)測(cè)機(jī)構(gòu)對(duì)技術(shù)狀況、管理現(xiàn)狀、綜合分析進(jìn)行安全評(píng)估，并取得評(píng)測(cè)報(bào)告。在測(cè)評(píng)基礎(chǔ)上，各信息系統(tǒng)運(yùn)營(yíng)、使用單位根據(jù)安全評(píng)估報(bào)告，制定安全保護(hù)整改策略，按照等級(jí)保護(hù)規(guī)定實(shí)施整改。各信息系統(tǒng)運(yùn)營(yíng)單位對(duì)整改后的系統(tǒng)再次委托信息安全等級(jí)保護(hù)評(píng)測(cè)機(jī)構(gòu)進(jìn)行安全等級(jí)保護(hù)評(píng)測(cè)，如存在問(wèn)題繼續(xù)整改，直至信息系統(tǒng)安全狀況達(dá)到標(biāo)準(zhǔn)。

（二）重點(diǎn)實(shí)行階段（2007年底前）。一是建立等級(jí)保護(hù)工作規(guī)范。各部門(mén)、各信息系統(tǒng)運(yùn)營(yíng)使用單位、信息安全等級(jí)保護(hù)測(cè)試評(píng)估機(jī)構(gòu)要認(rèn)真總結(jié)2006年全市信息安全等級(jí)保護(hù)工作的經(jīng)驗(yàn)和問(wèn)題，按照國(guó)家和省級(jí)信息安全等級(jí)保護(hù)辦法的要求，在基礎(chǔ)調(diào)查、等級(jí)評(píng)定、備案歸檔、安全評(píng)測(cè)、安全建設(shè)等方面建立工作規(guī)范，特別是公安機(jī)關(guān)、保密部門(mén)、密碼管理部門(mén)都要建立工作檔案，規(guī)范工作制度，建立信息安全等級(jí)保護(hù)的長(zhǎng)效機(jī)制。二是在全市重要信息系統(tǒng)中實(shí)行等級(jí)保護(hù)制度。根據(jù)《信息安全等級(jí)保護(hù)辦法（試行）》要求，對(duì)涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)全面實(shí)行等級(jí)保護(hù)制度，按照行業(yè)劃分，會(huì)同重要信息系統(tǒng)的上級(jí)主管部門(mén)，從定級(jí)、備案、評(píng)估、整改、檢驗(yàn)等環(huán)節(jié)，建立本行業(yè)信息系統(tǒng)等級(jí)保護(hù)的實(shí)施方案，經(jīng)過(guò)一年的建設(shè)，使基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心要害部位得到有效保護(hù)，安全狀況得到較大改善，扭轉(zhuǎn)目前基本沒(méi)有保護(hù)措施或保護(hù)措施不到位的狀況。

（三）全面實(shí)行階段（2008年底前）。各單位在重點(diǎn)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)工作的基礎(chǔ)上，在全市范圍內(nèi)全面推行信息安全等級(jí)保護(hù)制度。由行業(yè)主管單位負(fù)責(zé)對(duì)本行業(yè)內(nèi)的信息系統(tǒng)進(jìn)行全面歸類(lèi)分析，將信息安全等級(jí)保護(hù)納入日常工作制度，對(duì)已經(jīng)實(shí)施等級(jí)保護(hù)制度的信息和信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部門(mén)，要進(jìn)一步完善信息安全保護(hù)措施，對(duì)尚未實(shí)施等級(jí)保護(hù)制度的單位，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)認(rèn)真組織落實(shí)。2008年底由市信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組對(duì)此項(xiàng)工作檢查驗(yàn)收，表彰獎(jiǎng)勵(lì)先進(jìn)，通報(bào)鞭策后進(jìn)。

五、工作要求

（一）統(tǒng)一思想，提高認(rèn)識(shí)。近年來(lái)，在市委、市政府的高度重視支持和有關(guān)部門(mén)共同努力下，我市信息安全保障工作取得了很大進(jìn)展。但是我們要清醒地認(rèn)識(shí)到，全市的信息安全保障工作尚處于起步階段，信息安全意識(shí)和安全防范能力薄弱，信息安全滯后于信息化發(fā)展；信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確；信息安全保障工作的重點(diǎn)不突出；信息安全監(jiān)督管理缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施有待到位，監(jiān)管體系尚待完善。為此，各級(jí)各部門(mén)要把思想統(tǒng)一到維護(hù)國(guó)家安全和社會(huì)穩(wěn)定上來(lái)，要從提高我市信息和信息系統(tǒng)安全建設(shè)的整體水平，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置，加強(qiáng)信息安全管理的高度，進(jìn)一步提高對(duì)信息安全等級(jí)保護(hù)工作重要性和緊迫性的認(rèn)識(shí)。

