第一篇：小學信息安全等級保護,工作實施方案

小學教育網(wǎng)絡與信息安全等級保護工作

實 施 方 案

為加強我校信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進我校信息化建設。根據(jù)上級相關(guān)文件精神，結(jié)合我校實際，制訂本實施方案。

一、指導思想

以科學發(fā)展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我校基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)安全穩(wěn)定運行。

二、定級范圍

學校管理、辦公系統(tǒng)、教育教學系統(tǒng)、財務管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導

（一）工作分工。

由學校教務處牽頭，會同安全保衛(wèi)處等共同組織實施。學校辦公室負責定級工作的部門間協(xié)調(diào)。安全保衛(wèi)處負責定級工作的監(jiān)督。

電教組負責定級工作的檢查、指導、評審。

各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。

（二）協(xié)調(diào)領(lǐng)導機制。

1、成立領(lǐng)導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領(lǐng)導、協(xié)調(diào)工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監(jiān)督，指導安全保密方案制定。

2、成立由電教組牽頭的工作機構(gòu)，主要職責：在領(lǐng)導小組的領(lǐng)導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關(guān)會議；組織開展政策和技術(shù)培訓，掌握定級工作規(guī)范和技術(shù)要求，為定級工作打好基礎(chǔ)；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協(xié)調(diào)解決，形成定級工作總結(jié)并按時上報領(lǐng)導小組。

3、成立評審組，主要負責：一是為我校信息與網(wǎng)絡安全提供技術(shù)支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡安全突發(fā)公共事件的分析研判和為領(lǐng)導決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標準執(zhí)行。

（三）評審。初步確定信息系統(tǒng)安全保護等級后，上報學校信息系統(tǒng)安全等級保護評審組進行評審。

（四）備案。根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責備案工作。

五、定級工作要求

（一）加強領(lǐng)導，落實保障，落實責任。

（二）加強培訓，嚴格定級。為切實落實評審工作，保證定級準確，備案及時，全面提高我?；A(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平，保證定級工作順利進行，各部門要認真學習《信息安全等級保護管理辦法》、《信息系統(tǒng)安全保護等級定級指南（國標）》、等。

（三）積極配合、認真整改。各部門要認真按照評級要求，組織開展等級保護工作，切實做好重要信息系統(tǒng)的安全等級保護。

第二篇：信息安全等級保護工作實施方案

白魯?shù)A九年制學校

信息安全等級保護工作實施方案

為加強信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進我校信息化建設。根據(jù)商教發(fā)【2011】321號文件精神，結(jié)合我校實際，制訂本實施方案。

一、指導思想

以科學發(fā)展觀為指導，以黨的十七大、十七屆五中全會精神為指針，深入貫徹執(zhí)行《信息安全等級保護管理辦法》等文件精神，全面推進信息安全等級保護工作，維護我?；A(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)安全穩(wěn)定運行。

二、定級范圍

學校管理、辦公系統(tǒng)、教育教學系統(tǒng)、財務管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。

三、組織領(lǐng)導

（一）工作分工。定級工作由電教組牽頭，會同學校辦公室、安全保衛(wèi)處等共同組織實施。

學校辦公室負責定級工作的部門間協(xié)調(diào)。

安全保衛(wèi)處負責定級工作的監(jiān)督。

電教組負責定級工作的檢查、指導、評審。

各部門依據(jù)《信息安全等級保護管理辦法》和本方案要求，開展信息系統(tǒng)自評工作。

（二）協(xié)調(diào)領(lǐng)導機制。

1、成立領(lǐng)導小組，校長任組長，副校長任副組長、各部門負責人為成員，負責我校信息安全等級保護工作的領(lǐng)導、協(xié)調(diào)工作。督促各部門按照總體方案落實工作任務和責任，對等級保護工作整體推進情況進行檢查監(jiān)督，指導安全保密方案制定。

2、成立由電教組牽頭的工作機構(gòu)，主要職責：在領(lǐng)導小組的領(lǐng)導下，切實抓好我校定級保護工作的日常工作。做好組織各信息系統(tǒng)運營使用部門參加信息系統(tǒng)安全等級保護定級相關(guān)會議；組織開展政策和技術(shù)培訓，掌握定級工作規(guī)范和技術(shù)要求，為定級工作打好基礎(chǔ)；全面掌握學校各部門定級保護工作的進展情況和存在的問題，對存在的問題及時協(xié)調(diào)解決，形成定級工作總結(jié)并按時上報領(lǐng)導小組。

