第一篇：信息系統(tǒng)安全等級保護的必要性

信息系統(tǒng)安全等級保護的必要性

隨著我國信息技術的快速發(fā)展，為維護國家安全和社會穩(wěn)定，維護信息網(wǎng)絡安全，國務院于1994年頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）。

2003年中央辦公廳、國務院辦公廳轉發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出“實行信息安全等級保護”。

2007年公安部會同國家保密局、國家密碼管理局和國務院信息化工作辦公室下發(fā)《信息安全等級保護管理辦法》（公通字[2007]43號）明確規(guī)定“定期對信息系統(tǒng)安全等級狀況開展等級測評”?！暗谌壭畔⑾到y(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評??”。并制定了包括《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》等50多個國家標準和行業(yè)標準，形成了信息安全等級保護標準體系。具體如下圖所示：

2012年，CSDN網(wǎng)站因未落實國家信息安全等級保護制度，造成了大量用戶信息泄露的嚴重后果。依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》，北京市公安局對CSDN網(wǎng)站運營公司做出行政警告處罰?？梢?，開展等級保護工作是企業(yè)義不容辭的信息安全義務。

各行業(yè)或監(jiān)管部門落實信息安全等級保護工作的具體工作 隨著國家相關機關不斷出臺等級保護規(guī)范標準，各行業(yè)或監(jiān)管部門迅速發(fā)文響應并落實行業(yè)內信息系統(tǒng)安全等級保護工作。例如，衛(wèi)生部2011年印發(fā)（衛(wèi)辦發(fā)[2011]85號）《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知，明確衛(wèi)生行業(yè)信息系統(tǒng)實行“定級備案、建設與整改、等級測評”工作。中國人民銀行2012年制定了《金融行業(yè)信息安全等級保護測評服務安全指引》、《金融行業(yè)信息信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》，2013年制定了《征信機構管理辦法》（中國人民銀行令[2013]第1號），明確和規(guī)范金融機構開展的信息系統(tǒng)安全等級保護測評工作。教育部2014年發(fā)布《教育部關于加強教育行業(yè)網(wǎng)絡與信息安全工作的指導意見》（教技[2014]4號）明確規(guī)定“各單位信息系統(tǒng)要按照教育行業(yè)有關規(guī)范準確定級和備案”，“按照國際和教育行業(yè)有關標準規(guī)范要求進行等級測評”。還有財政部、人力資源社會保障、交通運輸行業(yè)、電力行業(yè)等監(jiān)管部門或行業(yè)都發(fā)布相應文件明確落實信息系統(tǒng)安全等級保護工作，建立、健全信息安全管理制度，落實安全保護技術措施，全面貫徹落實信息安全等級保護制度。

等級保護測評的工作內容

為了達到各級的安全保護能力要求，國家等級保護基本安全要求提出了技術要求和管理要求兩大類，涵蓋了物理（機房）、網(wǎng)絡、主機、應用、數(shù)據(jù)安全、安全管理制度、安全管理機構、人員、系統(tǒng)建設、系統(tǒng)運維十個方面的內 容。如下圖所示

信息系統(tǒng)安全等級保護測評(簡稱“等級保護測評”)包括系統(tǒng)定級、系統(tǒng)備案、安全建設整改、等級保護測評、定期安全檢查五個階段。等級保護工作的實施過程如下圖所示：

等級保護測評是指信息系統(tǒng)運營、使用單位委托具有等級保護測評資質的測評機構對其建設的已定級的信息系統(tǒng)進行等級保護測評過程，測評機構在測評過程中采用訪談、檢查和測試三大類的測評方法，具體細分為人員訪談、文檔審查、配置核查、現(xiàn)場觀測和工具測試等五個小類，對信息系統(tǒng)進行安全測評和風險評估，驗證信息系統(tǒng)是否滿足相應安全保護等級要求，并形成信息安全等級保護測評報告。其所包含的測評工作流程可參考下圖：

公安機關等安全監(jiān)管部門進行信息安全等級保護監(jiān)督檢查時，系統(tǒng)運營、使用單位必須提交由具有等級測評資質的機構出具的等級測評報告。

哪些行業(yè)需要進行等級保護測評

? 政府機關：各大部委、各省級政府機關、各地市級政府機關、各事業(yè)單位等；

? ? 金融行業(yè)：金融監(jiān)管機構、各大銀行、證券、保險公司等；

電信行業(yè)：各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等；

? ? ? 能源行業(yè)：電力公司、石油公司、煙草公司； 企業(yè)單位：大中型企業(yè)、央企、上市公司等； 其它有信息系統(tǒng)定級需求的行業(yè)與單位。