（二）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)職責(zé)。各地、各單位主要領(lǐng)導(dǎo)是信息安全等級(jí)保護(hù)工作第一責(zé)任人，負(fù)責(zé)對(duì)此項(xiàng)工作的組織協(xié)調(diào)，并指定專(zhuān)門(mén)部門(mén)或?qū)ｉT(mén)人員從事信息安全等級(jí)保護(hù)工作。公安機(jī)關(guān)要充實(shí)信息安全等級(jí)保護(hù)專(zhuān)門(mén)工作機(jī)構(gòu)人員，市保密局、密碼管理委員會(huì)和信息化工作領(lǐng)導(dǎo)小組辦公室要指定專(zhuān)人負(fù)責(zé)這項(xiàng)工作，各單位要根據(jù)各自職責(zé)制訂工作方案。

（三）積極匯報(bào)，爭(zhēng)取支持。各地各信息安全等級(jí)保護(hù)主管部門(mén)要廣泛發(fā)動(dòng)，采取各種形式和渠道，加強(qiáng)與信息系統(tǒng)運(yùn)營(yíng)部門(mén)溝通、協(xié)調(diào)，積極爭(zhēng)取社會(huì)各界的支持。各信息系統(tǒng)運(yùn)營(yíng)、使用部門(mén)要積極向主管部門(mén)、上級(jí)領(lǐng)導(dǎo)請(qǐng)示匯報(bào)，爭(zhēng)取更多的人力、資金支持，切實(shí)把信息系統(tǒng)安全等級(jí)保護(hù)工作落實(shí)到實(shí)處。

（四）強(qiáng)化措施，確保實(shí)效。為切實(shí)貫徹實(shí)施信息安全等級(jí)保護(hù)制度，各地各級(jí)信息系統(tǒng)安全等級(jí)保護(hù)主管部門(mén)嚴(yán)格按照預(yù)定工作方案定人員、定崗位、定職責(zé)，保障措施到位、行動(dòng)到位，真正做到困難再大目標(biāo)不改，事情再多熱情不降，工作再忙精力不減，突出重點(diǎn)，強(qiáng)化措施，提高信息安全保障能力與水平。

（五）加強(qiáng)協(xié)調(diào)，提高效率。各信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組成員單位要分工負(fù)責(zé)，密切配合，整合信息安全監(jiān)管力量，根據(jù)《信息安全等級(jí)保護(hù)辦法》（試行）規(guī)定的職責(zé)分工，互通信息，加強(qiáng)監(jiān)管，建立健全信息安全等級(jí)保護(hù)工作的協(xié)作機(jī)制，從政策宣傳、基礎(chǔ)調(diào)查、等級(jí)評(píng)測(cè)、定級(jí)建設(shè)、驗(yàn)收備案等方面充分發(fā)揮組織、指導(dǎo)、監(jiān)管作用，進(jìn)一步提高工作效率和水平，確保等級(jí)保護(hù)工作順利、有效實(shí)施。各級(jí)主管部門(mén)要從維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的戰(zhàn)略高度，強(qiáng)力推進(jìn)信息系統(tǒng)等級(jí)保護(hù)工作，為促進(jìn)我市信息化發(fā)展提供堅(jiān)實(shí)保障。

第二篇：信息安全等級(jí)保護(hù)工作實(shí)施方案

白魯?shù)A九年制學(xué)校

信息安全等級(jí)保護(hù)工作實(shí)施方案

為加強(qiáng)信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號(hào)文件精神，結(jié)合我校實(shí)際，制訂本實(shí)施方案。

一、指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會(huì)精神為指針，深入貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》等文件精神，全面推進(jìn)信息安全等級(jí)保護(hù)工作，維護(hù)我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。

二、定級(jí)范圍

學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財(cái)務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導(dǎo)

（一）工作分工。定級(jí)工作由電教組牽頭，會(huì)同學(xué)校辦公室、安全保衛(wèi)處等共同組織實(shí)施。

學(xué)校辦公室負(fù)責(zé)定級(jí)工作的部門(mén)間協(xié)調(diào)。

安全保衛(wèi)處負(fù)責(zé)定級(jí)工作的監(jiān)督。

電教組負(fù)責(zé)定級(jí)工作的檢查、指導(dǎo)、評(píng)審。

各部門(mén)依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和本方案要求，開(kāi)展信息系統(tǒng)自評(píng)工作。