3、成立由赴省參加過計算機培訓的教師組成的評審組，主要負責：一是為我校信息與網(wǎng)絡安全提供技術(shù)支持與服務咨詢；二是參與信息安全等級保護定級評審工作；三是參與重要信息與網(wǎng)絡安全突發(fā)公共事件的分析研判和為領(lǐng)導決策提供依據(jù)。

四、主要內(nèi)容、工作步驟

（一）開展信息系統(tǒng)基本情況的摸底調(diào)查。各部門要組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》的要求，確定定級對象。

（二）初步確定安全保護等級。各使用部門要按照《信息安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草定級報告。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標準執(zhí)行。

（三）評審。初步確定信息系統(tǒng)安全保護等級后，上報學校信息系統(tǒng)安全等級保護評審組進行評審。

（四）備案。根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)統(tǒng)一由電教組負責備案工作。

五、定級工作要求

（一）加強領(lǐng)導，落實保障。各部門要落實責任，并于12月15日前將《信息系統(tǒng)安全等級保護備案表》、《信息系統(tǒng)安全等級保護定級報告》上報九年制學校。

（二）加強培訓，嚴格定級。為切實落實評審工作，保證定級準確，備案及時，全面提高我校基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平，保證定級工作順利進行，各部門要認真學習《信息安全等級保護管理辦法》、《文保處教育系統(tǒng)單位信息分級培訓材料》、《信息系統(tǒng)安全保護等級定級指南（國標）》、《信息系統(tǒng)安全等級保護基本要求（報批）》、《信息系統(tǒng)安全等級保護實施指南（報批）》等材料。

（三）積極配合、認真整改。各部門要認真按照評級要求，組織開展等級保護工作，切實做好重要信息系統(tǒng)的安全等級保護。

（四）自查自糾、完善制度。此次定級工作完成后，請各部門按照《信息安全等級保護管理辦法》和有關(guān)技術(shù)標準，依據(jù)系統(tǒng)所定保護等級的要求，定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查，并不斷完善安全管理制度，今后，若信息系統(tǒng)備案資料發(fā)生變化，應及時進行變更備案

第三篇：寧波市信息安全等級保護工作實施方案

寧波市信息安全等級保護工作實施方案

為進一步提高我市信息安全的保障能力和防護水平，確保國家基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的安全運行，維護國家安全和社會穩(wěn)定，保障公共利益，促進信息化建設，根據(jù)公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室《關(guān)于印發(fā)＜信息安全等級保護辦法＞（試行）的通知》（公通字2006［7］號）的要求，計劃用三年左右的時間在我市實施信息安全等級保護制度。

一、指導思想

以“三個代表”重要思想為指導，以黨的十六大、十六屆四中、五中全會精神以及國家信息化領(lǐng)導小組《關(guān)于加強信息安全保障工作的意見》為指針，深入貫徹執(zhí)行公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室《關(guān)于印發(fā)＜信息安全等級保護辦法＞（試行）的通知》的要求，全面推進信息安全等級保護工作，維護全市信息網(wǎng)絡安全。

二、工作目標

經(jīng)過三年努力，全面落實在信息安全規(guī)劃、建設、評估、運行、維護等各個環(huán)節(jié)的等級保護制度，信息安全風險評估、信息安全產(chǎn)品認證、信息安全應急協(xié)調(diào)機制等制度逐步確立，進一步提高我市信息安全的保障能力和防護水平，切實保護我市基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的安全。

