第一篇：基層單位信息系統(tǒng)安全等級保護三級管理制度-安全監(jiān)督和檢查管理規(guī)定

版本號：1.0.xxxx

信息系統(tǒng)安全監(jiān)督和檢查管理規(guī)定

第一章 總則

第一條 為了進一步規(guī)范我單位信息系統(tǒng)安全監(jiān)督和檢查管理工作，根據(jù)《信息安全等級保護管理辦法》、《信息系統(tǒng)安全管理要求》（GBT 20269-2006）和其他有關(guān)法律法規(guī)的規(guī)定，結(jié)合本單位實際，特制定本規(guī)定。

第二條 本規(guī)定適用于我單位信息系統(tǒng)安全管理人員和技術(shù)人員進行政務(wù)信息系統(tǒng)安全監(jiān)督和檢查管理工作，包括合法性檢查、依從性檢查、審計及監(jiān)管控制、責(zé)任認定等工作。

第三條 信息系統(tǒng)安全監(jiān)督和檢查管理工作的責(zé)任部門為單位信息中心。

第二章 合法性檢查

第四條 合法性檢查的內(nèi)容包括三個方面：知曉適用的法律、知識產(chǎn)權(quán)管理、保護證據(jù)記錄。

第五條 應(yīng)了解信息系統(tǒng)應(yīng)用范疇適用的所有法律法規(guī)；對信息系統(tǒng)的設(shè)計、操作、使用和管理，以及信息管理方面應(yīng)規(guī)避法律法規(guī)禁區(qū)，防止出現(xiàn)違法行為；應(yīng)保護組織機構(gòu)的數(shù)據(jù)信息和個人信息隱私；對于詳細而準(zhǔn)確的法律要求如有需要，應(yīng)從專業(yè)法律人員處獲得幫助；

第六條 應(yīng)尊重知識產(chǎn)權(quán)，涉及軟件開發(fā)的工作人員和承包商應(yīng)做到符合和遵守相關(guān)的法律、法規(guī)，應(yīng)防止發(fā)生侵犯版權(quán)的行為；如果重要應(yīng)用系統(tǒng)軟件是外包開發(fā)的，應(yīng)注意明確軟件版權(quán)有關(guān)問題，應(yīng)防止發(fā)生因軟件升級或改造引起侵犯軟件版權(quán)的行為；

第七條 數(shù)據(jù)庫記錄、審計日志、變更記錄、技術(shù)維護記錄、機房進出記錄、關(guān)鍵設(shè)備訪問記錄等為重要記錄，應(yīng)按照法律法規(guī)的要求進行保護，防止丟失、毀壞和被篡改；被作為證據(jù)的記錄，信息的內(nèi)容和保留的時間應(yīng)遵守國家法律法規(guī)的規(guī)定。

第三章 依從性檢查

第八條 依從性檢查的內(nèi)容包括三個方面：檢查和改進、安全策略依從性檢 1

查、技術(shù)依從性檢查。

第九條 每半年定期進行一次對安全管理活動的各個方面進行檢查和評估工作；對照安全策略和管理制度做到自管、自查、自評，并應(yīng)落實責(zé)任制；

第十條 每月定期進行一次檢查安全策略的遵守情況，重點檢查信息系統(tǒng)的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)管理員，保證其在應(yīng)有責(zé)任范圍內(nèi)能夠正確地執(zhí)行所有安全程序，能夠正確遵從組織機構(gòu)制定的安全策略；

第十一條 每年定期進行一次技術(shù)依從性檢查。對硬件和軟件的檢驗，以及技術(shù)依從檢查應(yīng)由有能力的、經(jīng)過授權(quán)的人員來進行；對于技術(shù)測試應(yīng)由有經(jīng)驗的系統(tǒng)工程師手工或使用軟件包進行并生成檢測結(jié)果，經(jīng)技術(shù)專家解釋并產(chǎn)生技術(shù)報告；根據(jù)檢查結(jié)果，對存在的缺陷進行不斷改進；

第四章 審計及監(jiān)管控制

第十二條 審計及監(jiān)管控制的內(nèi)容包括二個方面：審計控制、監(jiān)管控制。第十三條 審計活動應(yīng)每年進行一次，由獨立的審計機構(gòu)或人員對安全管理體系、信息系統(tǒng)的安全風(fēng)險控制、管理過程的有效性和正確性進行審計；對系統(tǒng)的審計活動進行規(guī)劃，應(yīng)制定審計的工作程序和流程、需求和責(zé)任，對審計過程進行控制，盡量減小中斷業(yè)務(wù)流程的風(fēng)險；應(yīng)加強安全事件發(fā)生后的審計；

