第一篇：公安機關信息安全等級保護檢查工作規(guī)范(試行)

公安機關信息安全等級保護檢查工作規(guī)范（試行）

2009-06-29 10:13:18

來源：本站

網(wǎng)友評論 0條

第一條 為規(guī)范公安機關公共信息網(wǎng)絡安全監(jiān)察部門開展信息安全等級保護檢查工作，根據(jù)《信息安全等級保護管理辦法》（以下簡稱《管理辦法》），制定本規(guī)范。

第二條 公安機關信息安全等級保護檢查工作是指公安機關依據(jù)有關規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。

第三條 信息安全等級保護檢查工作由市（地）級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責實施。每年對第三級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次，每半年對第四級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次。

第四條 公安機關開展檢查工作，應當按照“嚴格依法，熱情服務”的原則，遵守檢查紀律，規(guī)范檢查程序，主動、熱情地為運營使用單位提供服務和指導。

第五條 信息安全等級保護檢查工作采取詢問情況，查閱、核對材料，調(diào)看記錄、資料，現(xiàn)場查驗等方式進行。

第六條 檢查的主要內(nèi)容：

（一）等級保護工作組織開展、實施情況。安全責任落實情況，信息系統(tǒng)安全崗位和安全管理人員設置情況；

（二）按照信息安全法律法規(guī)、標準規(guī)范的要求制定具體實施方案和落實情況；

（三）信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況；

（四）信息安全設施建設情況和信息安全整改情況；

（五）信息安全管理制度建設和落實情況；

（六）信息安全保護技術措施建設和落實情況；

（七）選擇使用信息安全產(chǎn)品情況；

（八）聘請測評機構按規(guī)范要求開展技術測評工作情況，根據(jù)測評結果開展整改情況；

（九）自行定期開展自查情況；

（十）開展信息安全知識和技能培訓情況。

第七條 檢查項目：

（一）等級保護工作部署和組織實施情況

1．下發(fā)開展信息安全等級保護工作的文件，出臺有關工作意見或方案，組織開展信息安全等級保護工作情況。

2．建立或明確安全管理機構，落實信息安全責任，落實安全管理崗位和人員。

3．依據(jù)國家信息安全法律法規(guī)、標準規(guī)范等要求制定具體信息安全工作規(guī)劃或?qū)嵤┓桨浮?/p>

4．制定本行業(yè)、本部門信息安全等級保護行業(yè)標準規(guī)范并組織實施。

（二）信息系統(tǒng)安全等級保護定級備案情況

1．了解未定級、備案信息系統(tǒng)情況以及第一級信息系統(tǒng)有關情況，對定級不準的提出調(diào)整建議。

2．現(xiàn)場查看備案的信息系統(tǒng)，核對備案材料，備案單位提交的備案材料與實際情況相符合情況。

3．補充提交《信息系統(tǒng)安全等級保護備案登記表》表四中有關備案材料。

4．信息系統(tǒng)所承載的業(yè)務、服務范圍、安全需求等發(fā)生變化情況，以及信息系統(tǒng)安全保護等級變更情況。

5．新建信息系統(tǒng)在規(guī)劃、設計階段確定安全保護等級并備案情況。

（三）信息安全設施建設情況和信息安全整改情況 1．部署和組織開展信息安全建設整改工作。

2．制定信息安全建設規(guī)劃、信息系統(tǒng)安全建設整改方案。

3．按照國家標準或行業(yè)標準建設安全設施，落實安全措施。

（四）信息安全管理制度建立和落實情況

1．建立基本安全管理制度，包括機房安全管理、網(wǎng)絡安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風險管理、資產(chǎn)和設備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。

2．建立安全責任制，系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員、安全審計員是否與本單位簽訂信息安全責任書。

3．建立安全審計管理制度、崗位和人員管理制度。

4．建立技術測評管理制度，信息安全產(chǎn)品采購、使用管理制度。

5．建立安全事件報告和處置管理制度，制定信息系統(tǒng)安全應急處置預案，定期組織開展應急處置演練。

6．建立教育培訓制度，定期開展信息安全知識和技能培訓。

（五）信息安全產(chǎn)品選擇和使用情況

1．按照《管理辦法》要求的條件選擇使用信息安全產(chǎn)品。

2．要求產(chǎn)品研制、生產(chǎn)單位提供相關材料。包括營業(yè)執(zhí)照，產(chǎn)品的版權或?qū)＠C書，提供的聲明、證明材料，計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證等。