一些基于上級監(jiān)管單位要求和政策的強制要求開展等級保護測評的企業(yè)。例如，中國人民銀行要求征信機構必須進行等級保護測評，所以多數(shù)相關機構會委托經(jīng)人民銀行和國家信息安全管理機構批準成立的認證機構CFCA（中國金融認證中心）進行測評。CFCA是國家級權威安全認證機構，是國家重要的金融信息安全基礎設施之一，匯集高、精、尖人才，擁有優(yōu)秀的管理團隊和工作扎實、飽含激情與活力的員工隊伍。CFCA在2013年已獲得公安部頒發(fā)的《等級保護測評機構能力評估合格證書》、《等級保護測評機構推薦證書》，CFCA成立的信息安全實驗室擁有40多名具備信息安全等級測評師資質的工程師，大部分工程師在等級保護測評領域有五年以上的工作經(jīng)驗，是國內最權威的測評機構之一。

組織中哪些信息系統(tǒng)需要實施等級保護

? 電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

? 鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產、調度、管理、辦公等重要信息系統(tǒng)

? ? 市（地）級以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)。涉及國家秘密的信息系統(tǒng)。

開展等級保護測評的益處

對于企業(yè)來說，實施信息安全等級保護測評能夠有效地提高單位信息和信息系統(tǒng)安全建設的整體水平，有效控制企業(yè)信息安全建設成本；有利于明確國家、法人和其他組織、公民的信息安全責任，加強企業(yè)信息安全管理。

對于信息系統(tǒng)來說，通過等級保護測評可及時發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進行整改，當信息系統(tǒng)完全達到安全保護能力要求時，信息系統(tǒng)就基本可做到“進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。

具體包括：

? 保障基礎設施安全，保障網(wǎng)絡周邊環(huán)境和物理特性引起的網(wǎng)絡設備和線路的持續(xù)使用。

? 保障網(wǎng)絡連接安全，保障網(wǎng)絡傳輸中的安全，尤其保障網(wǎng)絡邊界和外部接入中的安全。

? 保障計算環(huán)境的安全，保障操作系統(tǒng)、數(shù)據(jù)庫、服務器、用戶終端及相關商用產品的安全。

? 保障應用系統(tǒng)安全，保障應用程序層對網(wǎng)絡信息的保密性、完整性和信源的真實的保護和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡信息系統(tǒng)的安全風險。

? ? 保障數(shù)據(jù)安全及備份恢復，保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等。安全管理體系保障。根據(jù)國家有關信息安全等級保護方面的標準和規(guī)范要求，建立一套切實可行的安全管理體系，加強安全管理機制。

第二篇：西安市信息系統(tǒng)安全等級保護

西安市信息系統(tǒng)安全等級保護

責

任

書

西安市公安局網(wǎng)安支隊印制

信息系統(tǒng)安全等級保護

責 任 書

甲方: 西安市公安局網(wǎng)安支隊

乙方:

為加強我市信息系統(tǒng)安全等級保護工作，保證信息系統(tǒng)安全，建設平安西安、和諧西安，依據(jù)《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）文件精神和《信息安全等級保護管理辦法》相關規(guī)定，制定本責任書。

一、雙方職責及義務

（一）網(wǎng)安支隊

按照相關法律法規(guī)賦予的職能，認真履行以下職責及義務：

1、負責西安市非涉密、非密碼信息系統(tǒng)的安全等級保護工作；

2、負責對信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查、指導。審核等級保護單位填寫的《信息系統(tǒng)安全等級保護備案表》，并對各單位提出定級建議；

3、負責對通過審核的信息系統(tǒng)進行備案管理。建立檔案，進行備案統(tǒng)計，并按照國家有關規(guī)定逐級上報；

4、負責監(jiān)督、檢查各單位信息系統(tǒng)安全保護狀況。依據(jù)《信息安全等級保護管理辦法》規(guī)定組織運營、使用單位定期對信息系統(tǒng)安全等級狀況開展等級測評及自查工作。對測評及自查后發(fā)現(xiàn)問題的單位，下發(fā)整改通知，督促其制定整改方案，整改存在問題。必要時，對整改情況組織檢查；

5、負責督促從事信息系統(tǒng)安全等級測評的機構履行《信息安全等級保護管理辦法》規(guī)定的義務；

6、負責對信息系統(tǒng)備案通過審核、符合等級保護要求的單位頒發(fā)信息系統(tǒng)安全等級保護備案證明。

7、負責定期對等保單位安全員組織信息系統(tǒng)安全等級保護相關知識培訓。

（二）信息系統(tǒng)等級保護單位：

按照國家相關法律法規(guī)的規(guī)定，要認真履行以下職責及義務：

1、負責落實本單位及下屬單位開展信息系統(tǒng)安全等級保護工作；

2、在公安機關的指導下，負責對本單位的信息系統(tǒng)自定等級，如實填寫《信息系統(tǒng)安全等級保護備案表》和定級報告，到公安機關辦理備案手續(xù)。建立本單位信息系統(tǒng)等級保護工作領導小組，并及時向公安機關部門報告領導小組人員