第十四條 積極配合上級信息安全監(jiān)管職能部門進行的監(jiān)督、檢查。

第五章 責(zé)任認定

第十五條 責(zé)任認定的內(nèi)容包括二個方面：審計結(jié)果的責(zé)任認定、審計及監(jiān)管者責(zé)任的認定。

第十六條 對于審計及監(jiān)管過程發(fā)現(xiàn)的問題應(yīng)限期解決，同時要認定技術(shù)責(zé)任和管理責(zé)任，明確責(zé)任當(dāng)事人，認定相關(guān)領(lǐng)導(dǎo)者的責(zé)任，領(lǐng)導(dǎo)層應(yīng)就此提出問題解決辦法和責(zé)任處理意見，以及監(jiān)督問題解決情況；

第十七條 審計及監(jiān)管者應(yīng)按有關(guān)監(jiān)督和檢查的規(guī)定定期進行審計，逾期未進行審計及監(jiān)管，使本應(yīng)審計的問題因未審計而造成信息系統(tǒng)損失，應(yīng)承擔(dān)相應(yīng)的責(zé)任；

第六章 附則

第十八條 本規(guī)定由單位信息安全領(lǐng)導(dǎo)小組負責(zé)解釋。

第十九條 違反本規(guī)定，發(fā)生信息安全事件的，按照事件造成的損失和后果，依據(jù)國家有關(guān)法律法規(guī)進行處罰。

第二十條 本規(guī)定自發(fā)布之日起施行。

第二篇：基層單位信息系統(tǒng)安全等級保護三級管理制度-運行和維護管理規(guī)定

版本號：1.0.xxxx

信息系統(tǒng)運行和維護管理規(guī)定

第一章 總則

第一條 為了進一步規(guī)范我單位信息系統(tǒng)運行和維護管理工作，根據(jù)《信息安全等級保護管理辦法》、《信息系統(tǒng)安全管理要求》（GBT 20269-2006）和其他有關(guān)法律法規(guī)的規(guī)定，結(jié)合本單位實際，特制定本規(guī)定。

第二條 本規(guī)定適用于我單位信息系統(tǒng)安全管理人員和技術(shù)人員進行信息系統(tǒng)運行和維護管理工作，包括用戶管理、運行操作管理、運行維護管理、外包服務(wù)管理、安全機制保障、安全集中管理。

第三條 信息系統(tǒng)運行和維護管理的責(zé)任部門為我單位信息系統(tǒng)安全管理中心。

第二章 用戶管理

第四條 用戶管理的內(nèi)容包括五個方面：用戶分類管理、系統(tǒng)用戶管理、普通用戶管理、機構(gòu)外部用戶管理、臨時用戶管理。

第五條 應(yīng)按審查和批準(zhǔn)的用戶分類清單，建立用戶和分配權(quán)限。用戶分類清單應(yīng)包括信息系統(tǒng)的所有用戶的清單，以及各類用戶的權(quán)限；用戶權(quán)限發(fā)生變化時應(yīng)及時更改用戶清單內(nèi)容；必要時可以對有關(guān)用戶開啟審計功能。

第六條 系統(tǒng)用戶應(yīng)由信息安全職能部門的主管領(lǐng)導(dǎo)指定，授權(quán)應(yīng)以滿足其工作需要的最小權(quán)限為原則；系統(tǒng)用戶應(yīng)接受審計；對重要信息系統(tǒng)的系統(tǒng)用戶，應(yīng)進行人員的嚴(yán)格審查，符合要求的人員才能給予授權(quán)；對系統(tǒng)用戶應(yīng)能區(qū)分責(zé)任到個人，不應(yīng)以部門或組作為責(zé)任人；在關(guān)鍵信息系統(tǒng)中，對系統(tǒng)用戶的授權(quán)操作，必須有兩人在場，并經(jīng)雙重認可后方可操作；操作過程應(yīng)自動產(chǎn)生不可更改的審計日志。