三、職責分工 公安部門依法對運營、使用信息系統(tǒng)的單位的信息安全等級保護工作實施監(jiān)督管理。督促、指導信息安全等級保護工作；監(jiān)督、檢查信息系統(tǒng)運營、使用單位的安全保護管理制度和技術(shù)措施的落實情況；受理信息系統(tǒng)保護等級的備案；依法查處信息系統(tǒng)運營、使用單位和個人的違法行為。保密部門按照國家有關(guān)規(guī)定和技術(shù)標準，對涉及國家秘密的信息系統(tǒng)的設計實施、審批備案、運行維護和日常保密管理等工作進行監(jiān)督、檢查、指導。督促、指導涉及國家秘密的信息安全等級保護工作；受理涉及國家秘密的信息系統(tǒng)保護等級的備案；依法查處信息泄密、失密事件。密碼管理部門加強對涉及密碼管理的信息安全等級保護工作的監(jiān)督、檢查和指導，查處信息安全等級保護工作中違反密碼管理的行為和事件。信息化工作領(lǐng)導小組辦公室協(xié)調(diào)信息安全等級保護工作。指導、協(xié)調(diào)信息安全等級保護工作；組織制定信息安全等級保護工作規(guī)范；組織專家審定信息系統(tǒng)的保護等級;為相關(guān)單位提供信息安全等級保護的有關(guān)咨詢；根據(jù)預案規(guī)定，組織落實信息安全突發(fā)公共事件的應急處置工作。

四、方法步驟

（一）準備實施階段（2006年底前）。一是做好宣傳動員工作?！缎畔踩燃壉Ｗo辦法（試行）》已于今年3月1日起實施，各地各部門要積極協(xié)同新聞媒體，集中力量、集中時間，充分運用專題、專欄、評論等形式，組織開展征文、講座等活動，多角度、全方位地開展國家信息安全等級保護制度的宣傳，寧波市計算機信息網(wǎng)絡安全協(xié)會網(wǎng)站(http://004km.cn/)開設信息安全等級保護專欄，刊發(fā)國家重要法規(guī)文件、技術(shù)標準和綜述性文章；積極組織各地門戶網(wǎng)站和各部門政府網(wǎng)站，建立和完善信息安全等級保護制度的宣傳網(wǎng)頁、專欄；充分發(fā)揮協(xié)會民間社團作用，組織各部門、各單位的信息系統(tǒng)主管領(lǐng)導和安全員開展信息安全等級保護專業(yè)培訓，進一步提高對信息安全等級保護工作重要性和緊迫性的認識，掌握等級保護的基本業(yè)務知識，積極推動各有關(guān)單位做好信息安全等級保護工作的前期準備。二是做好基礎(chǔ)調(diào)查工作。根據(jù)公安部、國務院信息化工作辦公室《關(guān)于開展信息系統(tǒng)安全等級保護基礎(chǔ)調(diào)查工作的通知》要求，由公安機關(guān)負責、指導全市各重要信息系統(tǒng)運營、使用單位基礎(chǔ)數(shù)據(jù)調(diào)查工作，信息化工作領(lǐng)導小組辦公室做好基礎(chǔ)調(diào)查的協(xié)調(diào)工作。各級公安機關(guān)必須充分認識開展基礎(chǔ)調(diào)查的重要性、必要性和緊迫性，制訂工作方案，明確調(diào)查對象，落實專人負責，按規(guī)定做好調(diào)查和上報工作，確保調(diào)查工作取得實效。三是實施信息安全等級保護試點工作。公安機關(guān)要及時匯總?cè)兄匾畔⑾到y(tǒng)基礎(chǔ)調(diào)查情況，在不同領(lǐng)域、不同地區(qū)確定6-8家全市信息安全等級保護試點單位。各信息系統(tǒng)主管部門應根據(jù)《信息系統(tǒng)安全等級保護定級指南》（試用稿V3.2）(下載網(wǎng)站：http://004km.cn/)對本單位信息系統(tǒng)進行定級。由信息化工作領(lǐng)導小組辦公室組織專家審定信息系統(tǒng)的保護等級。定級在三、四級信息系統(tǒng)的運營、使用單位到公安機關(guān)進行備案登記工作。公安機關(guān)要督促定級在三、四級的信息系統(tǒng)的運營單位委托信息安全等級保護評測機構(gòu)對技術(shù)狀況、管理現(xiàn)狀、綜合分析進行安全評估，并取得評測報告。在測評基礎(chǔ)上，各信息系統(tǒng)運營、使用單位根據(jù)安全評估報告，制定安全保護整改策略，按照等級保護規(guī)定實施整改。各信息系統(tǒng)運營單位對整改后的系統(tǒng)再次委托信息安全等級保護評測機構(gòu)進行安全等級保護評測，如存在問題繼續(xù)整改，直至信息系統(tǒng)安全狀況達到標準。