3．采用國外信息安全產(chǎn)品的，經(jīng)主管部門批準，并請有關單位對產(chǎn)品進行專門技術檢測。

（六）聘請測評機構開展技術測評工作情況

1．按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統(tǒng)每年開展一次技術測評，對第四級信息系統(tǒng)每半年開展一次技術測評。

2．按照《管理辦法》規(guī)定的條件選擇技術測評機構。

3．要求技術測評機構提供相關材料。包括營業(yè)執(zhí)照、聲明、證明及資質(zhì)材料等。

4．與測評機構簽訂保密協(xié)議。

5．要求測評機構制定技術檢測方案。

6．對技術檢測過程進行監(jiān)督，采取了哪些監(jiān)督措施。

7．出具技術檢測報告，檢測報告是否規(guī)范、完整，檢查結果是否客觀、公正。

8．根據(jù)技術檢測結果，對不符合安全標準要求的，進一步進行安全整改。

（七）定期自查情況

1．定期對信息系統(tǒng)安全狀況、安全保護制度及安全技術措施的落實情況進行自查。第三級信息系統(tǒng)是否每年進行一次自查，第四級信息系統(tǒng)是否每半年進行一次自查。

2．經(jīng)自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位進一步進行安全建設整改。

第八條 各級公安機關按照“誰受理備案，誰負責檢查”的原則開展檢查工作。具體要求是：

對跨省或者全國聯(lián)網(wǎng)運行、跨市或者全省聯(lián)網(wǎng)運行等跨地域的信息系統(tǒng)，由部、省、市級公安機關分別對所受理備案的信息系統(tǒng)進行檢查。對轄區(qū)內(nèi)獨自運行的信息系統(tǒng)，由受理備案的公安機關獨自進行檢查。

第九條 對跨省或者全國聯(lián)網(wǎng)運行的信息系統(tǒng)進行檢查時，需要會同其主管部門。因故無法會同的，公安機關可以自行開展檢查。

第十條 公安機關開展檢查前，應當提前通知被檢查單位，并發(fā)送《信息安全等級保護監(jiān)督檢查通知書》。

第十一條 檢查時，檢查民警不得少于兩人，并應當向被檢查單位負責人或其他有關人員出示工作證件。第十二條 檢查中應當填寫《信息系統(tǒng)安全等級保護監(jiān)督檢查記錄》（以下簡稱 《監(jiān)督檢查記錄》）。檢查完畢后，《監(jiān)督檢查記錄》應當交被檢查單位主管人員閱后簽字；對記錄有異議或者拒絕簽名的，監(jiān)督、檢查人員應當注明情況?！侗O(jiān)督檢查記錄》應當存檔備查。[!--empirenews.page--] 第十三條 檢查時，發(fā)現(xiàn)不符合信息安全等級保護有關管理規(guī)范和技術標準要求，具有下列情形之一的，應當通知其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》（以下簡稱《整改通知》）。逾期不改正的，給予警告，并向其上級主管部門通報：