第七條 普通用戶應(yīng)保護好口令等身份鑒別信息；發(fā)現(xiàn)系統(tǒng)的漏洞、濫用或違背安全行為應(yīng)及時報告；不應(yīng)透露與組織機構(gòu)有關(guān)的非公開信息；不應(yīng)故意進行違規(guī)的操作；不應(yīng)在不符合敏感信息保護要求的系統(tǒng)中保存和處理高敏感度的信息；不應(yīng)使用各種非正版軟件和不可信的自由軟件；應(yīng)在系統(tǒng)規(guī)定的權(quán)限內(nèi)進 1 行操作，必要時某些重要操作應(yīng)得到批準(zhǔn)；用戶應(yīng)保管好自己的身份鑒別信息載體，不得轉(zhuǎn)借他人。

第八條 應(yīng)對機構(gòu)外部用戶明確說明使用者的責(zé)任、義務(wù)和風(fēng)險，并要求提供合法使用的聲明；外部用戶應(yīng)保護口令等身份鑒別信息；外部用戶只能是應(yīng)用層的用戶；可對特定外部用戶提供專用通信通道、端口、特定的應(yīng)用或數(shù)據(jù)協(xié)議、以及專用設(shè)備等；在關(guān)鍵部位，一般不允許設(shè)置外部用戶。

第九條 臨時用戶的設(shè)置和期限必須經(jīng)過審批，使用完畢或到期應(yīng)及時刪除，設(shè)置與刪除均應(yīng)記錄備案；對主要部位的臨時用戶應(yīng)進行審計，并在刪除前進行風(fēng)險評估；在關(guān)鍵部位，一般不允許設(shè)置臨時用戶。

第三章 運行操作管理

第十條 運行操作管理的內(nèi)容包括七個方面：服務(wù)器操作管理、終端計算機操作管理、便攜機操作管理、網(wǎng)絡(luò)及安全設(shè)備操作管理、業(yè)務(wù)應(yīng)用操作管理、變更控制和重用管理、信息交換管理。

第十一條 對服務(wù)器的操作應(yīng)由授權(quán)的系統(tǒng)管理員實施；應(yīng)按操作規(guī)程實現(xiàn)服務(wù)器的啟動/停止、加電/斷電等操作；實現(xiàn)操作的身份鑒別管理；

第十二條 用戶在使用自己的終端計算機時，應(yīng)設(shè)置開機、屏幕保護、目錄共享口令；非組織機構(gòu)配備的終端計算機未獲批準(zhǔn)，不能在辦公場所使用；及時安裝經(jīng)過許可的軟件和補丁程序，不得自行安裝及使用其它軟件和自由下載軟件；未獲批準(zhǔn)，嚴(yán)禁使用Modem撥號、無線網(wǎng)卡等方式或另辟通路接入其它網(wǎng)絡(luò)；建立身份鑒別機制；

第十三條 便攜機需設(shè)置開機口令和屏?？诹?；因工作崗位變動不再需要使用便攜機時，應(yīng)及時辦理資產(chǎn)轉(zhuǎn)移或清退手續(xù)，并刪除機內(nèi)的敏感數(shù)據(jù)；在本地網(wǎng)絡(luò)工作時應(yīng)按終端計算機的要求執(zhí)行；在本地之外網(wǎng)絡(luò)接入過的便攜機，需要接入本地網(wǎng)絡(luò)前應(yīng)進行必要的安全檢查；

第十四條 對網(wǎng)絡(luò)及安全設(shè)備的操作應(yīng)由授權(quán)的系統(tǒng)管理員實施；應(yīng)按操作規(guī)程實現(xiàn)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的接入/斷開、啟動/停止、加電/斷電等操作；維護網(wǎng)絡(luò)和安全設(shè)備的運行環(huán)境及配置和服務(wù)設(shè)定；對實施網(wǎng)絡(luò)及安全設(shè)備操作的管理員應(yīng)進行身份鑒別；

第十五條 業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)對操作人員進行身份鑒別；業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)能夠 以菜單等方式限制操作人員的訪問權(quán)限；業(yè)務(wù)應(yīng)用操作程序應(yīng)形成正式文檔，需要進行改動時應(yīng)得到管理層授權(quán)；這些操作步驟應(yīng)指明具體執(zhí)行每個作業(yè)的指令，至少包括：指定需要處理和使用的信息；明確操作步驟，包括與其它系統(tǒng)的相互依賴性、操作起始和結(jié)束的時間；說明處理錯誤或其它異常情況的指令，系統(tǒng)出現(xiàn)故障時進行重新啟動和恢復(fù)的措施，以及在出現(xiàn)意外的操作或技術(shù)問題時需要技術(shù)支持的聯(lián)系方法；