（二）重點實行階段（2007年底前）。一是建立等級保護工作規(guī)范。各部門、各信息系統(tǒng)運營使用單位、信息安全等級保護測試評估機構(gòu)要認真總結(jié)2006年全市信息安全等級保護工作的經(jīng)驗和問題，按照國家和省級信息安全等級保護辦法的要求，在基礎(chǔ)調(diào)查、等級評定、備案歸檔、安全評測、安全建設等方面建立工作規(guī)范，特別是公安機關(guān)、保密部門、密碼管理部門都要建立工作檔案，規(guī)范工作制度，建立信息安全等級保護的長效機制。二是在全市重要信息系統(tǒng)中實行等級保護制度。根據(jù)《信息安全等級保護辦法（試行）》要求，對涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)全面實行等級保護制度，按照行業(yè)劃分，會同重要信息系統(tǒng)的上級主管部門，從定級、備案、評估、整改、檢驗等環(huán)節(jié)，建立本行業(yè)信息系統(tǒng)等級保護的實施方案，經(jīng)過一年的建設，使基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的核心要害部位得到有效保護，安全狀況得到較大改善，扭轉(zhuǎn)目前基本沒有保護措施或保護措施不到位的狀況。

（三）全面實行階段（2008年底前）。各單位在重點信息系統(tǒng)實行安全等級保護工作的基礎(chǔ)上，在全市范圍內(nèi)全面推行信息安全等級保護制度。由行業(yè)主管單位負責對本行業(yè)內(nèi)的信息系統(tǒng)進行全面歸類分析，將信息安全等級保護納入日常工作制度，對已經(jīng)實施等級保護制度的信息和信息系統(tǒng)的運營、使用單位及其主管部門，要進一步完善信息安全保護措施，對尚未實施等級保護制度的單位，按照等級保護的管理規(guī)范和技術(shù)標準認真組織落實。2008年底由市信息安全等級保護工作領(lǐng)導小組對此項工作檢查驗收，表彰獎勵先進，通報鞭策后進。

五、工作要求

（一）統(tǒng)一思想，提高認識。近年來，在市委、市政府的高度重視支持和有關(guān)部門共同努力下，我市信息安全保障工作取得了很大進展。但是我們要清醒地認識到，全市的信息安全保障工作尚處于起步階段，信息安全意識和安全防范能力薄弱，信息安全滯后于信息化發(fā)展；信息系統(tǒng)安全建設和管理的目標不明確；信息安全保障工作的重點不突出；信息安全監(jiān)督管理缺乏依據(jù)和標準，監(jiān)管措施有待到位，監(jiān)管體系尚待完善。為此，各級各部門要把思想統(tǒng)一到維護國家安全和社會穩(wěn)定上來，要從提高我市信息和信息系統(tǒng)安全建設的整體水平，保障信息安全與信息化建設協(xié)調(diào)發(fā)展，有效控制信息安全建設成本，優(yōu)化信息安全資源配置，加強信息安全管理的高度，進一步提高對信息安全等級保護工作重要性和緊迫性的認識。

（二）加強領(lǐng)導，落實職責。各地、各單位主要領(lǐng)導是信息安全等級保護工作第一責任人，負責對此項工作的組織協(xié)調(diào)，并指定專門部門或?qū)ｉT人員從事信息安全等級保護工作。公安機關(guān)要充實信息安全等級保護專門工作機構(gòu)人員，市保密局、密碼管理委員會和信息化工作領(lǐng)導小組辦公室要指定專人負責這項工作，各單位要根據(jù)各自職責制訂工作方案。

（三）積極匯報，爭取支持。各地各信息安全等級保護主管部門要廣泛發(fā)動，采取各種形式和渠道，加強與信息系統(tǒng)運營部門溝通、協(xié)調(diào)，積極爭取社會各界的支持。各信息系統(tǒng)運營、使用部門要積極向主管部門、上級領(lǐng)導請示匯報，爭取更多的人力、資金支持，切實把信息系統(tǒng)安全等級保護工作落實到實處。