變更調整情況；

3、負責落實本單位的信息系統(tǒng)安全等級保護措施。建立健全信息系統(tǒng)安全保護制度及措施，及時修訂信息系統(tǒng)安全應急方案，積極配合公安機關對本單位信息系統(tǒng)安全等級狀況開展測評，對測評后存在的問題及時出臺整改措施進行整改；

4、負責如實向公安機關提供開展等級保護工作所需要的所有文檔材料。

二、雙方負有的安全責任

（一）網(wǎng)安支隊

1、指導各單位落實信息系統(tǒng)安全保護制度，檢查各單位等級保護工作開展情況，做好信息系統(tǒng)安全等級保護備案工作。

2、審查等保評測機構資質，指導做好測評工作，努力減少系統(tǒng)漏洞。

3、查辦信息系統(tǒng)案件。

4、依據(jù)《信息安全等級保護管理辦法》，組織各單位、部門定期開展信息系統(tǒng)等級測評工作。

（二）信息系統(tǒng)安全等級保護單位

信息系統(tǒng)安全等級保護單位及相關人員，在公安機關指導下開展本單位信息系統(tǒng)安全保護工作。

1、要指定專人負責，制定并落實等保人防措施，不斷完

善等等保技術手段，確保信息系統(tǒng)平穩(wěn)、安全運行。

2、配合公安機關組織開展的信息系統(tǒng)測評工作，根據(jù)測評情況及時認真實施整改。

3、制定信息系統(tǒng)應急預案，保證系統(tǒng)不間斷運行。

4、及時向公安機關報告本系統(tǒng)發(fā)生的問題，協(xié)助公安機關的查處工作。

5、做好本單位等保宣傳教育工作，確保信息系統(tǒng)安全。

三、本責任書未盡事宜，嚴格按照法律法規(guī)的規(guī)定執(zhí)行。

本責任書自簽字蓋章后兩年內有效，一式兩份，雙方各執(zhí)一份。

網(wǎng)安支隊領導簽字：

（單位蓋章）（單位蓋章）

年 月 日 年 月 日

信息系統(tǒng)安全等級保護

單位領導簽字：

第三篇：五、信息系統(tǒng)安全等級保護自查報告(范本)

某單位信息安全等級保護工作自查報告

為進一步做好某單位信息安全等級保護工作工作，提高全轄人民銀行系統(tǒng)信息安全保障能力和水平，根據(jù)《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神，結合我行實際，組織開展了信息安全等級保護自查工作。通過自查，進一步明確了我行信息安全等級保護工作職責，規(guī)范了信息安全等級保護工作標準，完善了信息安全等級保護工作制度，提升了信息安全等級保護工作水平。現(xiàn)將自查情況報告如下：

一、等級保護工作部署和組織實施情況

某單位在上級行的統(tǒng)一領導和部署下，按照《信息安全等級保護管理辦法》和《人民銀行信息系統(tǒng)信息安全等級保護實施指引（試行）》的要求，組織開展轄內人民銀行系統(tǒng)信息安全等級保護工作。一是成立了某單位信息安全等級保護工作領導小組，由主管科技的副行長任組長，各科室主要負責人為成員，全面負責全轄人民銀行系統(tǒng)信息安全等級保護工作，領導小組下設辦公室，安排專人負責計算機信息系統(tǒng)安全管理，明確了各自的職責。二是建立健全了各項信息安全管理制度，做到了有章可循。三是加強相關工作人員的培訓學習，增強信息系統(tǒng)安全工作的自覺性，提高信息系統(tǒng)安全工作管理水平。

二、信息系統(tǒng)安全保護等級備案情況

我行根據(jù)《人民銀行長沙中心支行2012年信息安全等級保護工作方案》精神，將《郴州中支業(yè)務網(wǎng)網(wǎng)絡系統(tǒng)》和《郴州中支財庫行橫向聯(lián)網(wǎng)系統(tǒng)》信息安全保護等級定為第二級，其他系統(tǒng)定為第一級，并將定為第二級的系統(tǒng)向市公安局網(wǎng)監(jiān)支隊報備。

三、下一步工作計劃

目前，某單位信息安全等級保護工作正在不斷完善中，今后還需要在以下幾個方面不斷加強：一是進一步加強信息安全管理力度，督促各支行、各科室加強信息安全等級保護工作；二是加強網(wǎng)絡信息安全隊伍建設，提高網(wǎng)絡管理人員和維護人員的技術水平和安全管理意識；三是進一步完善信息安全管理制度，開展信息系統(tǒng)安全評估和自測評；四是規(guī)范和完善安全事件處理流程。