第十六條 任何變更控制和設(shè)備重用必須經(jīng)過申報和審批才能進行，同時還有以下要求：注意識別重大變更，并進行記錄；評估這些變更的潛在影響；向所有相關(guān)人員通報變更細節(jié)；明確中止變更并從失敗變更中恢復(fù)的責(zé)任和處理方法；重用設(shè)備中原有信息的清除；

對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員、服務(wù)等的變更控制應(yīng)制度化； 對信息系統(tǒng)的任何變更必須考慮全面安全事務(wù)一致性。

第十七條 在公眾網(wǎng)站、內(nèi)部網(wǎng)站發(fā)布的信息，以及提供查詢的信息應(yīng)符合國家有關(guān)政策法規(guī)的規(guī)定；對所公布的信息應(yīng)采取適當(dāng)?shù)陌踩胧┍Ｗo其完整性；應(yīng)保護業(yè)務(wù)應(yīng)用中的信息交換的安全性，防止欺詐、合同糾紛以及泄露或修改信息事件的發(fā)生；

第四章 運行維護管理

第十八條 運行維護管理的內(nèi)容包括四個方面：日常運行安全管理、運行狀況監(jiān)控、軟件硬件維護管理、外部服務(wù)方訪問管理。

第十九條 應(yīng)通過正式授權(quán)程序委派專人負責(zé)系統(tǒng)運行的安全管理；應(yīng)建立運行值班等有關(guān)安全規(guī)章制度；應(yīng)正確實施為信息系統(tǒng)可靠運行而采取的各種檢測、監(jiān)控、審計、分析、備份及容錯等方法和措施；應(yīng)對運行安全進行監(jiān)督檢查；應(yīng)明確各個崗位人員對信息系統(tǒng)各類資源的安全責(zé)任；應(yīng)明確信息系統(tǒng)安全管理人員和普通用戶對信息系統(tǒng)資源的訪問權(quán)限；按風(fēng)險管理計劃和操作規(guī)程定期對信息系統(tǒng)的運行進行風(fēng)險分析與評估，并向管理層提交正式的風(fēng)險分析報告。

第二十條 所有的系統(tǒng)日志應(yīng)保留一定期限，不能被改變，只允許授權(quán)用戶訪問；日志應(yīng)有脫機保存的介質(zhì)；信息系統(tǒng)應(yīng)使用統(tǒng)一的時間，以確保記錄日志準(zhǔn)確；日志應(yīng)定期處理并產(chǎn)生報告；審計日志須經(jīng)授權(quán)方可查閱；應(yīng)告知用戶某些行為是會被審計的。第二十一條 應(yīng)明確信息系統(tǒng)的軟件、硬件維護的人員和責(zé)任，規(guī)定維護的時限，以及設(shè)備更新和替換的管理辦法；制定有關(guān)軟件、硬件維修的制度；對需要外出維修的設(shè)備，應(yīng)經(jīng)過審批，磁盤數(shù)據(jù)應(yīng)進行刪除；外部維修人員進入機房維修，應(yīng)經(jīng)過審批，并有專人負責(zé)陪同。

第二十二條 對外部服務(wù)方訪問的要求，應(yīng)經(jīng)過相應(yīng)的申報和審批程序；應(yīng)對外部服務(wù)方訪問建立相應(yīng)的安全管理制度；外部服務(wù)方訪問應(yīng)簽署保密合同；應(yīng)對外部服務(wù)方訪問進行風(fēng)險分析和評估；應(yīng)對外部服務(wù)方訪問實施嚴(yán)格控制；應(yīng)對外部服務(wù)方訪問實施監(jiān)視。

第五章 外包服務(wù)管理

第二十三條 外包服務(wù)管理的內(nèi)容包括三個方面：外包服務(wù)合同管理、外包服務(wù)商管理、外包服務(wù)的運行管理。

第二十四條 對由外部服務(wù)商承擔(dān)完成的外包服務(wù)，應(yīng)簽署正式的書面合同，至少包括：對符合法律要求的說明，對外包服務(wù)的風(fēng)險的說明，對外包服務(wù)合同各方的安全責(zé)任界定，對控制安全風(fēng)險應(yīng)采用的控制措施的說明，對外包服務(wù)風(fēng)險發(fā)生時應(yīng)采取措施的說明，對外包服務(wù)的期限、中止的條件和善后處理的事宜以及由此產(chǎn)生責(zé)任問題的說明，對審計人員權(quán)限的說明。