（四）強化措施，確保實效。為切實貫徹實施信息安全等級保護制度，各地各級信息系統(tǒng)安全等級保護主管部門嚴格按照預定工作方案定人員、定崗位、定職責，保障措施到位、行動到位，真正做到困難再大目標不改，事情再多熱情不降，工作再忙精力不減，突出重點，強化措施，提高信息安全保障能力與水平。

（五）加強協(xié)調(diào)，提高效率。各信息安全等級保護工作領(lǐng)導小組成員單位要分工負責，密切配合，整合信息安全監(jiān)管力量，根據(jù)《信息安全等級保護辦法》（試行）規(guī)定的職責分工，互通信息，加強監(jiān)管，建立健全信息安全等級保護工作的協(xié)作機制，從政策宣傳、基礎(chǔ)調(diào)查、等級評測、定級建設、驗收備案等方面充分發(fā)揮組織、指導、監(jiān)管作用，進一步提高工作效率和水平，確保等級保護工作順利、有效實施。各級主管部門要從維護國家安全和社會穩(wěn)定的戰(zhàn)略高度，強力推進信息系統(tǒng)等級保護工作，為促進我市信息化發(fā)展提供堅實保障。

第四篇：浙江省信息安全等級保護工作實施方案

浙江省信息安全等級保護工作實施方案

為貫徹落實國家信息化領(lǐng)導小組《關(guān)于加強信息安全保障工作的意見》和公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關(guān)于信息安全等級保護工作的實施意見》以及《浙江省信息安全等級保護管理辦法》，根據(jù)國家信息安全等級保護工作協(xié)調(diào)小組的部署，結(jié)合我省實際，制訂本方案。

一.指導思想

以中央和省委、省政府有關(guān)加強信息安全保障工作的意見為指導，通過全面推行信息安全等級保護工作，提高我省信息安全的保障能力和防護水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設的健康發(fā)展。

二.工作目標

通過實行等級保護工作，使基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的核心要害部位得到有效保護，涉及國家安全、社會穩(wěn)定和公共利益的基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的保護狀況有較大改善。

通過全面推行信息安全等級保護制度，逐步將信息安全等級保護制度落實到信息系統(tǒng)安全規(guī)劃、建設、測評、運行維護和使用等各個環(huán)節(jié)，使我省信息安全保障狀況得到基本改善。

通過加強和規(guī)范信息安全等級保護管理，不斷提高我省信息安全保障能力，為維護信息網(wǎng)絡的安全穩(wěn)定，促進信息化發(fā)展服務。

三.組織管理

為加強信息安全等級保護工作的領(lǐng)導，成立由省公安廳牽頭，省保密局、省國家密碼管理局和省信息辦等有關(guān)部門參加的浙江省信息安全等級保護工作協(xié)調(diào)小組，負責我省信息安全等級保護工作的組織協(xié)調(diào)，并下設辦公室在省公安廳。設區(qū)市的公安機關(guān)、保密部門、密碼管理部門和信息化行政主管部門也要聯(lián)合成立由公安機關(guān)牽頭的信息安全等級保護工作協(xié)調(diào)小組，建立相應辦事機構(gòu)，負責本地信息安全等級保護工作。

信息系統(tǒng)的建設、運營、使用單位應成立由主管領(lǐng)導參加的信息安全等級保護工作領(lǐng)導小組，并確定職能部門負責本系統(tǒng)、本單位的信息安全等級保護工作。

省、設區(qū)的市信息化行政主管部門應當分別建立省、市信息系統(tǒng)保護等級專家評審組，并分別負責對涉及全省和全市的基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護等級進行審定。

為保證信息安全等級測評工作正常、有效開展，成立由省公安廳牽頭，省保密局、省國家密碼管理局、省信息辦和省國家安全廳等單位有關(guān)專家參加的測評機構(gòu)審查小組，對在我省基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)中開展測評工作的測評機構(gòu)及其主要業(yè)務、技術(shù)人員的資質(zhì)，以及安全保密測評資格進行專門審查，審查后公布推薦目錄，供我省基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)使用單位選擇使用。