（一）未按照《管理辦法》開展信息系統(tǒng)定級工作的；

（二）信息系統(tǒng)安全保護等級定級不準確的；

（三）未按《管理辦法》規(guī)定備案的；

（四）備案材料與備案單位、備案系統(tǒng)不符合的；

（五）未按要求及時提交《信息系統(tǒng)安全等級保護備案登記表》表四的有關內(nèi)容的；

（六）系統(tǒng)發(fā)生變化，安全保護等級未及時進行調(diào)整并重新備案的；

（七）未按《管理辦法》規(guī)定落實安全管理制度、技術措施的；

（八）未按《管理辦法》規(guī)定開展安全建設整改和安全技術測評的；

（九）未按《管理辦法》規(guī)定選擇使用信息安全產(chǎn)品和測評機構的；

（十）未定期開展自查的；

（十一）違反《管理辦法》其他規(guī)定的。

第十四條 檢查發(fā)現(xiàn)需要限期整改的，應當出具《整改通知》，自檢查完畢之日起10個工作日內(nèi)送達被檢查單位。

第十五條 信息系統(tǒng)運營使用單位整改完成后，應當將整改情況報公安機關，公安機關應當對整改情況進行檢查。

第十六條 公安機關實施信息安全等級保護監(jiān)督檢查的法律文書和記錄，應當統(tǒng)一存檔備查。

第十七條 受理備案的公安機關應該配備必要的警力，專門負責信息安全等級保護監(jiān)督、檢查和指導。從事檢查工作的民警應當經(jīng)過省級以上公安機關組織的信息安全等級保護監(jiān)督檢查崗位培訓。

第十八條 公安機關對檢查工作中涉及的國家秘密、工作秘密、商業(yè)秘密和個人隱私等應當予以保密。

第十九條 公安機關進行安全檢查時不得收取任何費用。

第二十條 本規(guī)范所稱“以上”包含本數(shù)（級）。

第二十一條 本規(guī)范自發(fā)布之日起實施。

第二篇：公安機關信息安全等級保護檢查工作規(guī)范

公安機關信息安全等級保護檢查工作規(guī)范

第一條 為規(guī)范公安機關公共信息網(wǎng)絡安全監(jiān)察部門開 展信息安全等級保護檢查工作，根據(jù)《信息安全等級保護管 理辦法》（以下簡稱《管理辦法》），制定本規(guī)范。

第二條 公安機關信息安全等級保護檢查工作是指公安 機關依據(jù)有關規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運 營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理 制度、落實安全責任、落實責任部門和人員。

第三條 信息安全等級保護檢查工作由市（地）級以上 公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責實施。每年對第三 級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一 次，每半年對第四級信息系統(tǒng)的運營使用單位信息安全等級 保護工作檢查一次。

第四條 公安機關開展檢查工作，應當按照“嚴格依法，熱情服務”的原則，遵守檢查紀律，規(guī)范檢查程序，主動、熱情地為運營使用單位提供服務和指導。

第五條 信息安全等級保護檢查工作采取詢問情況，查 閱、核對材料，調(diào)看記錄、資料，現(xiàn)場查驗等方式進行。

第六條 檢查的主要內(nèi)容：

（一）等級保護工作組織開展、實施情況。安全責任落 實情況，信息系統(tǒng)安全崗位和安全管理人員設置情況；

（二）按照信息安全法律法規(guī)、標準規(guī)范的要求制定具 體實施方案和落實情況；

（三）信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備 案變動情況；

（四）信息安全設施建設情況和信息安全整改情況；

（五）信息安全管理制度建設和落實情況；

（六）信息安全保護技術措施建設和落實情況；

（七）選擇使用信息安全產(chǎn)品情況；

（八）聘請測評機構按規(guī)范要求開展技術測評工作情 況，根據(jù)測評結果開展整改情況；

（九）自行定期開展自查情況；

（十）開展信息安全知識和技能培訓情況。第七條 檢查項目：

（一）等級保護工作部署和組織實施情況

1．下發(fā)開展信息安全等級保護工作的文件，出臺有關 工作意見或方案，組織開展信息安全等級保護工作情況。

2．建立或明確安全管理機構，落實信息安全責任，落 實安全管理崗位和人員。3．依據(jù)國家信息安全法律法規(guī)、標準規(guī)范等要求制定 具體信息安全工作規(guī)劃或?qū)嵤┓桨浮?/p>

4．制定本行業(yè)、本部門信息安全等級保護行業(yè)標準規(guī) 范并組織實施。

（二）信息系統(tǒng)安全等級保護定級備案情況

1．了解未定級、備案信息系統(tǒng)情況以及第一級信息系 統(tǒng)有關情況，對定級不準的提出調(diào)整建議。

2．現(xiàn)場查看備案的信息系統(tǒng)，核對備案材料，備案單 位提交的備案材料與實際情況相符合情況。

3．補充提交《信息系統(tǒng)安全等級保護備案登記表》表 四中有關備案材料。

4．信息系統(tǒng)所承載的業(yè)務、服務范圍、安全需求等發(fā) 生變化情況，以及信息系統(tǒng)安全保護等級變更情況。

5．新建信息系統(tǒng)在規(guī)劃、設計階段確定安全保護等級 并備案情況。

（三）信息安全設施建設情況和信息安全整改情況

1．部署和組織開展信息安全建設整改工作。

2．制定信息安全建設規(guī)劃、信息系統(tǒng)安全建設整改方 案。3．按照國家標準或行業(yè)標準建設安全設施，落實安全 措施。

（四）信息安全管理制度建立和落實情況 1．建立基本安全管理制度，包括機房安全管理、網(wǎng)絡 安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風險管理、資產(chǎn)和 設備管理、數(shù)據(jù)及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。