第二十五條 應(yīng)選擇具有相應(yīng)服務(wù)資質(zhì)并信譽好的外包服務(wù)商；對較為重要的業(yè)務(wù)應(yīng)用，應(yīng)在行業(yè)認可或者是經(jīng)過上級主管部門批準(zhǔn)的范圍內(nèi)，選擇具有相應(yīng)服務(wù)資質(zhì)并信譽好的可信的外包服務(wù)商；關(guān)鍵的或涉密的業(yè)務(wù)應(yīng)用，一般不應(yīng)采用外包服務(wù)方式。

第二十六條 對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運行的安全狀況應(yīng)進行監(jiān)控和檢查，應(yīng)定期進行評估，出現(xiàn)問題應(yīng)遵照合同規(guī)定及時處理和報告；當(dāng)出現(xiàn)重大安全問題或隱患時應(yīng)進行重新評估，提出改進意見，直至停止外包服務(wù)。

第六章 安全機制保障

第二十七條 安全機制保障的內(nèi)容包括七個方面：身份鑒別機制管理、訪問控制機制管理、系統(tǒng)安全管理、網(wǎng)絡(luò)安全管理、應(yīng)用系統(tǒng)安全管理、病毒防護管理、密碼管理。

第二十八條 對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員以及普通用戶，應(yīng)明確使用和保護身份鑒別機制的責(zé)任，采用不可偽造的鑒別 信息進行身份鑒別，采用有關(guān)身份鑒別和認證系統(tǒng)的管理維護措施；應(yīng)指定安全管理人員定期進行檢查，鑒別信息應(yīng)進行相應(yīng)的保護。

第二十九條 應(yīng)根據(jù)自主訪問控制機制的要求，由授權(quán)用戶為主、客體設(shè)置相應(yīng)訪問的參數(shù)；應(yīng)將自主訪問控制與審計密切結(jié)合，實現(xiàn)對自主訪問控制過程的審計，使訪問者必須為自己的行為負責(zé)；并保證最高管理層對自主訪問控制管理的掌握。

第三十條 應(yīng)對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)按其安全技術(shù)和機制的不同要求實施相應(yīng)的安全管理；應(yīng)通過正式授權(quán)程序委派專人負責(zé)系統(tǒng)安全管理；建立系統(tǒng)安全配置、備份等安全管理規(guī)章制度；按規(guī)章制度的要求及時進行補丁升級；

應(yīng)進行日常安全管理，包括對用戶安全使用進行指導(dǎo)和審計等；

應(yīng)根據(jù)訪問控制安全策略的要求，全面考慮和統(tǒng)一設(shè)置、維護用戶及主、客體的標(biāo)記信息。

第三十一條 應(yīng)對網(wǎng)絡(luò)按其安全技術(shù)和機制的不同要求實施相應(yīng)的安全管理；應(yīng)通過正式授權(quán)程序指定網(wǎng)絡(luò)安全管理人員；應(yīng)按有關(guān)規(guī)程對網(wǎng)絡(luò)安全進行定期評估，不斷完善網(wǎng)絡(luò)安全策略，建立、健全網(wǎng)絡(luò)安全管理和配置的規(guī)章制度；

第三十二條 應(yīng)對應(yīng)用系統(tǒng)按其安全技術(shù)和機制的不同要求實施相應(yīng)的安全管理；應(yīng)通過正式授權(quán)程序委派專人負責(zé)應(yīng)用系統(tǒng)的安全管理，應(yīng)明確管理范圍、管理事務(wù)、管理規(guī)程，以及應(yīng)用系統(tǒng)軟件的安全配置、備份等安全工作；

第三十三條 通過正式授權(quán)程序?qū)Σ《痉雷o委派專人負責(zé)檢查網(wǎng)絡(luò)和主機的病毒檢測并保存記錄；使用外部移動存儲設(shè)備之前應(yīng)進行病毒檢查；要求從不信任網(wǎng)絡(luò)上所接收的文件或郵件，在使用前應(yīng)首先檢查是否有病毒；對非在線的內(nèi)部計算機設(shè)備，以及外來或新增計算機做到入網(wǎng)前進行殺毒和補丁檢測；