四.工作內(nèi)容

（一）系統(tǒng)定級

信息系統(tǒng)運營、使用單位應按照國家有關(guān)規(guī)定，確定信息系統(tǒng)的安全保護等級，有主管部門的，應當經(jīng)主管部門審核批準。系統(tǒng)涉及國家秘密的部分，應當按照《涉密信息系統(tǒng)分級保護管理辦法》(國保發(fā)[2005]16號)和《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》（國家保密標準BMBl7-2006）確定信息系統(tǒng)的安全保護等級?？缡谢蛘呷〗y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

（二）定級評審

屬于基礎(chǔ)信息網(wǎng)絡和重要信息的系統(tǒng)運營、使用單位初步確定安全保護等級后，應聘請省或市信息系統(tǒng)保護等級專家評審組的專家進行評審。對擬確定為第四級、第五級信息系統(tǒng)的，運營、使用單位或主管部門應經(jīng)省信息化行政主管部門初審后，請國家信息安全等級保護專家評審委員會評審。其它定級評審，依照《浙江省信息安全等級評審實施細則》執(zhí)行。

（三）系統(tǒng)備案

安全保護等級為二級以上的信息系統(tǒng)，其運營、使用單位需在等級確定后的三十天內(nèi)，向設區(qū)的市級以上公安機關(guān)備案。安全保護等級為五級的，由國家指定的專門部門進行備案。系統(tǒng)涉及國家秘密的，向設區(qū)的市級以上保密工作部門備案。系統(tǒng)中使用密碼設備的，密碼設備要向設區(qū)的市級密碼管理部門備案。

省公安廳負責安全保護等級確定為第二級以上的省級基礎(chǔ)信息網(wǎng)絡、省級重要領(lǐng)域信息系統(tǒng)、跨設區(qū)市聯(lián)網(wǎng)運行的信息系統(tǒng)，及安全保護等級為四級的信息系統(tǒng)備案，其余需要備案的系統(tǒng)由其運營、使用單位到設區(qū)市公安機關(guān)備案。辦理備案手續(xù)時，應提交《信息系統(tǒng)安全等級保護備案表》，安全保護等級為三級以上的應同時提供備案表所列的“系統(tǒng)拓撲結(jié)構(gòu)及說明”等備案材料，并可利用輔助備案工具軟件生成備案電子數(shù)據(jù)一并向公安機關(guān)提交?！缎畔⑾到y(tǒng)安全等級保護備案表》和輔助備案工具軟件可在省公安廳門戶網(wǎng)站下載。

信息系統(tǒng)備案后，公安機關(guān)應當對信息系統(tǒng)的備案情況進行審核，發(fā)現(xiàn)不符合國家有關(guān)規(guī)定、標準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新確定。信息系統(tǒng)運營、使用單位重新確定信息系統(tǒng)安全等級后，應向公安機關(guān)重新備案。

（四）等級測評、整改

信息系統(tǒng)運營、使用單位在進行信息系統(tǒng)備案后，應當選擇測評機構(gòu)進行安全測評。測評機構(gòu)依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準，對信息系統(tǒng)安全等級狀況開展測評，給出相應的系統(tǒng)安全檢測評估報告。經(jīng)測評信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改，以符合安全保護等級要求。對符合等級保護要求的，公安機關(guān)應當頒發(fā)信息系統(tǒng)安全等級保護備案證明。安全保護等級為五級的信息系統(tǒng)，由國家指定的專門部門進行測評和整改。

（五）安全管理、建設

信息系統(tǒng)運營、使用單位應根據(jù)國家有關(guān)規(guī)定和技術(shù)標準，建立信息安全等級保護管理制度，落實安全保護責任。具體包括制定信息安全事件等級響應和處置制度；信息安全等級保護系統(tǒng)建設、運行維護制度；信息系統(tǒng)安全檢測和風險評估制度；安全教育和培訓制度等。根據(jù)檢測評估報告中反映出的安全問題，要按照《信息系統(tǒng)安全等級保護基本要求》和風險評估有關(guān)標準，確定系統(tǒng)安全需求，制定系統(tǒng)總體安全策略和相關(guān)制度，細化符合安全等級保護要求的系統(tǒng)安全技術(shù)框架和安全管理框架方案，明確安全建設計劃，并全面組織實施。

同時，基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的運營、使用單位，應當按照國家有關(guān)技術(shù)規(guī)范和標準，每年對系統(tǒng)的信息安全狀況進行一次全面的測評或者自查。第四級信息系統(tǒng)應當每半年至少進行一次測評或者自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行測評或者自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位要進行整改，直至達到安全保護等級要求。