2．建立安全責任制，系統(tǒng)管理員、網(wǎng)絡管理員、安全 管理員、安全審計員是否與本單位簽訂信息安全責任書。

3．建立安全審計管理制度、崗位和人員管理制度。

4．建立技術測評管理制度，信息安全產(chǎn)品采購、使用 管理制度。5．建立安全事件報告和處置管理制度，制定信息系統(tǒng) 安全應急處置預案，定期組織開展應急處置演練。

6．建立教育培訓制度，定期開展信息安全知識和技能 培訓。

（五）信息安全產(chǎn)品選擇和使用情況

1．按照《管理辦法》要求的條件選擇使用信息安全產(chǎn) 品。

2．要求產(chǎn)品研制、生產(chǎn)單位提供相關材料。包括營業(yè) 執(zhí)照，產(chǎn)品的版權或?qū)＠C書，提供的聲明、證明材料，計 算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證等。

3．采用國外信息安全產(chǎn)品的，經(jīng)主管部門批準，并請 有關單位對產(chǎn)品進行專門技術檢測。

（六）聘請測評機構開展技術測評工作情況

1．按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統(tǒng)每年開展一次技術測評，對第四級信息系 統(tǒng)每半年開展一次技術測評。2．按照《管理辦法》規(guī)定的條件選擇技術測評機構。

3．要求技術測評機構提供相關材料。包括營業(yè)執(zhí)照、聲明、證明及資質(zhì)材料等。

4．與測評機構簽訂保密協(xié)議。5．要求測評機構制定技術檢測方案。

6．對技術檢測過程進行監(jiān)督，采取了哪些監(jiān)督措施。

7．出具技術檢測報告，檢測報告是否規(guī)范、完整，檢 查結果是否客觀、公正。

8．根據(jù)技術檢測結果，對不符合安全標準要求的，進 一步進行安全整改。

（七）定期自查情況

1．定期對信息系統(tǒng)安全狀況、安全保護制度及安全技 術措施的落實情況進行自查。第三級信息系統(tǒng)是否每年進行 一次自查，第四級信息系統(tǒng)是否每半年進行一次自查。

2．經(jīng)自查，信息系統(tǒng)安全狀況未達到安全保護等級要 求的，運營、使用單位進一步進行安全建設整改。

第八條 各級公安機關按照“誰受理備案，誰負責檢查” 的原則開展檢查工作。具體要求是：

對跨省或者全國聯(lián)網(wǎng)運行、跨市或者全省聯(lián)網(wǎng)運行等跨 地域的信息系統(tǒng)，由部、省、市級公安機關分別對所受理備 案的信息系統(tǒng)進行檢查。對轄區(qū)內(nèi)獨自運行的信息系統(tǒng)，由受理備案的公安機關 獨自進行檢查。

第九條 對跨省或者全國聯(lián)網(wǎng)運行的信息系統(tǒng)進行檢查 時，需要會同其主管部門。因故無法會同的，公安機關可以 自行開展檢查。

第十條 公安機關開展檢查前，應當提前通知被檢查單 位，并發(fā)送《信息安全等級保護監(jiān)督檢查通知書》。

第十一條 檢查時，檢查民警不得少于兩人，并應當向 被檢查單位負責人或其他有關人員出示工作證件。

第十二條 檢查中應當填寫《信息系統(tǒng)安全等級保護監(jiān) 督檢查記錄》（以下簡稱《監(jiān)督檢查記錄》）。檢查完畢后，《監(jiān) 督檢查記錄》應當交被檢查單位主管人員閱后簽字；對記錄 有異議或者拒絕簽名的，監(jiān)督、檢查人員應當注明情況?！侗O(jiān) 督檢查記錄》應當存檔備查。