（二）協(xié)調(diào)領(lǐng)導(dǎo)機(jī)制。

1、成立領(lǐng)導(dǎo)小組，校長(zhǎng)任組長(zhǎng)，副校長(zhǎng)任副組長(zhǎng)、各部門(mén)負(fù)責(zé)人為成員，負(fù)責(zé)我校信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門(mén)按照總體方案落實(shí)工作任務(wù)和責(zé)任，對(duì)等級(jí)保護(hù)工作整體推進(jìn)情況進(jìn)行檢查監(jiān)督，指導(dǎo)安全保密方案制定。

2、成立由電教組牽頭的工作機(jī)構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實(shí)抓好我校定級(jí)保護(hù)工作的日常工作。做好組織各信息系統(tǒng)運(yùn)營(yíng)使用部門(mén)參加信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)相關(guān)會(huì)議；組織開(kāi)展政策和技術(shù)培訓(xùn)，掌握定級(jí)工作規(guī)范和技術(shù)要求，為定級(jí)工作打好基礎(chǔ)；全面掌握學(xué)校各部門(mén)定級(jí)保護(hù)工作的進(jìn)展情況和存在的問(wèn)題，對(duì)存在的問(wèn)題及時(shí)協(xié)調(diào)解決，形成定級(jí)工作總結(jié)并按時(shí)上報(bào)領(lǐng)導(dǎo)小組。

3、成立由赴省參加過(guò)計(jì)算機(jī)培訓(xùn)的教師組成的評(píng)審組，主要負(fù)責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢(xún)；二是參與信息安全等級(jí)保護(hù)定級(jí)評(píng)審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開(kāi)展信息系統(tǒng)基本情況的摸底調(diào)查。各部門(mén)要組織開(kāi)展對(duì)所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求，確定定級(jí)對(duì)象。

（二）初步確定安全保護(hù)等級(jí)。各使用部門(mén)要按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，起草定級(jí)報(bào)告。涉密信息系統(tǒng)的等級(jí)確定按照國(guó)家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

（三）評(píng)審。初步確定信息系統(tǒng)安全保護(hù)等級(jí)后，上報(bào)學(xué)校信息系統(tǒng)安全等級(jí)保護(hù)評(píng)審組進(jìn)行評(píng)審。

（四）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)統(tǒng)一由電教組負(fù)責(zé)備案工作。

五、定級(jí)工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障。各部門(mén)要落實(shí)責(zé)任，并于12月15日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上報(bào)九年制學(xué)校。

（二）加強(qiáng)培訓(xùn)，嚴(yán)格定級(jí)。為切實(shí)落實(shí)評(píng)審工作，保證定級(jí)準(zhǔn)確，備案及時(shí)，全面提高我校基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平，保證定級(jí)工作順利進(jìn)行，各部門(mén)要認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》、《文保處教育系統(tǒng)單位信息分級(jí)培訓(xùn)材料》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（國(guó)標(biāo)）》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（報(bào)批）》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（報(bào)批）》等材料。

（三）積極配合、認(rèn)真整改。各部門(mén)要認(rèn)真按照評(píng)級(jí)要求，組織開(kāi)展等級(jí)保護(hù)工作，切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。

（四）自查自糾、完善制度。此次定級(jí)工作完成后，請(qǐng)各部門(mén)按照《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，依據(jù)系統(tǒng)所定保護(hù)等級(jí)的要求，定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應(yīng)及時(shí)進(jìn)行變更備案

第三篇：浙江省信息安全等級(jí)保護(hù)工作實(shí)施方案

浙江省信息安全等級(jí)保護(hù)工作實(shí)施方案

為貫徹落實(shí)國(guó)家信息化領(lǐng)導(dǎo)小組《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》和公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》以及《浙江省信息安全等級(jí)保護(hù)管理辦法》，根據(jù)國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組的部署，結(jié)合我省實(shí)際，制訂本方案。

一.指導(dǎo)思想

以中央和省委、省政府有關(guān)加強(qiáng)信息安全保障工作的意見(jiàn)為指導(dǎo)，通過(guò)全面推行信息安全等級(jí)保護(hù)工作，提高我省信息安全的保障能力和防護(hù)水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)的健康發(fā)展。

二.工作目標(biāo)

通過(guò)實(shí)行等級(jí)保護(hù)工作，使基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心要害部位得到有效保護(hù)，涉及國(guó)家安全、社會(huì)穩(wěn)定和公共利益的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的保護(hù)狀況有較大改善。

通過(guò)全面推行信息安全等級(jí)保護(hù)制度，逐步將信息安全等級(jí)保護(hù)制度落實(shí)到信息系統(tǒng)安全規(guī)劃、建設(shè)、測(cè)評(píng)、運(yùn)行維護(hù)和使用等各個(gè)環(huán)節(jié)，使我省信息安全保障狀況得到基本改善。