五.監(jiān)督管理

根據(jù)信息安全等級保護工作的職責分工，公安機關(guān)負責信息安全等級保護工作的總體監(jiān)督、檢查、指導。保密工作部門負責信息安全等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導。密碼管理部門負責信息安全等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導。信息化行政主管部門負責信息安全等級保護工作的部門間協(xié)調(diào)。

公安機關(guān)要對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨市或全省統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)檢查，要會同其主管部門進行。

保密工作部門要加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評，對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評。

密碼管理部門要定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況，每兩年至少進行一次檢查和測評。六.工作安排

按照突出重點、統(tǒng)籌規(guī)劃，重點保障基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)安全的總體要求和原則，我省信息安全等級保護工作將分批、分階段進行。2007年8月至10月集中開展基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的定級工作。

我省重要信息系統(tǒng)包括：

1.黨政事務處理信息系統(tǒng)和重要網(wǎng)站； 2.金融、財稅、海關(guān)業(yè)務信息系統(tǒng)；

3.鐵路、機場、交通（港口）等業(yè)務信息系統(tǒng)；

4.醫(yī)療、社（醫(yī)）保、供水、電力、燃氣等業(yè)務信息系統(tǒng)； 5.涉及國家秘密的信息系統(tǒng)；

6.國家和省規(guī)定的其他重要信息系統(tǒng)。

基礎(chǔ)信息網(wǎng)絡主要包括公用通信網(wǎng)、廣播電視傳輸網(wǎng)等。

其它已運營、使用信息系統(tǒng)和新建信息系統(tǒng)按照相關(guān)規(guī)定開展等級保護工作。

（一）準備階段.設區(qū)的市公安機關(guān)、保密工作部門、密碼管理部門和信息化行政主管部門聯(lián)合成立公安機關(guān)牽頭的信息安全等級保護工作協(xié)調(diào)小組，建立相應辦事機構(gòu)，積極做好信息安全等級保護工作的宣傳、培訓和組織工作，全面推進本地信息安全等級保護工作。

設區(qū)的市信息化行政主管部門成立市信息系統(tǒng)安全等級保護專家評審組，積極做好信息安全等級保護工作的咨詢和定級評審工作。

各行業(yè)主管部門，信息系統(tǒng)運營、使用單位成立信息安全等級保護工作領(lǐng)導小組，對所屬信息系統(tǒng)進行摸底調(diào)查，全面掌握信息系統(tǒng)的業(yè)務類型、應用或服務范圍、系統(tǒng)結(jié)構(gòu)等基本情況，確定定級對象，并提出開展本行業(yè)、本單位等級保護工作的具體意見。

（二）組織實施階段.1.定級備案工作。基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)在2007年10月20日前完成定級、評審和初備案工作。其余信息系統(tǒng)在2008年6月30日前完成。

2.等級測評工作。基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)在2008年7月31日前完成等級測評工作。其余信息系統(tǒng)在2008年12月31日前完成。

3.整改建設工作?；A(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)在2009年6月30日前完成整改建設工作。其余信息系統(tǒng)在2009年10月31日前完成整改建設工作。

（三）鞏固完善階段

信息系統(tǒng)整改建設工作完成后，應當建立完善信息系統(tǒng)安全狀況日常檢測工作制度，加強對信息系統(tǒng)的日常維護和安全管理，及時消除安全隱患，確保信息的安全和系統(tǒng)的正常運行。

七.工作要求

（一）提高認識，加強領(lǐng)導。信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度。為此，各級公安機關(guān)、保密工作部門、密碼管理部門和信息化行政主管部門，以及重要信息系統(tǒng)運營、使用單位和主管部門，要充分認識開展信息安全等級保護工作的重要性、必要性，切實增強政治責任感和工作緊迫感，全面貫徹落實中央、國務院和省委、省政府的要求和部署，切實做好信息安全等級保護工作。