第十三條 檢查時，發(fā)現(xiàn)不符合信息安全等級保護有關 管理規(guī)范和技術標準要求，具有下列情形之一的，應當通知 其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護 限期整改通知書》（以下簡稱《整改通知》）。逾期不改正的，給予警告，并向其上級主管部門通報：

（一）未按照《管理辦法》開展信息系統(tǒng)定級工作的；

（二）信息系統(tǒng)安全保護等級定級不準確的；

（三）未按《管理辦法》規(guī)定備案的；

（四）備案材料與備案單位、備案系統(tǒng)不符合的；

（五）未按要求及時提交《信息系統(tǒng)安全等級保護備案 登記表》表四的有關內(nèi)容的；

（六）系統(tǒng)發(fā)生變化，安全保護等級未及時進行調(diào)整并 重新備案的；

（七）未按《管理辦法》規(guī)定落實安全管理制度、技術 措施的；

（八）未按《管理辦法》規(guī)定開展安全建設整改和安全 技術測評的；

（九）未按《管理辦法》規(guī)定選擇使用信息安全產(chǎn)品和 測評機構的；

（十）未定期開展自查的；

（十一）違反《管理辦法》其他規(guī)定的。

第十四條 檢查發(fā)現(xiàn)需要限期整改的，應當出具《整改 通知》，自檢查完畢之日起10個工作日內(nèi)送達被檢查單位。

第十五條 信息系統(tǒng)運營使用單位整改完成后，應當將 整改情況報公安機關，公安機關應當對整改情況進行檢查。

第十六條 公安機關實施信息安全等級保護監(jiān)督檢查的 法律文書和記錄，應當統(tǒng)一存檔備查。

第十七條 受理備案的公安機關應該配備必要的警力，專門負責信息安全等級保護監(jiān)督、檢查和指導。從事檢查工 作的民警應當經(jīng)過省級以上公安機關組織的信息安全等級 保護監(jiān)督檢查崗位培訓。第十八條 公安機關對檢查工作中涉及的國家秘密、工 作秘密、商業(yè)秘密和個人隱私等應當予以保密。

第十九條 公安機關進行安全檢查時不得收取任何費 用。第二十條 本規(guī)范所稱“以上”包含本數(shù)（級）。第二十一條 本規(guī)范自發(fā)布之日起實施。

第三篇：安機關信息安全等級保護檢查工作規(guī)范

安機關信息安全等級保護檢查工作規(guī)范

（一）開展信息系統(tǒng)安全等級測評，為信息系統(tǒng)安全提供保障。選擇由省級（含）以上信息安全等級保護工作協(xié)調(diào)小組辦公室審核并備案的測評機構，對第三級（含）以上信息系統(tǒng)開展等級測評工作。等級測評機構依據(jù)《信息系統(tǒng)安全等級保護測評要求》等標準對信息系統(tǒng)進行測評，對照相應等級安全保護要求進行差距分析，排查系統(tǒng)安全漏洞和隱患并分析其風險，提出改進建議，按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制等級測評報告。經(jīng)測評未達到安全保護要求的，要根據(jù)測評報告中的改進建議，制定整改方案并進一步進行整改。各部門要及時向受理備案的公安機關提交等級測評報告。對于重要部門的第二級信息系統(tǒng)，可以參照上述要求開展等級測評工作。

（二）開展信息安全等級保護安全管理制度建設，提高信息系統(tǒng)安全管理水平。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標準規(guī)范要求，建立健全并落實符合相應等級要求的安全管理制度：一是信息安全責任制，明確信息安全工作的主管領導、責任部門、人員及有關崗位的信息安全責任；二是人員安全管理制度，明確人員錄用、離崗、考核、教育培訓等管理內(nèi)容；三是系統(tǒng)建設管理制度，明確系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理內(nèi)容；四是系統(tǒng)運維管理制度，明確機房環(huán)境安全、存儲介質(zhì)安全、設備設施安全、安全監(jiān)控、網(wǎng)絡安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復、事件處置、應急預案等管理內(nèi)容。建立并落實監(jiān)督檢查機制，定期對各項制度的落實情況進行自查和監(jiān)督檢查。