通過(guò)加強(qiáng)和規(guī)范信息安全等級(jí)保護(hù)管理，不斷提高我省信息安全保障能力，為維護(hù)信息網(wǎng)絡(luò)的安全穩(wěn)定，促進(jìn)信息化發(fā)展服務(wù)。

三.組織管理

為加強(qiáng)信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)，成立由省公安廳牽頭，省保密局、省國(guó)家密碼管理局和省信息辦等有關(guān)部門(mén)參加的浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組，負(fù)責(zé)我省信息安全等級(jí)保護(hù)工作的組織協(xié)調(diào)，并下設(shè)辦公室在省公安廳。設(shè)區(qū)市的公安機(jī)關(guān)、保密部門(mén)、密碼管理部門(mén)和信息化行政主管部門(mén)也要聯(lián)合成立由公安機(jī)關(guān)牽頭的信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組，建立相應(yīng)辦事機(jī)構(gòu)，負(fù)責(zé)本地信息安全等級(jí)保護(hù)工作。

信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)、使用單位應(yīng)成立由主管領(lǐng)導(dǎo)參加的信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組，并確定職能部門(mén)負(fù)責(zé)本系統(tǒng)、本單位的信息安全等級(jí)保護(hù)工作。

省、設(shè)區(qū)的市信息化行政主管部門(mén)應(yīng)當(dāng)分別建立省、市信息系統(tǒng)保護(hù)等級(jí)專(zhuān)家評(píng)審組，并分別負(fù)責(zé)對(duì)涉及全省和全市的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)等級(jí)進(jìn)行審定。

為保證信息安全等級(jí)測(cè)評(píng)工作正常、有效開(kāi)展，成立由省公安廳牽頭，省保密局、省國(guó)家密碼管理局、省信息辦和省國(guó)家安全廳等單位有關(guān)專(zhuān)家參加的測(cè)評(píng)機(jī)構(gòu)審查小組，對(duì)在我省基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)中開(kāi)展測(cè)評(píng)工作的測(cè)評(píng)機(jī)構(gòu)及其主要業(yè)務(wù)、技術(shù)人員的資質(zhì)，以及安全保密測(cè)評(píng)資格進(jìn)行專(zhuān)門(mén)審查，審查后公布推薦目錄，供我省基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)使用單位選擇使用。

四.工作內(nèi)容

（一）系統(tǒng)定級(jí)

信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)按照國(guó)家有關(guān)規(guī)定，確定信息系統(tǒng)的安全保護(hù)等級(jí)，有主管部門(mén)的，應(yīng)當(dāng)經(jīng)主管部門(mén)審核批準(zhǔn)。系統(tǒng)涉及國(guó)家秘密的部分，應(yīng)當(dāng)按照《涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法》(國(guó)保發(fā)[2005]16號(hào))和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》（國(guó)家保密標(biāo)準(zhǔn)BMBl7-2006）確定信息系統(tǒng)的安全保護(hù)等級(jí)?？缡谢蛘呷〗y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。

（二）定級(jí)評(píng)審

屬于基礎(chǔ)信息網(wǎng)絡(luò)和重要信息的系統(tǒng)運(yùn)營(yíng)、使用單位初步確定安全保護(hù)等級(jí)后，應(yīng)聘請(qǐng)省或市信息系統(tǒng)保護(hù)等級(jí)專(zhuān)家評(píng)審組的專(zhuān)家進(jìn)行評(píng)審。對(duì)擬確定為第四級(jí)、第五級(jí)信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或主管部門(mén)應(yīng)經(jīng)省信息化行政主管部門(mén)初審后，請(qǐng)國(guó)家信息安全等級(jí)保護(hù)專(zhuān)家評(píng)審委員會(huì)評(píng)審。其它定級(jí)評(píng)審，依照《浙江省信息安全等級(jí)評(píng)審實(shí)施細(xì)則》執(zhí)行。

（三）系統(tǒng)備案

安全保護(hù)等級(jí)為二級(jí)以上的信息系統(tǒng)，其運(yùn)營(yíng)、使用單位需在等級(jí)確定后的三十天內(nèi)，向設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。安全保護(hù)等級(jí)為五級(jí)的，由國(guó)家指定的專(zhuān)門(mén)部門(mén)進(jìn)行備案。系統(tǒng)涉及國(guó)家秘密的，向設(shè)區(qū)的市級(jí)以上保密工作部門(mén)備案。系統(tǒng)中使用密碼設(shè)備的，密碼設(shè)備要向設(shè)區(qū)的市級(jí)密碼管理部門(mén)備案。