第三十四條 應(yīng)按國家密碼主管部門的規(guī)定，對信息系統(tǒng)中使用的密碼算法和密鑰進行管理；應(yīng)按國家有關(guān)法律法規(guī)要求，對信息系統(tǒng)中包含密碼的軟、硬件信息處理模塊的進、出口進行管理；應(yīng)按國家密碼主管部門的規(guī)定，對信息系統(tǒng)中以密碼為基礎(chǔ)的安全機制實施分等級管理。

第七章 安全集中管理

第三十五條 安全集中管理的內(nèi)容包括三個方面：安全機制集中控管、安全信息集中管理、安全機制整合。第三十六條 安全機制集中控管要求能夠?qū)π畔⑾到y(tǒng)所涉及的計算機、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全機制實施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、協(xié)同防護，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，按照分布式多層次的管理結(jié)構(gòu)，進行分層分級聯(lián)合方式的集中安全管理，發(fā)揮安全機制的整體作用，提高安全防護的等級和水平。

第三十七條 將信息系統(tǒng)所涉及的計算機、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全信息實施統(tǒng)一管理、綜合分析，發(fā)揮安全信息的整體作用；通過對關(guān)鍵區(qū)域安全信息的集中管理，應(yīng)能夠?qū)﹃P(guān)鍵區(qū)域的安全信息的處理，采用相應(yīng)的訪問控制和保護措施；根據(jù)核心區(qū)域安全信息的需要，通過對安全信息的集中管理，制定專項的安全控制和保護措施。

第三十八條 安全機制整合要求包括：資產(chǎn)信息管理、網(wǎng)絡(luò)異常流量監(jiān)控、安全事件監(jiān)控管理、脆弱性管理、安全策略管理、安全預(yù)警管理。

第八章 附則

第三十九條 本規(guī)定由單位信息安全領(lǐng)導(dǎo)小組負責(zé)解釋。

第四十條 違反本規(guī)定，發(fā)生信息安全事件的，按照事件造成的損失和后果，依據(jù)國家有關(guān)法律法規(guī)進行處罰。

第四十一條 本規(guī)定自發(fā)布之日起施行。

第三篇：信息安全等級保護監(jiān)督檢查報告

信息安全等級保護監(jiān)督檢查報告

接縣公安局文件后，我單位對本單位信息安全等級保護工作進行了自查

一、等級保護工作組織開展、實施情況：嚴(yán)格按照文件精神組織開始了信息安全等級保護自查工作，主要檢查對象為本單位維護的翼城政府網(wǎng)；安全責(zé)任落實情況：按照“誰主管誰負責(zé)，誰運營誰負責(zé)”的原則開展工作，我單位負責(zé)人為第一責(zé)任人，對翼城政府網(wǎng)信息安全負直接責(zé)任，并接受信息安全監(jiān)管部門對開展等級保護工作的監(jiān)管；信息系統(tǒng)安全崗位和安全管理人員設(shè)置情況：本單位負責(zé)人主管信息系統(tǒng)安全工作，有安全管理員兩名。

二、按照信息安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求制定具體實施方案和落實情況：遵照有關(guān)法律法規(guī)，對翼城政府網(wǎng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,對翼城政府網(wǎng)信息安全保護等級進行了自主定級。

三、信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況：按照《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字?2007?861號），對本單位維護網(wǎng)站（翼城政府網(wǎng)）安全保護等級級別定位第二級。

四、信息安全設(shè)施建設(shè)情況和信息安全整改情況：鑒于

網(wǎng)站的性質(zhì)，無信息安全設(shè)施。

五、信息安全管理制度建設(shè)和落實情況：制定了翼城政府網(wǎng)信息安全管理制度，按照“誰主管誰負責(zé)”的原則開展工作，我單位負責(zé)人為第一責(zé)任人，對翼城政府網(wǎng)信息安全管理負直接責(zé)任，并接受上級單位的監(jiān)管。

六、信息安全保護技術(shù)措施建設(shè)和落實情況：對翼城政府網(wǎng)機房實施了24小時值班，操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、防病毒系統(tǒng)、網(wǎng)站軟件系統(tǒng)實時升級，發(fā)現(xiàn)安全隱患，第一時間由技術(shù)人員解決。