（三）開展信息安全等級保護安全技術措施建設，提高信息系統(tǒng)安全防護能力。按照《管理辦法》、《信息系統(tǒng)安全等級保護基本要求》，參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)通用安全技術要求》、《信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)等級保護安全設計技術要求》等標準規(guī)范要求，結合行業(yè)特點和安全需求，制定符合相應等級要求的信息系統(tǒng)安全技術建設整改方案，開展信息安全等級保護安全技術措施建設，落實相應的物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等安全保護技術措施，建立并完善信息系統(tǒng)綜合防護體系，提高信息系統(tǒng)的安全防護能力和水平。

（四）通過組織開展信息安全教育培訓。一是解決安全問題，抵御攻擊破壞，減少安全事故，提高安全防范水平，推動網(wǎng)安基礎工作，提高我局信息安全保障水平。二是加強學習，加大宣傳力度，不斷創(chuàng)新工作思路和方法，充分調(diào)動多方面工作的積極性，共同做好等級保護工作。

第四篇：信息安全等級保護管理辦法(試行)

《信息安全等級保護管理辦法（試行）》

第一章 總則

第一條 為加強信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等國家有關法律法規(guī)，制定本辦法。

第二條 信息安全等級保護，是指對國家秘密信息及公民、法人和其他組織的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

第三條 信息系統(tǒng)的安全保護等級應當根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息和信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度，信息和信息系統(tǒng)應當達到的基本的安全保護水平等因素確定。

第四條 信息系統(tǒng)的安全保護等級分為以下五級：

（一）第一級為自主保護級，適用于一般的信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益。

（二）第二級為指導保護級，適用于一般的信息系統(tǒng)，其受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全。

（三）第三級為監(jiān)督保護級，適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成損害。

（四）第四級為強制保護級，適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害。

（五）第五級為?？乇Ｗo級，適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。

第五條 信息系統(tǒng)運營、使用單位及個人依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全職能部門對其信息安全等級保護工作進行監(jiān)督管理。

（一）第一級信息系統(tǒng)運營、使用單位或者個人可以依據(jù)國家管理規(guī)范和技術標準進行保護。

（二）第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護。必要時，國家有關信息安全職能部門可以對其信息安全等級保護工作進行指導。

（三）第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護，國家有關信息安全職能部門對其信息安全等級保護工作進行監(jiān)督、檢查。

（四）第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護，國家有關信息安全職能部門對其信息安全等級保護工作進行強制監(jiān)督、檢查。

（五）第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范和技術標準進行保護，國家指定的專門部門或者專門機構對其信息安全等級保護工作進行專門監(jiān)督、檢查。

第六條 公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。

涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。

國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協(xié)調(diào)。

第二章 信息安全等級保護工作的安全管理

第七條 信息系統(tǒng)的運營、使用單位應當依據(jù)本辦法和有關標準，確定信息系統(tǒng)的安全保護等級。有主管部門的，應當報主管部門審核批準。

第八條 信息系統(tǒng)的運營、使用單位應當根據(jù)據(jù)已確定的安全保護等級，依照本辦法和有關技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品，進行信息系統(tǒng)建設。

第九條 信息系統(tǒng)的運營、使用單位應當履行下列安全等級保護職責：

（一）落實信息安全等級保護的責任部門和人員，負責信息系統(tǒng)的安全等級保護管理工作；

（二）建立健全安全等級保護管理制度；

（三）落實安全等級保護技術標準要求；

（四）定期進行安全狀況檢測和風險評估；

（五）建立信息安全事件的等級響應、處置制度；

（六）負責對信息系統(tǒng)用戶的安全等級保護教育和培訓；

（七）其他應當履行的安全等級保護職責。

第十條 信息系統(tǒng)建設完成后，其運營、使用單位應當依據(jù)本辦法選擇具有國家相關技術資質(zhì)和安全資質(zhì)的測評單位，按照技術標準進行安全測評，符合要求的，方可投入使用。

第十一條 從事信息系統(tǒng)安全等級測評的單位，應當遵守國家有關法律法規(guī)和技術標準規(guī)定，保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，提供安全、客觀、公正的檢測評估服務。