省公安廳負(fù)責(zé)安全保護(hù)等級(jí)確定為第二級(jí)以上的省級(jí)基礎(chǔ)信息網(wǎng)絡(luò)、省級(jí)重要領(lǐng)域信息系統(tǒng)、跨設(shè)區(qū)市聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，及安全保護(hù)等級(jí)為四級(jí)的信息系統(tǒng)備案，其余需要備案的系統(tǒng)由其運(yùn)營(yíng)、使用單位到設(shè)區(qū)市公安機(jī)關(guān)備案。辦理備案手續(xù)時(shí)，應(yīng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，安全保護(hù)等級(jí)為三級(jí)以上的應(yīng)同時(shí)提供備案表所列的“系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明”等備案材料，并可利用輔助備案工具軟件生成備案電子數(shù)據(jù)一并向公安機(jī)關(guān)提交?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)備案表》和輔助備案工具軟件可在省公安廳門(mén)戶(hù)網(wǎng)站下載。

信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，發(fā)現(xiàn)不符合國(guó)家有關(guān)規(guī)定、標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新確定。信息系統(tǒng)運(yùn)營(yíng)、使用單位重新確定信息系統(tǒng)安全等級(jí)后，應(yīng)向公安機(jī)關(guān)重新備案。

（四）等級(jí)測(cè)評(píng)、整改

信息系統(tǒng)運(yùn)營(yíng)、使用單位在進(jìn)行信息系統(tǒng)備案后，應(yīng)當(dāng)選擇測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全測(cè)評(píng)。測(cè)評(píng)機(jī)構(gòu)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展測(cè)評(píng)，給出相應(yīng)的系統(tǒng)安全檢測(cè)評(píng)估報(bào)告。經(jīng)測(cè)評(píng)信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改，以符合安全保護(hù)等級(jí)要求。對(duì)符合等級(jí)保護(hù)要求的，公安機(jī)關(guān)應(yīng)當(dāng)頒發(fā)信息系統(tǒng)安全等級(jí)保護(hù)備案證明。安全保護(hù)等級(jí)為五級(jí)的信息系統(tǒng)，由國(guó)家指定的專(zhuān)門(mén)部門(mén)進(jìn)行測(cè)評(píng)和整改。

（五）安全管理、建設(shè)

信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)根據(jù)國(guó)家有關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)，建立信息安全等級(jí)保護(hù)管理制度，落實(shí)安全保護(hù)責(zé)任。具體包括制定信息安全事件等級(jí)響應(yīng)和處置制度；信息安全等級(jí)保護(hù)系統(tǒng)建設(shè)、運(yùn)行維護(hù)制度；信息系統(tǒng)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估制度；安全教育和培訓(xùn)制度等。根據(jù)檢測(cè)評(píng)估報(bào)告中反映出的安全問(wèn)題，要按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和風(fēng)險(xiǎn)評(píng)估有關(guān)標(biāo)準(zhǔn)，確定系統(tǒng)安全需求，制定系統(tǒng)總體安全策略和相關(guān)制度，細(xì)化符合安全等級(jí)保護(hù)要求的系統(tǒng)安全技術(shù)框架和安全管理框架方案，明確安全建設(shè)計(jì)劃，并全面組織實(shí)施。

同時(shí)，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的運(yùn)營(yíng)、使用單位，應(yīng)當(dāng)按照國(guó)家有關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn)，每年對(duì)系統(tǒng)的信息安全狀況進(jìn)行一次全面的測(cè)評(píng)或者自查。第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次測(cè)評(píng)或者自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行測(cè)評(píng)或者自查。經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營(yíng)、使用單位要進(jìn)行整改，直至達(dá)到安全保護(hù)等級(jí)要求。

五.監(jiān)督管理

根據(jù)信息安全等級(jí)保護(hù)工作的職責(zé)分工，公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的總體監(jiān)督、檢查、指導(dǎo)。保密工作部門(mén)負(fù)責(zé)信息安全等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。密碼管理部門(mén)負(fù)責(zé)信息安全等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。信息化行政主管部門(mén)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的部門(mén)間協(xié)調(diào)。

公安機(jī)關(guān)要對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨市或全省統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)檢查，要會(huì)同其主管部門(mén)進(jìn)行。

保密工作部門(mén)要加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查。對(duì)秘密級(jí)、機(jī)密級(jí)信息系統(tǒng)每?jī)赡曛辽龠M(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)，對(duì)絕密級(jí)信息系統(tǒng)每年至少進(jìn)行一次保密檢查或者系統(tǒng)測(cè)評(píng)。