（二）明確責任，密切配合。信息安全等級保護工作由各級公安機關(guān)牽頭，會同保密工作部門、密碼管理部門和信息化行政主管部門共同組織實施。四部門要在明確責任的基礎(chǔ)上，加強協(xié)調(diào)配合，共同組織信息系統(tǒng)主管部門和運營、使用單位開展信息安全等級保護工作。各信息系統(tǒng)主管部門組織本行業(yè)、本部門信息系統(tǒng)運營、使用單位開展信息安全等級保護工作，督促其落實信息安全等級保護工作的各項任務。

（三）動員部署，開展培訓。各地區(qū)、各部門要按照統(tǒng)一部署，廣泛進行宣傳動員，加強培訓，指導本地區(qū)、本行業(yè)信息系統(tǒng)運營、使用單位按照信息安全等級保護工作的總體要求，分階段、分步驟完成各項任務。省公安廳將會同省保密局、省國家密碼管理局、省信息辦對省有關(guān)單位、行業(yè)以及各市公安機關(guān)、保密工作部門、國家密碼管理工作部門和信息化行政主管部門就信息安全等級保護工作規(guī)范、標準等內(nèi)容進行培訓。信息系統(tǒng)主管部門對所管轄的信息系統(tǒng)運營、使用單位進行培訓。各市參照上述培訓模式開展培訓工作。

（四）及時總結(jié)，形成規(guī)范。在等級保護工作中，各地、各部門要認真總結(jié)工作經(jīng)驗和存在的問題，探索我省在信息安全等級保護工作中有關(guān)監(jiān)督管理、安全評測、安全建設等的方面具體內(nèi)容、工作流程和程序，建立完善工作規(guī)范，為我省全面推行信息安全等級保護工作打好基礎(chǔ)。各階段有關(guān)工作情況應當及時報協(xié)調(diào)小組辦公室。

第五篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測；

9、應在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調(diào)節(jié)設施；溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領(lǐng)導簽署和單位蓋章等）----安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領(lǐng)導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構(gòu)

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關(guān)系表）

4、安全管理員應是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領(lǐng)導小組（最高領(lǐng)導是否由單位主管領(lǐng)導委任或授權(quán)的人員擔任）

7、應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領(lǐng)導小組或者安全管理委員會應定期召開會議）

9、應組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領(lǐng)導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術(shù)人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術(shù)人員的技術(shù)技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容）

4、應設定關(guān)鍵崗位，對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關(guān)系等。

10、應對各類人員（普通用戶、運維人員、單位領(lǐng)導等）進行安全教育、崗位技能和安全技術(shù)培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結(jié)果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應具有外部人員訪問重要區(qū)域的書面申請

14、應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）

五、系統(tǒng)建設管理

1、應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應具有系統(tǒng)建設/整改方案

3、應授權(quán)專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責

4、應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應定期進行調(diào)整和修訂

7、應具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關(guān)配套文件的維護記錄或修訂版本

8、應按照國家的相關(guān)規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應使用符合國家有關(guān)規(guī)定產(chǎn)品

10、應具有專門的部門負責產(chǎn)品的采購

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應具有軟件設計相關(guān)文檔，專人保管軟件設計的相關(guān)文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權(quán)和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關(guān)文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構(gòu)根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術(shù)培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術(shù)培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔）

13、應具有軟件設計相關(guān)文檔，專人保管軟件設計的相關(guān)文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權(quán)和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術(shù)指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關(guān)文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構(gòu)根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構(gòu)出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術(shù)培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術(shù)培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統(tǒng)運維管理

1、應指定專人或部門對機房的基本設施（如空調(diào)、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎(chǔ)設施的維護記錄，空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產(chǎn)管理的責任部門或人員

7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識

8、介質(zhì)存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質(zhì)使用管理記錄，應記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領(lǐng)導批準。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或?qū)ｉT部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經(jīng)過審批流程，由何人審批（審批記錄）

18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等

19、應有相關(guān)網(wǎng)絡監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警

20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應定期對監(jiān)控記錄進行分析、評審

22、應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告

23、應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進行集中管理

24、應指定專人負責維護網(wǎng)絡安全管理工作

25、應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設備運維維護工作記錄）

26、應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權(quán)與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理

30、應具有內(nèi)部網(wǎng)絡外聯(lián)的授權(quán)批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離等）

34、審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關(guān)培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應具有主管領(lǐng)導的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性

44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關(guān)文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。

48、應對系統(tǒng)相關(guān)人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。