測評單位資質(zhì)管理辦法由有關部門另行制定。

第十二條 第三級以上信息系統(tǒng)的運營、使用單位應當自系統(tǒng)投入運行之日起三十日內(nèi)，到所在地的省、自治區(qū)、直轄市公安機關指定的受理機構辦理備案手續(xù)，填寫《信息系統(tǒng)安全保護等級備案登記表》。國家另有規(guī)定的除外。

備案事項發(fā)生變更時，信息系統(tǒng)運營、使用單位或其主管部門應當自變更之日起三十日內(nèi)將變更情況報原備案機關。

第十三條 公安機關應當掌握信息系統(tǒng)運營、使用單位的備案情況，建立備案檔案，進行備案管理。發(fā)現(xiàn)不符合本辦法及有關標準的，應通知其予以糾正。

第十四條 公安機關應當監(jiān)督、檢查第三級和第四級信息系統(tǒng)運營、使用單位履行安全等級保護職責的情況。

對安全保護等級為三級的信息系統(tǒng)每年至少檢查一次，對安全保護等級為四級的信息系統(tǒng)每半年至少檢查一次。

第十五條 公安機關發(fā)現(xiàn)信息系統(tǒng)運營、使用單位未履行安全等級保護職責或未達到安全保護要求的，應當書面通知其整改。

第三章 信息安全等級保護的保密管理

第十六條 涉及國家秘密的信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準，結合系統(tǒng)實際情況進行保護。

不涉及國家秘密的信息系統(tǒng)不得處理國家秘密信息。

第十七條 涉及國家秘密的信息系統(tǒng)按照所處理信息的最高密級，由低到高劃分為秘密級、機密級和絕密級三個級別，其總體防護水平分別不低于三級、四級、五級的要求。

涉及國家秘密的信息系統(tǒng)建設單位應當依據(jù)《中華人民共和國保守國家秘密法》和國家有關秘密及其密級具體范圍的規(guī)定，確定系統(tǒng)處理信息的最高密級和系統(tǒng)的保護級別。

第十八條 涉及國家秘密的信息系統(tǒng)的設計實施、審批備案、運行維護和日常保密管理，按照國家保密工作部門的有關規(guī)定和技術標準執(zhí)行。

第十九條 各級保密工作部門應當對已投入使用的涉及國家秘密的信息系統(tǒng)組織檢查和測評。發(fā)現(xiàn)系統(tǒng)存在安全隱患或系統(tǒng)保護措施不符合分級保護管理規(guī)定和技術標準的，應當通知系統(tǒng)使用單位和管理部門限期整改。

對秘密級、機密級信息系統(tǒng)，每兩年至少進行一次保密檢查或系統(tǒng)測評；對絕密級信息系統(tǒng)，每年至少進行一次保密檢查或系統(tǒng)測評。

第四章 信息安全等級保護的密碼管理

第二十條 國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等，確定密碼的等級保護準則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應當遵照信息安全等級保護密碼管理規(guī)定和相關標準。

第二十一條 信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等，應嚴格執(zhí)行國家密碼管理的有關規(guī)定。

第二十二條 要充分運用密碼技術對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規(guī)定和技術標準執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的須遵照《商用密碼管理條例》和密碼分類分級保護有關規(guī)定與相關標準。

第二十三條 各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中，發(fā)現(xiàn)存在安全隱患或違反密碼管理相關規(guī)定或者未達到密碼相關標準要求的，按照國家密碼管理的相關規(guī)定進行處置。

第五章 法律責任

第二十四條 三級、四級信息系統(tǒng)和涉及國家秘密的信息系統(tǒng)的主管部門和運營、使用單位違反本辦法規(guī)定，有下列行為之一，造成嚴重損害的，由相關部門依照有關法律、法規(guī)予以處理：