密碼管理部門(mén)要定期或者不定期對(duì)信息系統(tǒng)等級(jí)保護(hù)工作中密碼配備、使用和管理的情況進(jìn)行檢查和測(cè)評(píng)，對(duì)重要涉密信息系統(tǒng)的密碼配備、使用和管理情況，每?jī)赡曛辽龠M(jìn)行一次檢查和測(cè)評(píng)。六.工作安排

按照突出重點(diǎn)、統(tǒng)籌規(guī)劃，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全的總體要求和原則，我省信息安全等級(jí)保護(hù)工作將分批、分階段進(jìn)行。2007年8月至10月集中開(kāi)展基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的定級(jí)工作。

我省重要信息系統(tǒng)包括：

1.黨政事務(wù)處理信息系統(tǒng)和重要網(wǎng)站； 2.金融、財(cái)稅、海關(guān)業(yè)務(wù)信息系統(tǒng)；

3.鐵路、機(jī)場(chǎng)、交通（港口）等業(yè)務(wù)信息系統(tǒng)；

4.醫(yī)療、社（醫(yī)）保、供水、電力、燃?xì)獾葮I(yè)務(wù)信息系統(tǒng)； 5.涉及國(guó)家秘密的信息系統(tǒng)；

6.國(guó)家和省規(guī)定的其他重要信息系統(tǒng)。

基礎(chǔ)信息網(wǎng)絡(luò)主要包括公用通信網(wǎng)、廣播電視傳輸網(wǎng)等。

其它已運(yùn)營(yíng)、使用信息系統(tǒng)和新建信息系統(tǒng)按照相關(guān)規(guī)定開(kāi)展等級(jí)保護(hù)工作。

（一）準(zhǔn)備階段.設(shè)區(qū)的市公安機(jī)關(guān)、保密工作部門(mén)、密碼管理部門(mén)和信息化行政主管部門(mén)聯(lián)合成立公安機(jī)關(guān)牽頭的信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組，建立相應(yīng)辦事機(jī)構(gòu)，積極做好信息安全等級(jí)保護(hù)工作的宣傳、培訓(xùn)和組織工作，全面推進(jìn)本地信息安全等級(jí)保護(hù)工作。

設(shè)區(qū)的市信息化行政主管部門(mén)成立市信息系統(tǒng)安全等級(jí)保護(hù)專(zhuān)家評(píng)審組，積極做好信息安全等級(jí)保護(hù)工作的咨詢(xún)和定級(jí)評(píng)審工作。

各行業(yè)主管部門(mén)，信息系統(tǒng)運(yùn)營(yíng)、使用單位成立信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組，對(duì)所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，確定定級(jí)對(duì)象，并提出開(kāi)展本行業(yè)、本單位等級(jí)保護(hù)工作的具體意見(jiàn)。

（二）組織實(shí)施階段.1.定級(jí)備案工作?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)在2007年10月20日前完成定級(jí)、評(píng)審和初備案工作。其余信息系統(tǒng)在2008年6月30日前完成。

2.等級(jí)測(cè)評(píng)工作?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)在2008年7月31日前完成等級(jí)測(cè)評(píng)工作。其余信息系統(tǒng)在2008年12月31日前完成。

3.整改建設(shè)工作?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)在2009年6月30日前完成整改建設(shè)工作。其余信息系統(tǒng)在2009年10月31日前完成整改建設(shè)工作。

（三）鞏固完善階段

信息系統(tǒng)整改建設(shè)工作完成后，應(yīng)當(dāng)建立完善信息系統(tǒng)安全狀況日常檢測(cè)工作制度，加強(qiáng)對(duì)信息系統(tǒng)的日常維護(hù)和安全管理，及時(shí)消除安全隱患，確保信息的安全和系統(tǒng)的正常運(yùn)行。

七.工作要求

（一）提高認(rèn)識(shí)，加強(qiáng)領(lǐng)導(dǎo)。信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。為此，各級(jí)公安機(jī)關(guān)、保密工作部門(mén)、密碼管理部門(mén)和信息化行政主管部門(mén)，以及重要信息系統(tǒng)運(yùn)營(yíng)、使用單位和主管部門(mén)，要充分認(rèn)識(shí)開(kāi)展信息安全等級(jí)保護(hù)工作的重要性、必要性，切實(shí)增強(qiáng)政治責(zé)任感和工作緊迫感，全面貫徹落實(shí)中央、國(guó)務(wù)院和省委、省政府的要求和部署，切實(shí)做好信息安全等級(jí)保護(hù)工作。