人民銀行郴州市中心支行 科技科

2012年8月2日

第四篇：信息系統(tǒng)安全等級保護備案表

信息系統(tǒng)安全等級保護備案表
單位名稱 信息系統(tǒng)名稱 信息系統(tǒng)類別 系統(tǒng)域名 系統(tǒng) IP 地址 系統(tǒng)服務 情 況 系統(tǒng)網(wǎng)絡平臺 服務器情況 存儲設備 情 況 服務范圍 服務對象 覆蓋范圍 網(wǎng)絡性質 是否有服務器 服務器位置 服務器操作系統(tǒng) 是否有專用存儲 存儲設備位置 □MySQL □windows □linux □是 □否 品牌及容量 □Access □SQLServer 年 □Oracle □其它_______ 月 日 □全國 □全（市、區(qū)）□全校 □全校師生員工 □三者均包括 □廣域網(wǎng) □互聯(lián)網(wǎng) □否 是否在學校機房寄存 □unix □是 □否 □Solaris □其它_______ □本單位 □其它__________ □其它__________ □單位內部人員 □社會公眾人員 □局域網(wǎng) □業(yè)務專網(wǎng) □是 □校園網(wǎng) □業(yè)務管理系統(tǒng) □網(wǎng)站 □其他

□其它___________

系統(tǒng)數(shù)據(jù)庫情況 系統(tǒng)何時投入運行使用 系統(tǒng)主要承建單位 系統(tǒng)目前維護單位 系統(tǒng)責任人 姓 管理員情況 辦公電話 系統(tǒng)是否是分系統(tǒng) 上級系統(tǒng)名稱 信息系統(tǒng)安全保護等級 系統(tǒng)密級（涉及保密的信息系統(tǒng) 需要填寫本項）系統(tǒng)分級保護實施情況 填表人： 名

聯(lián)系方式 E-mail 手 □是 機

□否（如選擇是請?zhí)钕聝身棧┧鶎賳挝?br />
□第一級 □秘密 □ 已經(jīng)實施

□第二級 □機密

□第三級 □絕密

□第四級

□第五級

□正在實施 填表日期：

□計劃________年實施 年 月 日

填報單位：（蓋章）

第五篇：信息系統(tǒng)安全等級保護備案操作規(guī)范

信息系統(tǒng)安全等級保護備案操作規(guī)范

一、項目名稱、性質

（一）名稱：信息系統(tǒng)安全等級保護備案

（二）性質：非行政許可

二、設定依據(jù)

二ＯＯ七年六月二十二日公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室公通字[2007]43號印發(fā)《信息安全等級保護管理辦法》第十五條規(guī)定：

已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

新建第二級以上信息系統(tǒng)，應當在投入運行后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。

隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。

三、實施權限和實施主體

根據(jù)《信息安全等級保護管理辦法》第十五條規(guī)定，實施主體和權限為： 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)；

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在自治區(qū)一級運行、應用的分支系統(tǒng)及各區(qū)直單位運營、使用的信息系統(tǒng)，應當向自治區(qū)公安廳網(wǎng)絡警察總隊備案。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各市運行、應用的分支系統(tǒng)及各市直單位運營、使用的信息系統(tǒng)，應當向市級公安機關網(wǎng)絡警察支隊備案。

四、行政審批條件

無。

五、實施對象和范圍

根據(jù)《信息安全等級保護管理辦法》第十五條的規(guī)定，實施對象和范圍是：不涉及國家涉密信息系統(tǒng)的運營使用單位、信息系統(tǒng)主管部門。

六、申請材料

（一）、《信息系統(tǒng)安全等級保護備案表》；

（二）、《信息系統(tǒng)安全等級保護定級報告》；

（三）根據(jù)《信息安全等級保護管理辦法》第十六條的規(guī)定，第三級以上信息系統(tǒng)應當同時提供以下材料：（1）系統(tǒng)拓撲結構及說明；

（2）系統(tǒng)安全組織機構和管理制度；（3）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；（4）系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明；

（5）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；（6）信息系統(tǒng)安全保護等級專家評審意見；

（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。(提交復印件的應交驗原件，復印件規(guī)格統(tǒng)一采用A4紙,以上提交材料均為一份)。

七、辦結時限

（一）法定辦結時限：10個工作日。

（二）承諾辦結時限：10個工作日。

八、行政審批數(shù)量 無數(shù)量限制。

九、收費項目、標準及其依據(jù)

不收費。

十、辦理時間

夏令時：早上8：30-12：00，下午15：00-18：00

冬令時：早上8：30-12：00，下午14：30-17：30

信息系統(tǒng)安全等級保護備案流程圖.doc 附件1.行政審批流程圖

2.申請書示范文本

申請書示范文本.doc