七、選擇使用信息安全產(chǎn)品情況：翼城政府網(wǎng)使用了銳捷網(wǎng)絡(luò)的XXX產(chǎn)品。

八、聘請測評機構(gòu)按規(guī)范要求開展技術(shù)測評工作情況，根據(jù)測評結(jié)果開展整改情況：暫無聘請測評機構(gòu)開展技術(shù)測評工作。

九、自行定期開展自查情況：每半年對翼城政府網(wǎng)進行一次信息系統(tǒng)安全保護自查。

十、開展信息安全知識和技能培訓(xùn)情況：主動學(xué)習(xí)信息安全法律法規(guī)，積極參加公安機關(guān)、上級主管部門組織的信息安全知識和技能培訓(xùn)。

翼城縣網(wǎng)絡(luò)中心

2011年8月23日

第四篇：西安市信息系統(tǒng)安全等級保護

西安市信息系統(tǒng)安全等級保護

責(zé)

任

書

西安市公安局網(wǎng)安支隊印制

信息系統(tǒng)安全等級保護

責(zé) 任 書

甲方: 西安市公安局網(wǎng)安支隊

乙方:

為加強我市信息系統(tǒng)安全等級保護工作，保證信息系統(tǒng)安全，建設(shè)平安西安、和諧西安，依據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）文件精神和《信息安全等級保護管理辦法》相關(guān)規(guī)定，制定本責(zé)任書。

一、雙方職責(zé)及義務(wù)

（一）網(wǎng)安支隊

按照相關(guān)法律法規(guī)賦予的職能，認真履行以下職責(zé)及義務(wù)：

1、負責(zé)西安市非涉密、非密碼信息系統(tǒng)的安全等級保護工作；

2、負責(zé)對信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查、指導(dǎo)。審核等級保護單位填寫的《信息系統(tǒng)安全等級保護備案表》，并對各單位提出定級建議；

3、負責(zé)對通過審核的信息系統(tǒng)進行備案管理。建立檔案，進行備案統(tǒng)計，并按照國家有關(guān)規(guī)定逐級上報；

4、負責(zé)監(jiān)督、檢查各單位信息系統(tǒng)安全保護狀況。依據(jù)《信息安全等級保護管理辦法》規(guī)定組織運營、使用單位定期對信息系統(tǒng)安全等級狀況開展等級測評及自查工作。對測評及自查后發(fā)現(xiàn)問題的單位，下發(fā)整改通知，督促其制定整改方案，整改存在問題。必要時，對整改情況組織檢查；

5、負責(zé)督促從事信息系統(tǒng)安全等級測評的機構(gòu)履行《信息安全等級保護管理辦法》規(guī)定的義務(wù)；

6、負責(zé)對信息系統(tǒng)備案通過審核、符合等級保護要求的單位頒發(fā)信息系統(tǒng)安全等級保護備案證明。

7、負責(zé)定期對等保單位安全員組織信息系統(tǒng)安全等級保護相關(guān)知識培訓(xùn)。

（二）信息系統(tǒng)等級保護單位：

按照國家相關(guān)法律法規(guī)的規(guī)定，要認真履行以下職責(zé)及義務(wù)：

1、負責(zé)落實本單位及下屬單位開展信息系統(tǒng)安全等級保護工作；

2、在公安機關(guān)的指導(dǎo)下，負責(zé)對本單位的信息系統(tǒng)自定等級，如實填寫《信息系統(tǒng)安全等級保護備案表》和定級報告，到公安機關(guān)辦理備案手續(xù)。建立本單位信息系統(tǒng)等級保護工作領(lǐng)導(dǎo)小組，并及時向公安機關(guān)部門報告領(lǐng)導(dǎo)小組人員

變更調(diào)整情況；

3、負責(zé)落實本單位的信息系統(tǒng)安全等級保護措施。建立健全信息系統(tǒng)安全保護制度及措施，及時修訂信息系統(tǒng)安全應(yīng)急方案，積極配合公安機關(guān)對本單位信息系統(tǒng)安全等級狀況開展測評，對測評后存在的問題及時出臺整改措施進行整改；