（二）明確責(zé)任，密切配合。信息安全等級(jí)保護(hù)工作由各級(jí)公安機(jī)關(guān)牽頭，會(huì)同保密工作部門(mén)、密碼管理部門(mén)和信息化行政主管部門(mén)共同組織實(shí)施。四部門(mén)要在明確責(zé)任的基礎(chǔ)上，加強(qiáng)協(xié)調(diào)配合，共同組織信息系統(tǒng)主管部門(mén)和運(yùn)營(yíng)、使用單位開(kāi)展信息安全等級(jí)保護(hù)工作。各信息系統(tǒng)主管部門(mén)組織本行業(yè)、本部門(mén)信息系統(tǒng)運(yùn)營(yíng)、使用單位開(kāi)展信息安全等級(jí)保護(hù)工作，督促其落實(shí)信息安全等級(jí)保護(hù)工作的各項(xiàng)任務(wù)。

（三）動(dòng)員部署，開(kāi)展培訓(xùn)。各地區(qū)、各部門(mén)要按照統(tǒng)一部署，廣泛進(jìn)行宣傳動(dòng)員，加強(qiáng)培訓(xùn)，指導(dǎo)本地區(qū)、本行業(yè)信息系統(tǒng)運(yùn)營(yíng)、使用單位按照信息安全等級(jí)保護(hù)工作的總體要求，分階段、分步驟完成各項(xiàng)任務(wù)。省公安廳將會(huì)同省保密局、省國(guó)家密碼管理局、省信息辦對(duì)省有關(guān)單位、行業(yè)以及各市公安機(jī)關(guān)、保密工作部門(mén)、國(guó)家密碼管理工作部門(mén)和信息化行政主管部門(mén)就信息安全等級(jí)保護(hù)工作規(guī)范、標(biāo)準(zhǔn)等內(nèi)容進(jìn)行培訓(xùn)。信息系統(tǒng)主管部門(mén)對(duì)所管轄的信息系統(tǒng)運(yùn)營(yíng)、使用單位進(jìn)行培訓(xùn)。各市參照上述培訓(xùn)模式開(kāi)展培訓(xùn)工作。

（四）及時(shí)總結(jié)，形成規(guī)范。在等級(jí)保護(hù)工作中，各地、各部門(mén)要認(rèn)真總結(jié)工作經(jīng)驗(yàn)和存在的問(wèn)題，探索我省在信息安全等級(jí)保護(hù)工作中有關(guān)監(jiān)督管理、安全評(píng)測(cè)、安全建設(shè)等的方面具體內(nèi)容、工作流程和程序，建立完善工作規(guī)范，為我省全面推行信息安全等級(jí)保護(hù)工作打好基礎(chǔ)。各階段有關(guān)工作情況應(yīng)當(dāng)及時(shí)報(bào)協(xié)調(diào)小組辦公室。

第四篇：小學(xué)信息安全等級(jí)保護(hù),工作實(shí)施方案

小學(xué)教育網(wǎng)絡(luò)與信息安全等級(jí)保護(hù)工作

實(shí) 施 方 案

為加強(qiáng)我校信息安全等級(jí)保護(hù)，規(guī)范信息安全等級(jí)保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)我校信息化建設(shè)。根據(jù)上級(jí)相關(guān)文件精神，結(jié)合我校實(shí)際，制訂本實(shí)施方案。

一、指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，以黨的十七大、十七屆五中全會(huì)精神為指針，深入貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》等文件精神，全面推進(jìn)信息安全等級(jí)保護(hù)工作，維護(hù)我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。

二、定級(jí)范圍

學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財(cái)務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導(dǎo)

（一）工作分工。

由學(xué)校教務(wù)處牽頭，會(huì)同安全保衛(wèi)處等共同組織實(shí)施。學(xué)校辦公室負(fù)責(zé)定級(jí)工作的部門(mén)間協(xié)調(diào)。安全保衛(wèi)處負(fù)責(zé)定級(jí)工作的監(jiān)督。

電教組負(fù)責(zé)定級(jí)工作的檢查、指導(dǎo)、評(píng)審。

各部門(mén)依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和本方案要求，開(kāi)展信息系統(tǒng)自評(píng)工作。

（二）協(xié)調(diào)領(lǐng)導(dǎo)機(jī)制。

1、成立領(lǐng)導(dǎo)小組，校長(zhǎng)任組長(zhǎng)，副校長(zhǎng)任副組長(zhǎng)、各部門(mén)負(fù)責(zé)人為成員，負(fù)責(zé)我校信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門(mén)按照總體方案落實(shí)工作任務(wù)和責(zé)任，對(duì)等級(jí)保護(hù)工作整體推進(jìn)情況進(jìn)行檢查監(jiān)督，指導(dǎo)安全保密方案制定。