（一）未按本辦法規(guī)定報請備案、審批的；

（二）未按等級保護技術標準要求進行系統(tǒng)安全設施建設和制度建設的；

（三）接到整改通知后，拒不整改的；

（四）違反保密管理規(guī)定的；

（五）違反密碼管理規(guī)定的；

（六）違反本辦法和其他規(guī)定的。

第六章 附則

第二十五條 軍隊的計算機信息系統(tǒng)安全保護工作，按照軍隊的有關法規(guī)執(zhí)行。

第二十六條 本管理辦法自2006年3月1日起施行。

第五篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統(tǒng)要求，藍色字體為第三級系統(tǒng)等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(tǒng)(三級明確要求)；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認證資質(zhì)，電子門禁系統(tǒng)運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質(zhì)有分類標識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應具有攝像、傳感等監(jiān)控報警系統(tǒng)；機房防盜報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；

7、應具有機房監(jiān)控報警設施的安全資質(zhì)材料、安裝測試和驗收報告；機房監(jiān)控報警系統(tǒng)的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質(zhì)的防雷保安器；具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和定期維護記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品

11、應具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調(diào)節(jié)設施；溫濕度自動調(diào)節(jié)設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統(tǒng)（如備用發(fā)電機）；備用供電系統(tǒng)運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）----安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統(tǒng)進行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現(xiàn)行技術措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調(diào)離手續(xù)，是否要求關鍵崗位調(diào)離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）

13、應具有外部人員訪問重要區(qū)域的書面申請

14、應具有外部人員訪問重要區(qū)域的登記記錄（記錄描述了外部人員訪問重要區(qū)域的進入時間、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）

五、系統(tǒng)建設管理

1、應明確信息系統(tǒng)的邊界和安全保護等級（具有定級文檔，明確信息系統(tǒng)安全保護等級）

2、應具有系統(tǒng)建設/整改方案

3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責

4、應具有系統(tǒng)的安全建設工作計劃（系統(tǒng)安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調(diào)整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關憑證，如銷售許可等，應使用符合國家有關規(guī)定產(chǎn)品

10、應具有專門的部門負責產(chǎn)品的采購

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產(chǎn)品前應預先對產(chǎn)品進行選型測試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準

15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業(yè)產(chǎn)品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質(zhì)量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統(tǒng)正式運行前，應委托第三方測試機構根據(jù)設計方案或合同要求對信息系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）

26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）

27、應具有系統(tǒng)交付時的技術培訓記錄

28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（如服務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。

29、應指定部門負責系統(tǒng)交付工作

30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等相關安全服務商簽訂的協(xié)議（文檔中有保密范圍、安全責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統(tǒng)運維管理

1、應指定專人或部門對機房的基本設施（如空調(diào)、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調(diào)、溫濕度控制等機房設施定期維護保養(yǎng)的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環(huán)境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態(tài)、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產(chǎn)管理的責任部門或人員

7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識

8、介質(zhì)存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質(zhì)使用管理記錄，應記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對介質(zhì)的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制

11、應對介質(zhì)的使用情況進行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的記錄）

12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工作環(huán)境的存儲介質(zhì)是否進行內(nèi)容加密并有領導批準。對保密性較高的介質(zhì)銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質(zhì)實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質(zhì)上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或?qū)ｉT部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經(jīng)過審批流程，由何人審批（審批記錄）

18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等

19、應有相關網(wǎng)絡監(jiān)控系統(tǒng)或技術措施能夠?qū)νㄐ啪€路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警

20、應具有日常運維的監(jiān)控日志記錄和運維交接日志記錄

21、應定期對監(jiān)控記錄進行分析、評審

22、應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網(wǎng)絡安全管理工作

25、應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（網(wǎng)絡設備運維維護工作記錄）

26、應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網(wǎng)絡設備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理

30、應具有內(nèi)部網(wǎng)絡外聯(lián)的授權批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄

33、應對系統(tǒng)管理員用戶進行分類（比如：劃分不同的管理角色，系統(tǒng)管理權限與安全審計權限分離等）

34、審計員應定期對系統(tǒng)審計日志進行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統(tǒng)的變更申請書，應具有主管領導的批準

42、系統(tǒng)管理員、數(shù)據(jù)庫管理員和網(wǎng)絡管理員應識別需定期備份的業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應定期執(zhí)行恢復程序，檢查和測試備份介質(zhì)的有效性

44、應有系統(tǒng)運維過程中發(fā)現(xiàn)的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執(zhí)行所需資金應做過預算并能夠落實。

48、應對系統(tǒng)相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。