4、負責(zé)如實向公安機關(guān)提供開展等級保護工作所需要的所有文檔材料。

二、雙方負有的安全責(zé)任

（一）網(wǎng)安支隊

1、指導(dǎo)各單位落實信息系統(tǒng)安全保護制度，檢查各單位等級保護工作開展情況，做好信息系統(tǒng)安全等級保護備案工作。

2、審查等保評測機構(gòu)資質(zhì)，指導(dǎo)做好測評工作，努力減少系統(tǒng)漏洞。

3、查辦信息系統(tǒng)案件。

4、依據(jù)《信息安全等級保護管理辦法》，組織各單位、部門定期開展信息系統(tǒng)等級測評工作。

（二）信息系統(tǒng)安全等級保護單位

信息系統(tǒng)安全等級保護單位及相關(guān)人員，在公安機關(guān)指導(dǎo)下開展本單位信息系統(tǒng)安全保護工作。

1、要指定專人負責(zé)，制定并落實等保人防措施，不斷完

善等等保技術(shù)手段，確保信息系統(tǒng)平穩(wěn)、安全運行。

2、配合公安機關(guān)組織開展的信息系統(tǒng)測評工作，根據(jù)測評情況及時認真實施整改。

3、制定信息系統(tǒng)應(yīng)急預(yù)案，保證系統(tǒng)不間斷運行。

4、及時向公安機關(guān)報告本系統(tǒng)發(fā)生的問題，協(xié)助公安機關(guān)的查處工作。

5、做好本單位等保宣傳教育工作，確保信息系統(tǒng)安全。

三、本責(zé)任書未盡事宜，嚴(yán)格按照法律法規(guī)的規(guī)定執(zhí)行。

本責(zé)任書自簽字蓋章后兩年內(nèi)有效，一式兩份，雙方各執(zhí)一份。

網(wǎng)安支隊領(lǐng)導(dǎo)簽字：

（單位蓋章）（單位蓋章）

年 月 日 年 月 日

信息系統(tǒng)安全等級保護

單位領(lǐng)導(dǎo)簽字：

第五篇：五、信息系統(tǒng)安全等級保護自查報告(范本)

某單位信息安全等級保護工作自查報告

為進一步做好某單位信息安全等級保護工作工作，提高全轄人民銀行系統(tǒng)信息安全保障能力和水平，根據(jù)《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神，結(jié)合我行實際，組織開展了信息安全等級保護自查工作。通過自查，進一步明確了我行信息安全等級保護工作職責(zé)，規(guī)范了信息安全等級保護工作標(biāo)準(zhǔn)，完善了信息安全等級保護工作制度，提升了信息安全等級保護工作水平?，F(xiàn)將自查情況報告如下：

一、等級保護工作部署和組織實施情況

某單位在上級行的統(tǒng)一領(lǐng)導(dǎo)和部署下，按照《信息安全等級保護管理辦法》和《人民銀行信息系統(tǒng)信息安全等級保護實施指引（試行）》的要求，組織開展轄內(nèi)人民銀行系統(tǒng)信息安全等級保護工作。一是成立了某單位信息安全等級保護工作領(lǐng)導(dǎo)小組，由主管科技的副行長任組長，各科室主要負責(zé)人為成員，全面負責(zé)全轄人民銀行系統(tǒng)信息安全等級保護工作，領(lǐng)導(dǎo)小組下設(shè)辦公室，安排專人負責(zé)計算機信息系統(tǒng)安全管理，明確了各自的職責(zé)。二是建立健全了各項信息安全管理制度，做到了有章可循。三是加強相關(guān)工作人員的培訓(xùn)學(xué)習(xí)，增強信息系統(tǒng)安全工作的自覺性，提高信息系統(tǒng)安全工作管理水平。

二、信息系統(tǒng)安全保護等級備案情況

我行根據(jù)《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神，將《郴州中支業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)系統(tǒng)》和《郴州中支財庫行橫向聯(lián)網(wǎng)系統(tǒng)》信息安全保護等級定為第二級，其他系統(tǒng)定為第一級，并將定為第二級的系統(tǒng)向市公安局網(wǎng)監(jiān)支隊報備。

三、下一步工作計劃

目前，某單位信息安全等級保護工作正在不斷完善中，今后還需要在以下幾個方面不斷加強：一是進一步加強信息安全管理力度，督促各支行、各科室加強信息安全等級保護工作；二是加強網(wǎng)絡(luò)信息安全隊伍建設(shè)，提高網(wǎng)絡(luò)管理人員和維護人員的技術(shù)水平和安全管理意識；三是進一步完善信息安全管理制度，開展信息系統(tǒng)安全評估和自測評；四是規(guī)范和完善安全事件處理流程。

人民銀行郴州市中心支行 科技科

2012年8月2日