2、成立由電教組牽頭的工作機(jī)構(gòu)，主要職責(zé)：在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，切實(shí)抓好我校定級(jí)保護(hù)工作的日常工作。做好組織各信息系統(tǒng)運(yùn)營(yíng)使用部門(mén)參加信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)相關(guān)會(huì)議；組織開(kāi)展政策和技術(shù)培訓(xùn)，掌握定級(jí)工作規(guī)范和技術(shù)要求，為定級(jí)工作打好基礎(chǔ)；全面掌握學(xué)校各部門(mén)定級(jí)保護(hù)工作的進(jìn)展情況和存在的問(wèn)題，對(duì)存在的問(wèn)題及時(shí)協(xié)調(diào)解決，形成定級(jí)工作總結(jié)并按時(shí)上報(bào)領(lǐng)導(dǎo)小組。

3、成立評(píng)審組，主要負(fù)責(zé)：一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢(xún)；二是參與信息安全等級(jí)保護(hù)定級(jí)評(píng)審工作；三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開(kāi)展信息系統(tǒng)基本情況的摸底調(diào)查。各部門(mén)要組織開(kāi)展對(duì)所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求，確定定級(jí)對(duì)象。

（二）初步確定安全保護(hù)等級(jí)。各使用部門(mén)要按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)，起草定級(jí)報(bào)告。涉密信息系統(tǒng)的等級(jí)確定按照國(guó)家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

（三）評(píng)審。初步確定信息系統(tǒng)安全保護(hù)等級(jí)后，上報(bào)學(xué)校信息系統(tǒng)安全等級(jí)保護(hù)評(píng)審組進(jìn)行評(píng)審。

（四）備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)統(tǒng)一由電教組負(fù)責(zé)備案工作。

五、定級(jí)工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，落實(shí)保障，落實(shí)責(zé)任。

（二）加強(qiáng)培訓(xùn)，嚴(yán)格定級(jí)。為切實(shí)落實(shí)評(píng)審工作，保證定級(jí)準(zhǔn)確，備案及時(shí)，全面提高我?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平，保證定級(jí)工作順利進(jìn)行，各部門(mén)要認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（國(guó)標(biāo)）》、等。

（三）積極配合、認(rèn)真整改。各部門(mén)要認(rèn)真按照評(píng)級(jí)要求，組織開(kāi)展等級(jí)保護(hù)工作，切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。

第五篇：信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說(shuō)明、地線(xiàn)連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施）

2、應(yīng)具有有來(lái)訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來(lái)訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門(mén)禁系統(tǒng)(三級(jí)明確要求)；電子門(mén)禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門(mén)禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類(lèi)標(biāo)識(shí)；介質(zhì)分類(lèi)存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類(lèi)存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線(xiàn)上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門(mén)對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門(mén)檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線(xiàn)路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過(guò)正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門(mén)

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專(zhuān)職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問(wèn)等），審批部門(mén)是何部門(mén)，審批人是何人。審批程序：

8、應(yīng)與其它部門(mén)之間及內(nèi)部各部門(mén)管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開(kāi)會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn)（具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門(mén)/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過(guò)程）

2、應(yīng)對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限（離崗人員所有訪問(wèn)權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(kāi)（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類(lèi)人員（普通用戶(hù)、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問(wèn)控制（由專(zhuān)人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的書(shū)面申請(qǐng)

14、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的登記記錄（記錄描述了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專(zhuān)門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門(mén)/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷(xiāo)售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專(zhuān)人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔

20、應(yīng)指定專(zhuān)門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn)）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書(shū)）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專(zhuān)人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔

20、應(yīng)指定專(zhuān)門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn)）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書(shū)）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專(zhuān)人或部門(mén)對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門(mén)/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門(mén)和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開(kāi)座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門(mén)等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門(mén)或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專(zhuān)人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專(zhuān)用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤(pán)點(diǎn)（介質(zhì)歸檔和查詢(xún)的記錄、存檔介質(zhì)定期盤(pán)點(diǎn)的記錄）

12、對(duì)送出維修或銷(xiāo)毀的介質(zhì)如何管理，銷(xiāo)毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷(xiāo)毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷(xiāo)毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專(zhuān)用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類(lèi)的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類(lèi)設(shè)施、設(shè)備指定專(zhuān)人或?qū)ｉT(mén)部門(mén)進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€(xiàn)路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警

20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專(zhuān)人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線(xiàn)備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(lèi)（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門(mén)網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門(mén)批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書(shū)，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶(hù)進(jìn)行分類(lèi)（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專(zhuān)人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），對(duì)各類(lèi)防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書(shū)，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。